[ ウイルス/マルウェアの活動受付: IHA ランサムウェア ]

IHAランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

IHAランサムウェア

このランサムウェアはIHAと呼ばれ、ファイル名、拡張子、IHAですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• VB.NET(C#)ベースで製作され、NoCryの変種で内部プロジェクト名はそのまま維持しているのです。実行されたランサムウェアは起動プログラムフォルダにランサムウェアをコピーし、親ハンドルと自身のハンドル比較によるデバッガ確認/SandBoxieのDLLロードかどうかによる特定のサンドボックスデバッグプログラム確認/ip-apiによるanyrun確認など動的デバッグの防止技術が適用されています。

  
  [図3 NoCry名を使用した静的コードのプロジェクト]

  
  [図4スタートプログラムフォルダにランサムウェアをコピーする]

  
  [図5 動的デバッグに複数の防止技術が適用された静的コード]

感染結果

デスクトップの背景が置き換えられ、暗号化が完了するとランサムウェア自体にノートが出力されます。暗号化中に<ファイル名.拡張子.IHA>にファイルを変更します。

[図4感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図5ブロックメッセージ]

IHAブロック映像を見に行く