[ ウイルス/マルウェアの活動受付: NoEscape ランサムウェア ]

NoEscapeランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

NoEscapeランサムウェア

そのランサムウェアはNoEscapeと呼ばれ、ファイル名・拡張子。CGFBGEFJEJですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• C++ベースで製作されており、初回実行後シャドウコピー削除/システム状態バックアップ削除/Windows復元機能解除/エラー通知機能解除などの複数命令実行やデータ関連サービス停止を通じて攻撃後ユーザーがデータを回復できないようにする様子を見えます。暗号化攻撃後、AppdataRoamingにランサムウェアをコピーして追加で実行し、その後デスクトップを変更します。

  
  [図3 該当命令を使用するためにその内容を一括コピーする動的コード内容]

  
  [図4 データ関連サービスを停止させる動的コード内容]

  
  [図5 Roamingフォルダに生成された実行ファイルとデスクトップイメージ]

感染結果

デスクトップが変更され、各フォルダの場所にHOW_TO_RECOVER_FILES.txtが作成されます。暗号化中に<ファイル名。拡張子。CGFBGEFJEJ>にファイルを変更します。

[図6感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図7ブロックメッセージ]

NoEscapeブロックビデオを見に行く