[ ウイルス/マルウェアの活動受付: HellowXD ランサムウェア ]

HellowXDランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

仕組み

ファイルバージョン

Hello XDランサムウェアはファイルを.helloで暗号化し、シャドウコピーまで無効にします。暗号化中にバックドアを削除し、この方法ではファイルの回復がより困難になります。

[図0]ランサムウェア感染後に実際に変更された拡張子

対応するファイル情報です。

• ランサムテキスト名こんにちは.txt
• 暗号化されたファイル情報。こんにちは

[図1] White Defender分析

[図2]ファイル属性

行動プロセス

シャドウコピーの削除

暗号化されたデータの回復が困難になるようにシャドウコピーを削除します。

[図3]

目標ドライブ

GetLogicalDrivesを使用して、Aドライブ（フロッピーディスク）を除くすべてのドライブを目指し、ネットワークドライブも含まれます。

[図4] <ランサムウェア内部コード>

[図5] <ソース: https://docs.microsoft.com/en-us/windows/win32/api/fileapi/nf-fileapi-getdrivetypea>

感染結果

ガイドファイルは各フォルダにHello.txtという名前で生成され、暗号化の進行時に<暗号化ファイル名.hello>にファイルが変更されます。

[図6]暗号化された拡張子が.helloファイルに変更された例。

[図7] HelloXDランサムウェアノート

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図8]アクションブロックメッセージ

[図9]ブロックログ