[ ウイルス/マルウェアの活動受付: Back ランサムウェア ]

Backランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Back ランサムウェア

そのランサムウェアはBackと呼ばれ、ファイル名・拡張子。cryptedですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• C＃.netベースで作られており、ランサムウェアノートにランサムウェアの名前は自称しませんが、静的コードのネームスペースはBackになっています。操作時に起動プログラムのレジストリに自分自身を登録し、データ（SQL DBおよびドキュメント関連）およびデバッグ関連プログラムを終了後、すべてのパスのドライバに暗号化を進めます。一時フォルダに作成された画像としてデスクトップを指定します。

  
  [図3静的コード内でBackで書かれたネームスペース]

  
  [図4 起動プログラムとして登録する静的コードおよび実際に生成されたレジストリ]

  
  [図5 データおよびデバッグ関連プログラムを終了する静的コード]

  
  [図6 攻撃対象から除外されるファイル名]

  
  [図7 攻撃対象から除外されるフォルダ名]

  
  [図8 攻撃対象から除外される位置パス名]

  
  [図9 一時フォルダに作成されるデスクトップイメージ]

感染結果

ガイドファイルは各パスにが生成され、暗号化の進行時に<ファイル名.拡張子。crypted>にファイルを変更します。

[図7感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図8ブロックメッセージ]

Backブロック映像を見に行く