[ウイルス/マルウェアの活動受付：RCRU64ランサムウェア]

RCRU64ランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

仕組み

ファイルバージョン

このサンプルはウイルストータルに2022-05-18 15:13:30 UTCに最初にアップロードされ、ファイルヘッダーのタイムスタンプは2022-05-05 03:42:23として最近ビルドされた（v14.20）バージョンです。（ウィンドウxp以上のウィンドウを対象）

[図1] RCRU64 ransomwreタイムスタンプとファイルバージョン

実行位置

 ランサムウェア実行時に、「%SystemDrive%Users\%username%AppData」の場所にスクリプトファイルを生成します。

[図2]スクリプトが生成された場所

行動プロセス

• ジョブスケジューラの登録

  
  [図3]登録済みジョブスケジューラ

  
  [図4] 動作の繰り返し確認

  ジョブスケジュールに登録されたt2_svc.batは6分ごとに実行され、t2_svc.bat -> v9_svc.vbs -> h4_svc.bat順に再実行され、開始プログラムの場所に元のファイルを配置して定期的に実行できるように誘導します。

  
  [図5]起動プログラムを配置して定期的に実行するように導く

• ネットワーク共有の有効化とファイアウォールの解除

  網内にダメージを広げるためのネットワーク共有の有効化とファイアウォールを解除します。

  
  [図6]ネットワーク共有、ファイアウォールの解除

• シャドウコピーの削除

  ユーザーデータの回復を困難にするためにシャドウコピーを削除します。

  
  [図7]回復が難しいシャドウコピーを削除するコマンド

• UACを無効にする

  レジストリのユーザーアカウント制御権限も無効にして、繰り返しの操作でもUACウィンドウが表示されないようにします。

  
  [図8]レジストリを変更して使用先アカウントの権限差を無効にする

感染結果

案内ファイルは各フォルダにRead_Me!_.txtという名前で生成され、暗号化の進行時に<暗号化ファイル名.拡張子[ID=ランダム値-Mail=FreedomTeam@mail.ee].ランダム値>にファイルが変更されます。

[図9]ランサムノート

[図10]拡張子が変更された文書

ホワイトディフェンダー対応

ホワイトディフェンダー診断：ホワイトディフェンダーはシャドウコピーのデータへのアクセスを防ぎ、ブロック前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします

[図11]ホワイトディフェンダー検出ログ