[ ウイルス/マルウェアの活動受付: NewWave ランサムウェア ]

NewWaveランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

NewWaveランサムウェア

そのランサムウェアはNewWaveと呼ばれ、ファイル名。拡張子。newwaveですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• ネットVBベースで作られ、タノスランサムウェアの変種の一つです。Smart Assemblyで難読化されているため、静的コードの内容は識別が困難な状態で、特定のデータ関連プロセスの終了とサービスの無効化コマンドを使用します。セキュリティプログラムの中で、Raccineの登録済みレジストとスケジュールを削除し、ネットワーク共有関連の設定を有効にして、ダメージがより広がるようにします。PowerShellを使用したシャドウコピーの検索と削除、およびルートドライバにあるドライブ関連およびbackup関連の内容を含むターゲットを削除します。さらに、ランサムtxtをスタートアッププログラムアイコンに登録します。

  
  [図3 難読化されている静的コード]

  
  [図4特定のサービスの無効化およびその他のコマンド動的コード]

  
  [図5 特定プロセスの強制終了動的コード]

  
  [図6 Racccine製品のレジストおよびスケジュール削除動的コード]

  
  [図7ネットワーク共有関連機能を有効にする動的コード]

  
  [図8 PowerShellを使用したシャドウコピーの検索および削除ダイナミックコード]

  
  [図9 各ドライバのルートに特定のファイルを削除する動的コード]

  
  [図10 スタートプログラムフォルダに生成されるランサムノートリンク]

感染結果

ガイダンスファイルは各パスに<RESTORE_FILES_INFO.txt>が生成され、暗号化の進行時に<ファイル名.拡張子.newwave>にファイルを変更します。

[図11感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図12ブロックメッセージ]

NewWaveブロックビデオを見に行く