[ Pwpdvl ランサムウェア ]

[ ウイルス/マルウェアの活動受付: Pwpdvl ランサムウェア ]

Pwpdvlランサムウェアの形で推定される侵害事故が発生し、
これにその状況に関する確認および注意報を次のように伝えます。

Pwpdvlランサムウェア

このランサムウェアはPwpdvlと呼ばれ、ファイル名.拡張子.pwpdvlすべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• VB.netベースで、ランサムウェア自体はSmart Assemblyという商用プログラムを利用して内部コードは難読化された状態です。操作時にデータとセキュリティプログラムとして知られているターゲットをtaskkillを使用して強制終了し、powershellでシャドウコピーを調べて削除します。攻撃はすべてのドライブをターゲットにしており、攻撃が成功した後に各場所にtxtファイルを作成します。

  
  [図3.ドットネットプロジェクトをデコンパイルしたとき内部内容が難読化されている状態]

  
  [図4 動的分析時のセキュリティプログラムおよびデータ関連プログラムをtaskkillを利用して強制終了]

  
  [図5 powersellを使用してシャドウコピーを検索および削除]

感染結果

ガイダンスファイルは各パスにが生成され、暗号化の進行時に<ファイル名.拡張子.pwpdvl>にファイルを変更します。

[図6感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図7ブロックメッセージ]

Pwpdvlブロックビデオを見に行く