Hitobitoランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Hitobito ランサムウェア

そのランサムウェアはHitobitoと呼ばれ、ファイル名・拡張子。 hitobiyo すべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• VB.NETベースで、ランサムウェア自体は.NET Reactorという商用プログラムを利用して内部コードは難読化された状態です。動作時にすべてのファイルの暗号化進行とともにスタートプログラムのレジストリへの実行登録にはランサムウェアの実行ファイルとともに-alertaという引数が追加され、実際内部テスト時にその引数値で実行する場合は暗号化過程を省略し、独自のノートGUIを出力します。メモが有効になっていると、定期的に作業管理者が終了します。

  
  [図3. ドットネットプロジェクトをデコンパイルしたとき内部内容が難読化されている状態]

  
  [図4スタートプログラムレジストリにランサムウェアと共に-alertaという引数が入力された状態]

感染結果

ガイドファイルはデスクトップに<KageNoHitobito_ReadMe.txt>が生成され、ランサムウェア自体でノートUIを完成後に追加表示し、暗号化されたファイルは<ファイル名.拡張子.hitobiyo>に変更します。

[図5感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図6ブロックメッセージ]

Hitobitoブロック映像を見に行く