FridayBoycrazy ランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のようにお届けいたします。

FridayBoycrazy ランサムウェア

このランサムウェアはFridayBoycrazyと呼ばれ、ファイル名、拡張子、任意の4桁のすべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• ネットベースのランサムウェアで、カオス系列の変種として同様の動作方式を持っています。暗号化されたデータの回復が困難になるように、シャドウコピー/Windowsバックアップカタログ（Windowsサーバー）の削除とWindowsの基本的な復元とエラー通知機能を無効にします。暗号化が完了したら、スタートアッププログラムフォルダにランサムウェアの実行リンクを作成し、内部Base64形式で保存された画像をTemp（一時フォルダ）に作成し、デスクトップ画像として適用します。

  
  [図3 カオス系ランサムウェアのRoamingフォルダにランサムウェアをコピーして再実行]

  
  [図4 シャドウコピーとバックアップカタログの削除(ウィンドウサーバ)と基本復旧およびエラー通知 非アクティブ静的コード]

  
  [図5 スタートプログラムフォルダに生成されたランサムウェアの実行リンク]

  
  [図6 一時フォルダに生成されたデスクトップイメージ]

感染結果

案内ファイルは各フォルダに<Warning(拡張子が無いtxtファイル)>が生成され、暗号化進行されたファイルは<ファイル名.拡張子.ランダム4桁>に変更します。

[図7感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図7ブロックメッセージ]

FridayBoycrazyブロックビデオを見に行く