GoodMorningランサムウェアの形で推定される侵害事故が発生し、
これにその状況の確認および注意報を次のように伝えます。

GoodMorning ランサムウェア

このランサムウェアはGoodMorningと呼ばれ、ファイル名.拡張子.goodmorningすべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• C++ ベースのランサムウェアで暗号化の進行時に AddataLocal 位置に復帰し、スタートアッププログラムレジストリ（User の RunOnce 項目）に「BrowserUpdateCheck」という名前で登録します。暗号化が完了したら、Temp（一時フォルダ）の場所にコマンドバットファイルを作成し、シャドウコピー/ウィンドウRDP接続履歴/イベントログをすべて削除します。

  
  [図3スタートプログラムレジストリにランサムウェア実行ファイルを登録し、その場所にコピーされたランサムウェア]

  
  [図4 暗号化完了時の一時フォルダへの命令バットファイルの生成および実行 静的コード]

  
  [図5一時フォルダに生成されたbatファイルとその内容]

感染結果

ガイドファイルは各フォルダに<how_to_back_files.html>が生成され、暗号化されたファイルは<ファイル名.拡張子.goodmorning>に変更されます。

[図6感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図7ブロックメッセージ]

GoodMorningブロックビデオを見に行く