[ BlackLegion ランサムウェア ]

[ ウイルス/マルウェアの活動受付: BlackLegion ランサムウェア ]

BlackLegionランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

BlackLegionランサムウェア

このランサムウェアはBlackLegionと呼ばれ、ファイル名、拡張子、BlackLegionすべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• C＃ベースのランサムウェアで、実行ファイルは自分の属性を隠し属性に変更して実行可能ファイルの外観を隠します。その後、％Temp％の場所に「WmiPrvSe.exe」にコピーした後、起動プログラムのレジストリに追加して、Windowsの起動時に自動的に再実行されるようにします。暗号化操作後のファイルの回復が困難になるようにシャドウコピーを削除します。

  
  [図3スタートプログラムレジストリにランサムウェア実行ファイルを登録し、その場所にコピーされたランサムウェア]

  
  [図4 暗号化完了時の一時フォルダへの命令バットファイルの生成および実行 静的コード]

  
  [図5一時フォルダに生成されたbatファイルとその内容]

感染結果

ガイドファイルは各フォルダにが生成され、暗号化されたファイルは<ファイル名.拡張子.BlackLegion>に変更されます。

[図6感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図7ブロックメッセージ]

BlackLegionブロックビデオを見に行く