Afireランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Afire ランサムウェア

そのランサムウェアはAfireと呼ばれ、ファイル名.拡張子.afireすべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• C++ ベースのランサムウェアで最近分析された Qrypt と同様のコード形式を持っています。まず、データとバックアップ関連のサービスを確認して停止コマンドを発行し、実行中のプロセスも特定のデータとバックアッププログラムの名前と比較して確認時に強制終了します。その後、シャドウコピー削除コマンドとすべてのパスのごみ箱をメッセージなしで処理します。

  
  [図3 特定サービス停止コマンド]

  
  [図4 実行中のプロセス特定プログラム名確認後の強制終了]

  
  [図5 cmdによるシャドウコピー削除コマンド]

  
  [図6 すべてのルートのごみ箱を空にする]

感染結果

ガイダンスファイルは、各フォルダの場所に< Restore.txt>という名前で生成され、暗号化が行われた各ファイルは<ファイル名.拡張子。 afire>に変更されます。

[図5感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図6ブロックメッセージ]

Afireブロックビデオを見に行く