※このブログ記事はTEMASOFT社の公式ブログを翻訳したものです。
ケース – Arenaランサムウェア,Crysis/Dharma亜種
Crysis/DharmaランサムウェアファミリーがArenaランサムウェアで再起を果たしました。Michael Gillespie氏によると、配布方法はまだわかっていませんが、恐らくCrysisファミリーのパターンに従う(リモートデスクトッププロトコルの侵害に成功した後、手動でインストール)であろうとのことです。
このランサムウェアは実行されると、ファイルを暗号化し、ファイル名にidとEメールアドレスのような情報を追加した後、”Arena”拡張子を追加します。 また、ボリュームシャドウコピーサービス(Volume Shadow Copy Service)のコマンドを実行してシャドウコピーを削除するため、ディスクレベルのファイル復旧ツールを実行しても情報を取得することはできません。現在のところ、この亜種に対する復号化ツールはありません。
Crysis/Dharma “Arena” ランサムウェアテスト
このランサムウェアは即座にローカルファイルとアクセス可能なマッピングされたネットワークドライブおよびマッピングされていないネットワークドライブを攻撃します。TEMASOFT社のテストでは、このマルウェアは数秒間に数十個のファイルを暗号化しました。また、System32フォルダに自身のコピーを作成し、次回の再起動時に実行されるようにそれらのコピーを登録します。これにより、このランサムウェアが再び実行され新しいファイルを攻撃できるようになります。
Crysis/Dharma “Arena” ランサムウェアテスト結果
TEMASOFT Ranstopは、このランサムウェアがファイルの暗号化を開始するとすぐに検出し、悪意のあるプロセスを停止させて隔離します。同時にアラート通知を送信します(さらに設定されていれば、マシンを隔離します)。暗号化されたファイルはすべて、ファイル名も含めて元の状態に自動的に復元されます。TEMASOFT Ranstopはこのような攻撃によるダウンタイムをゼロにします。
動画が開始しない場合は、ここをクリックしてください。
virustotal情報
こちらをご参照ください。
TEMASOFT Ranstopとは
TEMASOFT
Ranstopは高精度のファイルアクセスパターン解析に基づいて現在および将来のランサムウェアを検出する専用のアンチランサムウェアソフトウェアです。リアルタイムでファイルを保護しており、マルウェア攻撃やユーザーの誤操作によって損失してしまったファイルを復元することができます。
詳しくは製品紹介ページ・製品ガイドをご参照ください:
ダウンロード(評価版)
TEMASOFT Ranstopには評価版(15日間、機能制限なし)があります。ぜひお試しください。
お問合せ
購入前のTEMASOFT Ranstopについてのお問合せは以下から承っております。
ご不明な点やお気づきの点がございましたらお問い合せください。
