[ NoCry ランサムウェア ]

[ ウイルス/マルウェア活動の受付: NoCry ランサムウェア ]

NoCryランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

NoCryランサムウェア

そのランサムウェアはNoCryと呼ばれ、ファイル名・拡張子で.NoCryすべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• NoCryランサムウェアは、Chaosファミリーベースの.NETマルウェアで、最初の実行可能ファイルはsvchost.exeという名前でRoamingフォルダから再実行され、PCのWindowsのデフォルト言語が特定の言語の場合は実行されません（トルコ語）。暗号化時に回復を困難にするために、シャドウコピーとバックアップカタログの削除、およびウィンドウの復元とエラー通知機能を無効にします。ランサムウェアが持つデータの復元関連プロセス名を確認してサービスを停止し、作業管理を無効にします。このランサムウェアは、単純な暗号化に加えて、リカバリのブロックとユーザー対応の妨げに焦点を当てた典型的なChaosファミリーの特性にそのまま従う姿を見せています。

  
  [図3 特定の国語（トルコ語）未動作の静的内部コード ]

  
  [図4静的内部コードで使用した命令]

  
  [図5 ランサムウェアが確認するデータ関連プログラム名文字列 ]

感染結果

ガイダンスファイルは、暗号化が完了すると各フォルダにread_it.txtという名前で作成されますが、暗号化が行われた各ファイルは<ファイル名.拡張子.NoCry>に変更されます

[図6感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図7ブロックメッセージ]

NoCryブロックビデオを見に行く