アンチランサムウェア - ホワイトディフェンダーレポート

ランサムウェアの最新情報を確認できます。

[ Cyborg ランサムウェア ]

[ ウイルス/マルウェア活動の受付: Cyborg ランサムウェア ]

Cyborgランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Cyborgランサムウェア

このランサムウェアはCyborgと呼ばれ、ファイル名.Cyborg1すべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

このランサムウェアは.NETベースのVB言語で開発されており、分析を困難にするためにさまざまな難読化技術が適用されています。コード内の主要ロジックと文字列は静的状態で暗号化されており、実行時にのみ復号化されて動作します。これらの構造は、静的分析を妨げ、検出を回避するための典型的な手法と見なすことができます。

また、一部の同系の変種では感染後にユーザーのデスクトップを変更する機能が確認されていますが、今回分析された該当サンプルでは該当機能が無効になっていることを確認しました。これは、ビルドオプションの違い、テストバージョン、またはデプロイメント目的に応じた機能制限の可能性と推定されます。

[図3難読化された内部静的コード]