ランサムウェアレポート
ランサムウェアの最新情報を確認できます。
- タイトル
- 登録日
- 2026-06-02
- ヒット
- 209
BuLockランサムウェア分析(WhiteDefender)
1. 概要
BuLockランサムウェアはWindowsシステムで実行され、重要なファイルデータを暗号化してから.bulock72拡張子を追加します。感染が進むと、ユーザーのすべてのファイルデータ領域にhow_to_back_files.htmlランサムノートを作成し、すべての拡張子を暗号化してユーザーが感染の事実をすぐに認識できるようにします。
ランサムウェア情報のまとめ
| アイテム | 内容 |
|---|---|
| ランサムウェア名 | BuLock(ビューロック) |
| 変更された拡張子 | .bulock72 |
| ランサムノート | ファイルのバックアップ方法.html |
| 攻撃者の連絡先(ノートベース) | ithelp11@securitymy.name、ithelp11@yousheltered.com |
サンプル識別子
| アイテム | 内容 |
|---|---|
| サイズ | 53.00 KB |
| タイプ | PE32実行ファイル(GUI)、Intel 80386、MS Windows用 |
| MD5 | 22ff4b883468f0b2b21b2c50d5ca5bd9 |
| SHA1 | e34f09cf8f1416ab4611a6a18ff99281fad93c70 |
| SHA256 | d9135507e8dbcf15a852ec34623ea6b6d633e10032c94f187ef357ba821af893 |
| SHA512 | 9b37dff34d3ceca993bebda8e6d3f4f4a361af65ec6bdde4be54021be2dc48c176aa0b0ef2bae8433ca2957d5e3c28fe448465c3f816a5ee36a5d395bd8f4405 |
| CRC32 | 3cd4864b |
図1. BuLock感染後のデスクトップ変更画面
2. ランサムウェア動作の特徴
BuLockランサムウェアはC ++ベースで構築されており、最初の実行時に自分のファイルを%AppData%\ Localパスにコピーしてからその場所で実行されます。その後、ユーザーアカウントのスタートアッププログラム(StartUp)レジストリにコピーされた実行可能ファイルパスを登録し、システムの再起動後も自動的に実行するように設定し、ファイル暗号化を実行します。
図2.その場所にファイルをコピーする動的情報と生成されたファイル
図3. UserのスタートアッププログラムレジストリにLocalフォルダに生成されたランサムウェア実行可能ファイルを登録する動的コードと生成された値
3. ランサムウェア感染の結果
ランサムウェア感染が進行すると暗号化が行われ、ランサムノートが生成され、暗号化が進行された各ファイルは拡張子が変更されて使用できなくなります。
- 主な文書・画像などファイルが.bulock72拡張子に変更され、使用不可状態遷移
- how_to_back_files.htmlランサムノートの作成
- ユーザーデータにアクセスできない状態を維持する
図4. BuLockランサムウェア感染後の暗号化されたファイル拡張子(.bulock72)の変更例
4. WhiteDefender対応
WhiteDefenderに基づいて、BuLockランサムウェアなどのファイル暗号化行為は、行為ベースの検出エンジンを介してRansomware Behavior‑Detectとして識別されます。特に、ファイル暗号化の過程で発生する一括ファイル変更パターンに基づいて異常行為を早期に検出でき、実行段階でプロセスをブロック(Execution Block)して暗号化の進行を中断させることができます。
また、ファイル変更イベントでは、検疫機能と復元機能が連携してランサムウェアによるデータ破損を最小限に抑えることができます。
図 5. WhiteDefender Detect Viewer 検出ログ: Ransomware Behavior‑Detect 検出と Execution Block / Quarantine / Restore 履歴
図 6. WhiteDefender ブロック通知ポップアップ: Process has been blocked due to malicious activity (BuLock.exe)
- 前の記事
- 前の記事なし
- 次の記事
- Slimeランサムウェア
公式ブログ
公式YouTube