2017年6月26日月曜日

TEMASOFTラボデモ(Ranstop)-Sorebrectファイルレスランサムウェア

※このブログ記事はTEMASOFT社の公式ブログを翻訳したものです。

ケース - Sorebrect (ファイルレスランサムウェア)

今回の亜種は、悪質なWEBサイトからのダウンロードまたは他のマルウェアによってインストールされ、テキストファイルとして侵入してきます。ユーザーを騙してファイルを開かせるために、ファイルには内容が正当であるかのような名前が付けられています。このファイルはアンチウィルスによる検出やアプリケーション制御を回避するために、サービスホストプロセス(svchost.exe)に悪質なコードを挿入します。実際の暗号化はsvchost.exeプロセスから実行され、Windowsシステムフォルダの一部を回避します。このランサムウェアは一般的なアンチマルウェアソフトウェアを検索し、関連するサービスの停止を試みます。

ケース - 事実

この亜種は、サービスホストプロセスを侵害した後、数秒でファイルの暗号化を開始します。TEMASOFT Ranstopは数秒でランサムウェアを検出してユーザーへアラート通知し、クリーンアップおよび復旧処理を開始します。

https://vimeo.com/222705208

動画が開始しない場合は、ここをクリックしてください。

ケース - 結論

TEMASOFT Ranstopはこのファイルレス亜種を停止させ、破損したファイルを復旧させることに成功しました。

virustotal情報

こちらをご参照ください。

TEMASOFT Ranstopとは

特定のファイル活動に基づいてランサムウェアを正確に停止させ、被害にあった(暗号化または失われた)ファイルを自動復旧します。検出にシグネチャを使用しないため、ゼロディ攻撃および標的型攻撃にも効果的に対処します。

詳しくは製品紹介ページ・製品ガイドをご参照ください:

https://www.jtc-i.co.jp/product/ranstop/ranstop.html
https://www.jtc-i.co.jp/support/documents/presentation/productguide_ranstop.pdf

ダウンロード(評価版)

TEMASOFT Ranstopには評価版(15日間、機能制限なし)があります。ぜひお試しください。

https://www.jtc-i.co.jp/support/download/

お問合せ

購入前のTEMASOFT Ranstopについてのお問合せは以下から承っております。
ご不明な点やお気づきの点がございましたらお問い合せください。
https://www.jtc-i.co.jp/contact/scontact.php