2021年1月20日頃、流布が確認された悪性ファイルが実行された場合、ディスコード(Discord)チャットサーバーから追加のファイルダウンロードを通じてランサムウェア(Ransomware)行為をする寄生虫(Parasite)ランサムウェアが最近も確認されています。

実行されたDropper悪性ファイルを通じてダウンロードされたsvchost.exeランサムウェアファイルは、"%Temp%\svchost.exe"ファイル名で生成および実行され、次のようなファイル拡張名が存在する場合、毀損行為を行うことができます。

変更されたファイルを見ると、256Bytesファイルサイズに一括変更されています。parasite ファイル拡張名を通じて、まるで暗号化されたかのように表示されますが、実際にお金を払ってもファイル復旧をすることができず、追加的に「vssadmin.exe delete shadowsallquiet、wmic shadowcopy delete,wbadmindeletecatalog-quiet」コマンド処理を通じてシステム復旧することができないようにします。

変更されたファイルコードを確認してみると、ファイル暗号化ではなく、単なるファイル毀損(Wiper)行為で復旧不可能にファイルを変更します。これは、Osnoランサムウェアと似ています。

生成された@READ_ME_FILE_ENCRYPTED@.html決済案内ファイルでは、特定のメールアドレスに連絡をするように案内しており、ビットコイン(Bitcoin)暗号通貨を要求していることが分かります。

生成された@READ_ME_FILE_ENCRYPTED@.html決済案内ファイルでは、特定のメールアドレスに連絡をするように案内しており、ビットコイン(Bitcoin)暗号通貨を要求していることが分かります。

AppCheckは、ファイル暗号化行為以外にも上記のような復旧できないファイル毀損行為に対しても、遮断·遮断以前に毀損されるファイルの自動復元をサポートしています。

お金を支払う場合、復旧ツールを通じて以前の状態にファイル復旧を支援する一般的なランサムウェアとは異なり、ファイルを復旧できないように毀損することもあるということを念頭に置いて、チャットルームなどを通じてファイルを実行するよう誘導するなどの疑わしい文章を見てファイルを実行することがないようにしてください。