ファイル名にメールアドレスを追加して暗号化するランサムウェア「helpdcrpt@cock.li」

helpdcrpt@cock.liランサムウェアの身代金要求ファイル(HOW TO RECOVER FILES.TXT)
Arena Ransomware
クリックすると拡大表示

データファイル名に犯人側のメールアドレスである「helpdcrpt@cock.li」を加えてえて暗号化してしまいます。暗号化をしたフォルダに「HOW TO RECOVER FILES.TXT」という身代金要求ファイルを置いていきます。

test.jpg → test.jpg.helpdcrpt@cock.li
のようにファイル名を変えてしまいます。

マニュアル駆除と製品駆除によりウイルスの動作は停止させました。製品駆除で検出できたメーカーは1社だけでした。
他の主なメーカーのセキュリテイソフトでは検出すらできませんでした。

HOW TO RECOVER FILES.TXTの先頭部分にはパーソナルIDといわれる644バイトの16進数があります。(画像では伏せています)

Googleで検索をしても「helpdcrpt@cock.li」のランサムウェアの情報はありませんでした。
国内初であり世界初の感染なのかもしれません。

犯人側との交渉の末に復号しました。時差9時間(イギリスを通る子午線上の国)の地域に住んでいる英語の達者な人です。

依頼のあったPCには特別な事情がありました。メーラーを使っていなかったのです。
ですから、メールの添付文書を開いて感染をしたわけではありません。
そして「rdp.reg.helpdcrpt@cock.li」がCドライブのルートに置かれており、このファイルを復号する事はできませんでした。
RDP(リモートデスクトップ)のレジストリ値の変更をしたのではないかと憶測するような名称です。

あと、遠隔サポートサービスをよく使われていたPCでもありました。

最近のSMBポート、RDPポートから侵入して感染・暗号化をするランサムウェアが増えています。

通信会社の遠隔サポートプログラムが光回線の利用時に無料で配布されています。
配布するのはいいのですが、インストール時から遠隔操作の通信ポートを開け、遠隔サービスが終わっても通信ポートの穴は開けっ放しという遠隔サポートサービス側の責任は重いです。

遠隔サポートサービスをする側はサービス終了時に通信ポートの穴は塞ぐべきです。
これから、このような被害者が多発する事を暗示するような依頼でした。

どのようなケースであってもデータを戻す復号サービスをしています。お困りの方はご連絡下さい。

リカバリーしない修理で
データや設定を残したまま修理可能です

無料電話相談実施中。お気軽にご相談ください。042-735-1600

当社独自のハードディスク修復技術と手作業によるウイルス・ランサムウェア駆除でハードディスクを今まで通り使えるように修理します。

リカバリー(初期化)をしてしまうとインストールしたプログラムやデータファイル、ライセンス情報、インターネット設定、メールメッセージ・アカウント、プリンタ設定、電子証明書などが消えてしまいます。リカバリーをしない現状復旧修理なら再インストールや再設定の手間がかからず、修理後すぐに今まで通りパソコンをお使いいただけます。

▼ 詳細はマイクロデータベースホームページへ