「.lock4」拡張子に暗号化するlock4ランサムウェアの国内被害がありました。
「.lock4」拡張子にするランサムウェア例は非常に少なく、過去のランサムウェアの亜種としての特定ができませんでした。
Vmware ESXiを攻撃したランサムウェアも「.lock4」拡張子を使いましたが、全くの別物です。
身代金要求ファイルは、「How_to_back_files.txt」です。この身代金要求ファイル名も珍しいもので、Globelmposterランサムウェアが使用していたくらいです。
クリックすると拡大表示
ここに書かれている犯人側のメールアドレスのドメインは2つとも該当がありませんでした。また、onionサイトリンクを見てもアクセスができませんでした。逃げてしまった可能性があります。
ランサムウェア本体は、「lock4.exe」でした。%users%\music\lock4\lock4.exeにありました。このファイルを解析しました。
クリックすると拡大表示
クリックすると拡大表示
クリックすると拡大表示
VisualStudio 2019、2017で作られたプログラムだという事がわかります。
あと、被害状況から暗号化されていないファィルがほとんど開く事ができませんでした。しかし、当社のデータ復旧を行ったところ開く事ができるファイルの取得に成功しています。
当社では3通りの解決方法を持っています。
犯罪者と交渉をしないでデータを取り戻す手法も開発しています。
感染後すぐに依頼されれば、高い取得率があります。時間の経過とともに取得率は下がります。取得率が100%近い復号サービスもあります。
データを戻した後の再発措置防止コンサルティング、感染経路調査コンサルティング、情報漏洩調査、業務再運用コンサルティングをしています。
042-735-1600にて無料相談(10分程度)をしています。
被害に遭われた方々のお力になれると思います。