「.eight」拡張子に暗号化するPhobosランサムウェアは2020年春頃に感染拡大して収束しました。
その後、感染報告はなく、2021年秋頃から国内において感染報告が少数ですが続いています。
このeightランサムウェアに感染すると次の身代金要求画面が表示されます。
身代金要求ファイルは、「info.hta」 と「info.txt」です。
info.txt は次の通りです。
ランサムウェア本体は、「Fast.exe」です。
感染すると、
\driver\Fast.exe
\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Fast.exe
%userid%\AppData\Local\Fast.exe
%userid%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe
上記のパスにFast.exeが置かれます。
このランサムウェアは単体のウイルスではありません。
完全な駆除は、当社の再発防止コンサルティングをご利用ください。
Fast.exe の概要は次の通りです。
VisualStudioで開発されています。
以前の当社のPhobosランサムウェアの解析記事と見比べるとわかりますが、VisualStudioのバージョンを隠しました。
リバースエンジニアリングにて解析していくと、VisualStudio 2010以降のライブラリが使われています。
このFast.exeは、Windows OSの次のライブラリを利用しています。
WS2_32.DLL
IPHLPAPI.DLL
WINHTTP.DLL
KERNEL32.DLL
USER32.DLL
ADVAPI32.DLL
SHELL32.DLL
OLE32.DLL
暗号化されたファイルを戻す手法について、当社では2通りの解決方法を持っています。
犯罪者と交渉をしないでデータを取り戻す手法も開発しています。感染後すぐに依頼されれば、高い取得率があります。時間の経過とともに取得率は下がります。
取得率が100%近い復号サービスもあります。
データを戻した後の再発防止コンサルティング、感染経路調査コンサルティング、情報漏洩調査、業務再運用コンサルティングをしています。
無料相談(10分程度)もしていますので、すぐに行う措置を説明しています。
被害に遭われた方々のお力になれると思います。
ファイルの暗号化に気がついたらすぐにシャットダウンして依頼されれば身代金を払わずに解決する方法があります。
暗号化されてしまう被害に遭うと何か月か置いてから2次攻撃、3次攻撃と被害が続きます。適切な再発防止措置が必要です。
どのようなケースであってもデータを戻す復号サービスをしています。お困りの方はご連絡下さい。
※当社の記事は実際にランサムウェアに対応した作業や事実に基づく内容です。当記事は転載禁止です。