【Garticphone ランサムウェア】

Garticphone ランサムウェアと推定される侵害事象が発生したため、
当該状況の確認と注意喚起を以下の通り報告いたします。

Garticphone ランサムウェア

本ランサムウェアは「Garticphone」と呼称されており、感染対象ファイルの拡張子を「<ファイル名.拡張子.任意の個別4桁>」に変更する挙動が確認されています。

ファイル情報

動作の特徴

• 本マルウェアは.NET (C#) 基盤で作成されており、Chaos系ランサムウェアの動作機構と類似しています。初回実行後、Roamingディレクトリ内に「svchost.exe」として再実行され、当該位置からローカルURLファイルをスタートアップフォルダに生成します。基本的にはCドライブのライブラリフォルダを標的としますが、それ以外の追加ドライブも全て探索対象となります。攻撃完了後、ファイル復元を困難にするため、cmdコマンドを用いてシャドウコピーの削除、Windows回復環境およびプログラムエラー通知の無効化、Windows Serverのバックアップカタログの削除などを実行します。

  

  <Roamingフォルダにコピーされたランサムウェアファイル svchost.exe>

  
  
  

  <スタートアップフォルダに生成されたショートカットURLの静的コード>

  
  
  

  <スタートアップフォルダに生成されたショートカットURLファイル>

  
  
  

  <静的コード内に存在するものの、使用されていないスタートアップレジストリ登録機能>

  
  
  

  <cmdコマンドを使用した複数の復元防止コマンド>

  
  

感染結果

デスクトップの壁紙が変更され、各フォルダ内に「read_it.txt」が生成されます。暗号化処理の際、ファイル名は「<ファイル名.拡張子.任意の個別4桁>」に変更されます。

<感染結果>

本件のようなランサムウェアの脅威に対し、弊社製品（ホワイトディフェンダー）は、悪性行為の検知およびブロック以前に暗号化が進行するファイルに対しても、リアルタイムでの自動復元機能をサポートしております。

<ブロックメッセージ>