<安全>マイクロソフト配布のランサムウェアウイルスに感染してみた : 無題なログ

<安全>マイクロソフト配布のランサムウェアウイルスに感染してみた

マイクロソフトが提供するWindows向けランサムウェアウイルスな実行ファイル validatecloud.exe を起動して感染してみた時の症状を画像つきで紹介します

Windows 10 に実装されている無料ウイルス対策ソフト Windows Defender には クラウド検出機能 というセキュリティ防護層が用意されてあります。

そんなクラウド検出機能の動作確認をしたいユーザーさん向けに、マイクロソフト自らが 疑似マルウェアファイル なるブツを公開していますよ。

Windows Defender ウイルス対策のネットワーク接続の構成とテスト - Microsoft
Microsoft から疑似マルウェアファイルのダウンロードを試みる
クラウドに正しく接続されている場合は、Microsoft Defender ウイルス対策によって検出およびブロックされるサンプルファイルをダウンロードできます。このファイルは、実際のマルウェアではありません。正しくクラウドに接続しているかどうかをテストするために作成されたダミーファイルです。正しく接続されている場合は、Microsoft Defender ウイルス対策通知が表示されます。
https://docs.microsoft.com/ja-jp/windows/threat-protection/windows-defender-antivirus/configure-network-connections-windows-defender-antivirus

■ ランサムウェア？実行ファイルの詳細

マイクロソフトからダウンロードした Windows 向け実行ファイル（拡張子 .exe）のスクショ画像がコチラ！

validatecloud.exe

123,456 バイト
MD5 65a53a41217ff82d23d3571dbb7f5898
SHA1 a7bf4809d0a968682b1194eff3a71ce3d8aba744

123,456 バイト
MD5 0593891cb9089455ba2567443be40dce
SHA1 76a888abc8c7a8dab91d2949030857312f652866

123,904 バイト
MD5 46111892fbe80afea272d8601d72f275
SHA1 46a01aa999843c55eb8ef7031c1db0d23ee30342

何か怪しそう…。

いちおう、Windows PC に損害を与えないマイクロソフト謹製で危険性のない無害ファイルであるにも関わらず、マイクロソフト以外のセキュリティソフトが validatecloud.exe をトロイの木馬ウイルスで脅威扱いにする場合があります。

ESET MSIL/Hoax.FakeFilecoder.CX
BitDefender Gen:Variant.Application.Joke.3
Kaspersky Trojan-Ransom.MSIL.Agent.aaz HEUR:Hoax.MSIL.FakeRansom.gen

なお、実行ファイル validatecloud.exe の説明欄には「BaFS Sample」とあり、由来は何でしょ？

＜分からんかった

感染するとドクロマークでファイル暗号化!?

実行ファイル validatecloud.exe をポチポチッとダブルクリックして起動すると ”ウイルス感染”の症状は？

手元で動作確認してみところ、事前知識なしだと『ファイルを暗号化するコンピュータウイルスに感染して身代金の支払いを要求されている～！（悲鳴）』と誤解しかねない恐怖のウィンドウ画面が表示されました。

マイクロソフト製ランサムウェア???
真っ赤なドクロマークでビックリ仰天！

File "Protection" Service
Your files will be permanently deleted in:
23:XX:XX
Encrypting Hard Drive
[Decrypt Files]
Requires encryption key. Click "Pay Now" to buy your key.
[Contact Us] [Pay Now]

ウィンドウ画面上ではソレっぽい演出として、次のような動くアニメーションが用意されてありました。