| 対象製品 | EX AntiMalware、EX AntiMalware v7 |
|---|---|
| 対象Ver | V6、V7 |
はじめに
不正な暗号化振る舞いを検知してブロックする仕様になりますが、正規の暗号化ソフトによる連続したファイル暗号化、または正規のアプリによる連続したファイルへの操作に対しても過剰に反応することがあります。
その場合は、下記の手順に沿って対応を行ってください。
解説
正規の暗号化ソフトやアプリも振る舞いによっては、検知対象になる可能性があります、
その場合は、除外設定を行いホワイトリストに登録する必要があります。
下記の例では、ウェブブラウザであるMicrosoft Edgeの振る舞いに対して過剰に反応したケースとなります。
「MicrosoftEdgeCP.exe」が以下3点のファイルを連続して暗号化していると判定され、MicrosoftEdgeCP.exeの挙動をブロックすると共に警告ダイアログが表示されている状態です。
・test[1].png
・test[2].png
・example10_2-206×206[1].png
EX AntiMalware v7
ランサムウェア情報:
C:\Windows\System32\MicrosoftEdgeCP.exe
検知ファイル:
C:\Users[USERNAME]\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC#!001\MicrosoftEdge\Cache\IOQZLLZS\test[1].png
C:\Users[USERNAME]\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC#!001\MicrosoftEdge\Cache\A9G7C5N0\test[2].png
C:\Users[USERNAME]\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC#!001\MicrosoftEdge\Cache\YZTKH4N6\example10_2-206×206[1].png
Ahkun EX AntiMalware
※こちらは動作テスト時の画面となります。
対処方法
Microsoft Edgeの例のように正規アプリの挙動がランサムウェアと判定されブロックされた
場合でも、ランサムウェアとして検知「ブロック」されたファイル(例では、MicrosoftEdgeCP.exe)の感染有無を確認する必要がありますので、カスタマーサポートまでお問い合わせください。
Mail : support@fuva-brain.co.jp
※可能であれば以下の情報をご記入ください
アカウントID
ご連絡先
ご担当者
未知のランサムウェア検知時の状況(何をしている時に検知されたのか)
ランサムウェア情報と検知ファイル
ただし、カスタマーサポート窓口の対応時間外で緊急な対応が必要な場合は下記の手順に沿って対応を行ってください。
※緊急対応は不要な場合は、該当PCをシャッドダウンせずにネットワークから切断(LANケーブルを外す)した状態で
カスタマーサポートの対応時間内にご連絡ください。
1 未知のランサムウェアとしてブロックされたファイルの感染有無を確認
[1]MicroSoft関連のソフト、またはお使いの業務関連ソフトが「ランサムウェア」として検知されている場合は誤検知の可能性が高いです。
下記は正規ソフトの振る舞いに対して過剰に反応した誤検知事例です。
・Officeなどの業務ソフト操作時に警告ダイアログが表示された。
・警告ダイアログの「ランサムウェア情報」がお使いの正規ソフトのファイルパスである。
MicroSoft Office
ランサムウェア : C:\Program Files\WindowsApps\Microsoft.Office.Desktop.Word_16051.11629.20246.0_x86__8wekyb3d8bbwe\Office16\WINWORD.EXE
ランサムウェア : C:\Program Files\WindowsApps\Microsoft.Office.Desktop.Outlook_16051.11629.20246.0_x86__8wekyb3d8bbwe\Office16\OUTLOOK.EXE
ランサムウェア : C:\Program Files\WindowsApps\Microsoft.Office.Desktop.Excel_16051.11629.20246.0_x86__8wekyb3d8bbwe\Office16\EXCEL.EXE
Kingsoft Office
ランサムウェア :C:\Program Files (x86)\Kingsoft\WPS Office\10.8.0.6184\office6\wpp.exe
ランサムウェア :C:\Program Files (x86)\Kingsoft\WPS Office\10.8.2.6709\office6\et.exe
Adobe関連製品
ランサムウェア :c:\program files (x86)\common files\adobe\adobe desktop common\hdbox\setup.exe
[2]ファイルのマルウェア検査を行うウェブサイトであるVirusTotalでランサムウェアとして検知されたファイルの感染有無をチェックします。
例)C:\Windows\System32\MicrosoftEdgeCP.exe
[3]上記手順の[1]と[2]で正常なファイルと判断できたら除外設定に進みます。
2 除外設定を行いホワイトリストに登録する
上記1の手順で未知のランサムウェアとして検知(ブロック)されたファイルが正常なファイルと判断できた場合は「除外設定」をクリックし、確認ダイアログで「はい」をクリックします。
3 Managerのポリシーにも除外設定を行う
クライアントプログラムでの除外設定は一時的なものとなりますので、60分以内にはManagerサーバとのポリシー通信で元の設定に戻ってしまいます。
Managerログイン→該当ポリシー→除外でも同じファイル名を除外設定に追加してください。
[1]EX AntiMalware Managerにログインし、除外設定を行います。
