調査日: 2022-08-01

ランサムウェア「DarkyLock」に関する分析報告

分析実施日: 2022-08-01

 

本報告は、ランサムウェア「DarkyLock」と推定されるマルウェアによるインシデントの確認と、その技術的特徴、動作プロセスに関する分析結果を共有するものです。DarkyLockは、著名なランサムウェアであるLockBit 3.0（LockBit Black）の亜種と見られ、正規の実行ファイル（PuTTY）に偽装してユーザーを欺き、システム侵害およびデータ暗号化を実行します。

 

基本情報とファイル特性

当該ランサムウェアは、LockBit 3.0の技術を基盤としており、暗号化完了後、対象ファイルに「.darky」の拡張子を付与します。ファイル情報の分析により、その出自が確認されました。

ファイル情報：

 

侵害の初期段階：実行ファイルへの偽装

• PuTTYファイルへの偽装: ランサムウェアの実行ファイルは、SSHクライアントであるPuTTYの実行ファイル（PUTTY.EXE）に偽装されています。
• 二重実行メカニズム: 実行時、本マルウェアはAppDataLocalTempディレクトリに正規のPuTTY実行ファイル（PUTTY.EXE）と、実際の悪性ペイロード（E_WIN.exe）をドロップ（展開）します。
• カモフラージュ: ユーザーには正規のPuTTYウィンドウが表示される一方で、バックグラウンドで悪意のあるプロセスが実行され、暗号化プロセスが進行します。

（※画像は、ユーザーに表示される正規の画面と、バックグラウンドでの動作を対比させるためのものです。）

持続性と痕跡消去

• シャドウコピーの削除: システムの標準的な復旧機能であるボリュームシャドウコピー（VSS）を標的とし、削除を実行することで、身代金の支払いなしでのデータ復旧を困難にします。

（※画像は、シャドウコピー削除コマンドに関連するレジストリ設定の例、あるいは初期設定の痕跡を示している可能性があります。）

暗号化対象の特定

• ドライブ列挙: GetLogicalDrives関数を使用し、Aドライブ（フロッピーディスク）を除く全てのローカルおよびネットワークドライブを列挙し、暗号化の対象とします。

コード分析：

（※出典情報：ドライブ種別判定APIに関する参考情報）

重複実行の防止

• ミューテックスの確立: 既にマルウェアが実行されている環境下での二重実行を防ぐため、特定のミューテックス（Mutex）オブジェクトを作成し、プロセス単一性を確保します。

 

暗号化後の痕跡

ファイルの暗号化が完了すると、対象フォルダ内に身代金要求メッセージ（ランサムノート）が配置されます。ファイル名は一貫して「Restore-My-Files.txt」として生成されます。

ファイル拡張子の変更：
暗号化されたファイルは「<元のファイル名>.darky」にリネームされます。

（身代金要求ファイル）：

 

防御・対応策（ホワイトディフェンダーによる対応例を含む）

本マルウェアの活動が確認された場合、以下の対策を講じることを強く推奨します。

リアルタイム防御と復旧：

• 既存のセキュリティソリューション（本件ではホワイトディフェンダー）による既知の悪性挙動の検出とブロックが不可欠です。
• ランサムウェアによる暗号化処理の試行に対しても、リアルタイムでの自動復旧機能（ファイル自動復元）を有効にし、影響を最小限に抑える必要があります。

検出・ブロックメッセージ例：

予防的対策：

• バックアップ戦略: 3-2-1ルールに基づいたオフラインかつ隔離されたバックアップを維持し、ランサムウェア感染時にも復旧可能な状態を確保してください。
• 実行制御: 信頼できないソースからのファイル実行、特にPuTTYなどの正規アプリケーションに偽装されたファイル実行には細心の注意を払うよう、エンドユーザーへの教育を徹底してください。
• 脆弱性管理: LockBitファミリーは既知の脆弱性を悪用するケースが多いため、OSおよびアプリケーションの速やかなパッチ適用を実施してください。