【Phobosランサムウェアに関する分析報告】

Phobosランサムウェアと推定される侵害事象が確認されました。これに基づき、当該事象に関する確認事項および注意喚起を以下の通り報告いたします。

本報告書は、2017年以降複数の亜種が観測されているPhobosランサムウェアの一種について、その動作と影響を分析したものです。本分析対象のサンプルでは、ファイルの暗号化後に「.eking」という拡張子が付与される特徴が確認されました。

ファイル情報の概要

本ランサムウェアの実行により生成される情報ファイル、および暗号化されたファイルの命名規則について以下に示します。

• ランサムテキスト名: info.txt
• 実行パス: mshta.exe / info.hta
• 暗号化されたファイル情報: <暗号化ファイル名.拡張子.id[ランダム文字列-].[chinadecrypt@msgsafe.io].ランダム値>

本亜種は、ファイルの暗号化を完了した後、被害者に身代金の支払いを要求します。影響を受けたファイルの拡張子は、固有の文字列が付加される形で変更されます。

1. 外部通信の確認

マルウェアは、実行後、外部ネットワークとの接続性を確認するため、ランダムなWebサイトへの通信を試行します。

<動作プロセス：外部通信の確認フェーズ>

2. 持続性（Persistence）の確立

システム再起動後もマルウェアが継続して動作するよう、スタートアッププログラムのレジストリキーに自己登録を行います。

<スタートアップレジストリへの登録>

3. セキュリティ機能の無効化

追加の感染活動や自己防衛を容易にするため、Windowsファイアウォールを無効化する操作が確認されています。また、復旧を困難にする目的で、ボリュームシャドウコピー（VSS）を削除するコマンドが実行されます。

<復旧を困難にするためのシャドウコピー削除コマンドの実行>

暗号化結果と身代金要求

暗号化処理が完了した後、影響を受けた全てのディレクトリ内に、Read_Me!_.txtという名称の身代金要求ファイルが生成されます。暗号化されたファイルの拡張子は、<暗号化ファイル名.拡張子[ID=ランダム値-Mail=FreedomTeam@mail.ee].ランダム値>の形式に変更されます。

<.txt形式のランサムノート画面>

<ランサムノートのイメージ>

<感染後の拡張子変更状況>

本種のPhobosランサムウェアの脅威に対抗するため、以下の対策を強く推奨いたします。

• バックアップの徹底: 3-2-1ルールに基づいたオフラインまたはイミュータブルなバックアップを維持し、データ復旧能力を確保してください。
• エンドポイントセキュリティの強化: 既知の脅威だけでなく、振る舞い検知が可能な最新のEDR/XDRソリューションを導入し、初期侵入および暗号化プロセスの段階で動作をブロックしてください。
• アクセス制御の厳格化: ネットワーク共有への不要なアクセス権限を最小化し、特権アカウントの管理を徹底してください。
• パッチ管理: OSおよびアプリケーションの脆弱性を放置せず、迅速にセキュリティパッチを適用してください。

（参考情報：本報告書で言及された製品における検知・防御機能のデモンストレーションについては、下記リンクをご参照ください。）