調査日: 2022-08-22
分析実施日: 2022年08月22日
本レポートは、MRACと称されるランサムウェア型のマルウェアによるインシデントの発生を受け、その技術的な特徴、活動プロセス、および被害状況について分析し、適切な対策を提言するものです。MRACランサムウェアは、感染したシステムの重要プロセスを停止させたり強制終了させたりした後、ファイルを.MRAC拡張子に変更し、身代金を要求します。
対象のマルウェアは、その動作からMRACランサムウェアと推定されます。ファイルへの暗号化処理を円滑に進めるため、システム上で特有の準備動作を行うことが確認されています。
本マルウェアが使用するファイルや関連情報の属性情報は以下の通りです。
MRACランサムウェアの活動は、システム環境の準備からファイル暗号化完了に至るまで、以下の段階的なプロセスで進行します。
主要サービスの停止・プロセス強制終了
データ感染を円滑に進める目的で、システム上の主要なサービスを停止させたり、関連プロセスを強制終了させたりする挙動が確認されています。
<主要サービス停止の証跡>
Windows回復機能の無効化とシャドウコピーの削除
被害後のシステム復旧を困難にするため、Windows標準の自己回復機能を無効化し、さらにボリュームシャドウコピーサービス(VSS)を削除しています。
<回復機能の無効化>
システム状態バックアップ機能の削除
<システムバックアップ機能の削除>
システム状態バックアップ機能の削除(別側面)
<システムバックアップ削除の追加証跡>
標的ドライブの特定
GetLogicalDriveStrings関数を利用して接続されているドライブ情報を列挙し、ドライブタイプが2、3、または4に該当するものを暗号化の対象として選定します。
GetLogicalDriveStrings
<ドライブ列挙の挙動>
暗号化後の識別子付与
暗号化が完了したファイルには、識別情報として「=MRAC=」が付与される特徴があります。
<暗号化識別子の付与>
暗号化処理が完了すると、ファイル名は <元のファイル名.MRAC> のように拡張子が変更されます。また、各ディレクトリには身代金要求に関する案内ファイルが作成されます。
<元のファイル名.MRAC>
身代金要求ファイル名: MRACReadMe.html
MRACReadMe.html
<感染結果の例1>
<感染結果の例2>
(※本分析ツール(ホワイトディフェンダー)による検知・防御の際のメッセージ例を以下に示します。)
<ブロックメッセージ>
<ブロック履歴>
MRACブロック実演動画はこちら
MRACランサムウェアの活動プロファイルに基づき、以下の対策を講じることを強く推奨いたします。