本レポートは、身代金要求型ウイルス「MarraCrypt」（別名：MRAC）によるものと推定されるマルウェア感染インシデントに関する技術的分析結果を取りまとめたものです。本マルウェアは、感染したファイルの拡張子を .MARRA に変更し、身代金要求メッセージを生成します。特に、攻撃の永続化および証跡隠滅のためにバッチファイルを利用する挙動が確認されています。

本件に関する確認と、関係各位への注意喚起を目的として、本分析結果を共有いたします。

MarraCrypt ランサムウェア（MRAC）は、暗号化プロセスにおいてシステムセキュリティ機構を無効化し、自己削除を図る特徴を有しています。

ファイル情報

本マルウェアは、暗号化対象ファイルの末尾に .[newpatek@cock.li].MARRA という拡張子を付与します。

感染ペイロードの実行環境情報として以下の画像が確認されています。

対抗措置の実行

MRACは、主要なプロセスデータへのアクセスを確実にするため、関連サービスを停止させたり、プロセスを強制終了させる挙動を示します。

本ランサムウェアの実行フローは、痕跡の消去とデータ破壊を目的とした段階的なバッチ処理によって構成されています。

1. 証跡隠滅およびバックアップデータの削除

ランサムウェアは、攻撃対象のユーザーの rootUsersPublic フォルダ内に sys.bat というバッチファイルを生成します。このバッチファイルには、ボリュームシャドウコピー（VSS）およびその他のバックアップデータを削除するためのコマンドが含まれています。

<作成されたバッチファイル>

これにより、標準的なOSの回復機能を用いたデータ復旧を困難にさせます。

<削除コマンド実行の痕跡>

2. ペイロードの自己削除

ファイル暗号化処理が完了した後、マルウェアは onmywrist.bat というバッチファイルを生成します。このファイルは、マルウェア本体をシステムから削除するための命令を実行し、侵入の痕跡を消去しようとします。

<自己削除用コマンドファイルの生成>

<実行された自己削除コマンド>

暗号化後の状態

暗号化が完了すると、以下の要素が確認されます。

• ファイル拡張子の変更: すべての暗号化されたファイルは <元のファイル名>.[newpatek@cock.li].MARRA の形式に変更されます。
• 身代金要求ファイルの生成: 各フォルダ内に MARRACRYPT_INFORMATION.HTML という名前の身代金要求（ランサムノート）ファイルが生成されます。
• IDファイルの生成: 特定の場所に、暗号化キーに関連付けられた識別情報を含む MARRACRYPT_ID_DO_NOT_TOUCH ファイルが生成されます。

<暗号化結果：ファイル拡張子とノートの生成>

<HTMLランサムノートの表示例>

<ID管理用ファイルの存在>

セキュリティ対策製品による検知

一部のセキュリティソリューション（本件ではWhiteDefender）は、このランサムウェアの悪意ある振る舞いを検知し、暗号化処理が実行される以前のファイル状態に対してリアルタイムの自動復元をサポートしていることが確認されました。

<検知およびブロックメッセージ>

<ブロックされたアクティビティのログ>

MarraCryptランサムウェアの拡散および被害を防ぐため、以下の対策の徹底を推奨いたします。

• バックアップ戦略の強化: 3-2-1ルールに基づいたオフラインまたはイミュータブルなバックアップを維持し、シャドウコピー削除の影響を受けないようにしてください。
• エンドポイントセキュリティの導入: 行動検知型のセキュリティ製品を導入し、ファイルシステムへの異常なアクセスやバッチファイルによるシステムコマンド実行をリアルタイムで監視・阻止する体制を構築してください。
• パッチ管理の徹底: 感染経路として初期アクセス時に脆弱性が悪用される可能性があるため、OSおよびアプリケーションの最新のセキュリティパッチを速やかに適用してください。
• 不審なメール/添付ファイルへの警戒: 添付ファイルやリンクの開封時には、送信元を十分に確認し、不審なファイル実行を避けるよう、従業員への教育を継続してください。