調査日: 2022-09-13
発行日: 2022年09月13日
Lilithランサムウェアと推定される侵害事象が確認されたため、本件に関する詳細な分析結果と注意喚起を以下の通り報告いたします。
本インシデントは、Lilithと呼称される新たなランサムウェアによるファイル暗号化攻撃に関連しています。当該マルウェアは、暗号化されたファイルに対し、一貫して「.Lilith」という拡張子を付与する特徴を有しています。
本マルウェアの実行ファイルおよび関連するメタデータについて、以下の図にて詳細を確認しました。
観測された主な動作プロセスは以下の通りです。
一時フォルダへのファイル配置(Dropping)
マルウェア本体は、システムの一時フォルダ(Temp)領域に実行ファイルをドロップし、そこから暗号化プロセスを開始・実行します。
<ファイル生成(Tempフォルダ内での活動)>
ボリュームシャドウコピーの削除(Persistence破壊)
暗号化されたファイルの容易な復元を防ぐため、システムに標準搭載されているボリュームシャドウコピー(VSS)を削除するコマンドを実行します。
<ボリュームシャドウコピーの削除活動>
暗号化処理が完了した後、被害を受けた各ディレクトリには身代金要求に関するテキストファイルが生成されます。ファイル名は一貫して Restore_Your_Files.txt です。
Restore_Your_Files.txt
暗号化されたファイルは、元のファイル名に続けて <暗号化ファイル名>.lilith の形式で拡張子が変更されます。
<暗号化ファイル名>.lilith
<暗号化被害の状況1>
<暗号化被害の状況2>
本マルウェアの悪意ある挙動に対し、当社のセキュリティ製品(WhiteDefender)は、暗号化実行の直前段階、あるいは実行中にリアルタイムでこれを検知し、自動復元機能を適用したことを確認しました。
<製品によるブロックメッセージ>
<ブロックおよび復元処理のログ記録>
Lilithランサムウェアを含む標的型攻撃からシステムを保護するため、以下の対策を強く推奨いたします。