調査日: 2022-10-03

 

本レポートは、CryLcokと呼称されるランサムウェアによる侵害事案について、その技術的な動作および影響を分析し、注意喚起を行うものです。CryLcokは、標的システム上のファイルを暗号化し、特定の拡張子を付与することで、業務継続性を著しく阻害します。

本ランサムウェアは、暗号化されたファイルに対し、元の拡張子に続けて [Raptorfiles@yahooweb.co].[生成された個人キー] という形式の拡張子を付与する挙動が確認されています。

 

CryLcokランサムウェアは、システムへの持続的な影響を確保し、被害者が容易にファイルを復元できないようにするための複数の技術を採用しています。

ファイル属性の確認

分析対象の検体は、以下の図に示すファイルバージョンおよび属性を有しています。

 

 

 

CryLcokは、ファイルの暗号化を実行する前に、システムの復元機能を無効化する一連の動作を実行します。これにより、被害者がシステム標準の機能を用いてデータを回復することを困難にしています。

• シャドウコピーの削除

  暗号化されたファイルの復元を阻止するため、Windowsのボリュームシャドウコピーサービス（VSS）によって作成されたシャドウコピーを削除します。

  

  <シャドウコピーの削除>

• Windows回復機能の無効化

  ユーザーによるシステム復旧を困難にするため、Windowsの回復機能を無効化するコマンドを実行します。

  

  <Windows回復機能の無効化>

 

暗号化が完了すると、以下の特徴的な被害状況が確認されます。

ファイル拡張子の変更

暗号化処理の進行に伴い、ファイルは .<元の拡張子>[Raptorfiles@yahooweb.co].[生成された個人キー] という形式に拡張子が変更されます。

の生成

各フォルダ内に、身代金要求に関する指示を記載した案内ファイルが how_to_decrypt.hta という名前で生成されます。このファイルは、被害者に対し、復号のための手順を伝達する役割を果たします。

 

CryLcokのようなランサムウェアの脅威からシステムを保護するため、以下の対策を強く推奨します。

• データのバックアップ戦略の徹底: 重要なデータは、オフラインまたはネットワークから隔離された環境に定期的にバックアップし、復旧能力を確保してください。
• システムおよびソフトウェアの最新化: OS、アプリケーション、セキュリティソフトウェアを常に最新の状態に保ち、既知の脆弱性を悪用されるリスクを最小限に抑えてください。
• エンドポイントセキュリティの強化: 振る舞い検知機能を持つEDR（Endpoint Detection and Response）ソリューションを導入し、ファイル暗号化やシャドウコピー削除といった悪意ある動作をリアルタイムで検知・阻止できる体制を構築してください。
• ネットワークのセグメンテーション: ネットワークを適切に分割し、万が一一部のシステムが侵害された場合でも、被害が広範囲に及ぶことを防いでください。
• ユーザー教育の実施: 不審なメールの添付ファイルやリンクを開かないよう、従業員に対するセキュリティ意識向上トレーニングを継続的に実施してください。

検出機能の例

（注：適切なエンドポイントセキュリティ製品は、ランサムウェアの悪性な挙動をリアルタイムで検知し、暗号化が進行する前にプロセスを遮断することが可能です。）