調査日: 2022-10-17

本レポートは、2022年10月17日に確認されたVenusランサムウェアの活動に関する技術分析をまとめたものです。このランサムウェアは、主にメール添付ファイルに仕込まれたマクロ機能を悪用してシステムに侵入します。侵入後、データベースや文書関連のプロセスを強制終了し、ファイルを暗号化します。暗号化されたファイルは、元の拡張子に「.venus」が付加される形式に変更されます。

Venusランサムウェアの実行ファイルに関する詳細な分析結果を以下に示します。

ファイル情報

実行ファイルのバージョン情報および属性は以下の通りです。

Venusランサムウェアがシステムに侵入してから暗号化を実行するまでの主要な動作プロセスを解説します。

• 特定プロセス強制終了

  暗号化を確実に行うため、データベースや文書関連など、ファイルロックを引き起こす可能性のある関連プログラムを強制的に終了させます。

  

  <特定プロセス強制終了>

  
  

• ネットワーク接続テスト

  pingコマンドを使用して外部との通信状態を確認します。これは、C2（コマンド＆コントロール）サーバーとの通信準備、または基本的なネットワーク接続の有無を確認する目的で行われます。

  

  <ネットワークテスト>

  
  

• 持続性の確立（Persistence）

  Windowsレジストリに自身を登録することで、システムが再起動された際にも自動的に再実行されるよう、持続性を確立します。

  

  <スタートアップ登録 (レジストリ)>

  
  
  

  <スタートアップ登録 (実行確認)>

  
  

  また、暗号化対象を決定するために、GetDriveTypeA APIなどを利用してドライブタイプを確認する動作が確認されています。

  

  <ドライブタイプの確認 (出典: Microsoft Docs)>

  
  

暗号化が完了すると、ファイルは以下の形式で変更されます。

• ファイル拡張子: .既存拡張子.venus

（身代金要求ファイル）は、システムフォルダ内にmshta.exeとして、またルートドライブにREADME.htmlとして生成および実行されます。

Venusランサムウェアのような脅威からシステムを保護するために、以下の対策を強く推奨します。

• メールセキュリティの強化: 信頼できない送信元からのメール添付ファイル、特にマクロ機能を含むファイル（例：.docm, .xlsm）は、実行前に細心の注意を払うか、マクロ機能をデフォルトで無効化してください。
• 定期的なバックアップの実施: 重要なデータは、ネットワークから隔離された環境（オフラインストレージなど）に定期的にバックアップし、ランサムウェアによる被害が発生した場合でも迅速に復旧できる体制を構築してください。
• エンドポイントセキュリティの導入: 振る舞い検知機能を持つ最新のエンドポイントセキュリティソリューションを導入し、ファイル暗号化やレジストリ変更といった悪意のある動作をリアルタイムで検知・遮断してください。
• OSおよびアプリケーションのパッチ適用: OSや利用しているソフトウェアの脆弱性を悪用した侵入を防ぐため、常に最新のセキュリティパッチを適用してください。

セキュリティソリューションによる検出および遮断の例を以下に示します。