調査日: 2022-12-05

 

本レポートは、Fopra（フォプラ）と呼称されるランサムウェアによる侵害事案に関する技術分析結果をまとめたものです。Fopraランサムウェアは、ユーザーのファイル、ドキュメント、動画を含む広範なデータを標的とし、ファイルを暗号化します。感染が確認された場合、迅速な対応と適切な復旧措置が求められます。

分析日: 2022-12-05

 

Fopraランサムウェアは、実行後、システム内で永続性を確立し、防御機能を無効化する複数の悪性動作を実行します。暗号化されたファイルには、特定のIDと攻撃者の連絡先情報を含む独自の拡張子が付与されます。

ファイル情報

実行ファイルのバージョン情報およびプロパティは以下の通りです。

 

 

 

Fopraランサムウェアがシステムに侵入した後、暗号化を実行するまでの主要な動作プロセスを詳細に解説します。

• 永続性の確立（スタートアップ登録）

  ランサムウェアは、最初に実行された場所から %AppData%Local ディレクトリへ自身をコピーし、その後、システム再起動後も自動的に実行されるようスタートアッププログラムとして登録します。

  

  <スタートアップ登録の痕跡（レジストリ）>

  

  <スタートアップ登録の痕跡（ファイルパス）>

• シャドウコピーの削除（復旧妨害）

  感染後のデータ復旧を困難にするため、Windowsのボリュームシャドウコピーサービス（VSS）によって作成されたシャドウコピーを削除するコマンドを実行します。

  

  <シャドウコピー削除コマンドの実行>

• Windowsファイアウォールの無効化

  外部との通信やC2サーバーとの接続を容易にするため、あるいはセキュリティ対策を弱体化させる目的で、Windowsファイアウォールを無効化します。

  

  <Windowsファイアウォール無効化の実行>

 

暗号化が完了すると、ユーザーのファイルは以下の形式に拡張子が変更されます。

ファイル拡張子形式: <ファイル名>.<拡張子>.id[固有値].[tracklus@tfwno.gf].fopra

また、暗号化された各フォルダ内には、身代金要求に関する情報が記載されたランサムノートファイルが生成されます。

ファイル名: info.txt および info.hta

 

Fopraランサムウェアのような脅威からシステムを保護し、被害を最小限に抑えるために、以下の対策を強く推奨します。

• データのバックアップ戦略の徹底: 重要なデータは定期的にオフラインまたは隔離された環境にバックアップし、ランサムウェアによる影響を受けないようにしてください。
• セキュリティパッチの適用: OS、アプリケーション、およびネットワーク機器の脆弱性に対するセキュリティパッチを迅速に適用し、初期侵入経路を遮断してください。
• 最小権限の原則: ユーザーアカウントおよびサービスアカウントには、業務遂行に必要最低限の権限のみを付与してください。
• 振る舞い検知型セキュリティソリューションの導入: ファイルの大量暗号化やシステム設定の不正な変更（シャドウコピー削除、ファイアウォール無効化など）といった悪性な振る舞いをリアルタイムで検知し、実行を遮断できるEDR（Endpoint Detection and Response）ソリューションを導入してください。
• リアルタイムでの防御と復元機能: 悪性な暗号化プロセスが開始される前にこれを検知・遮断し、万が一暗号化が進行した場合でも自動的にファイルを復元する機能を持つ対策製品の利用を検討してください。

悪性活動の検知と遮断例

適切なセキュリティソリューションを導入することで、ランサムウェアの悪性な動作を検知し、暗号化を未然に防ぐことが可能です。