調査日: 2022-12-22

本レポートは、新たに確認されたランサムウェア「Doydo」に関する技術分析を提供するものです。Doydoは、既知のBabukランサムウェアの系統に属すると推定されており、感染したシステム上のファイルを暗号化し、ファイル拡張子を「.doydo」に変更する挙動が確認されています。

侵害が発生した場合、全てのファイルは「ファイル名.元の拡張子.doydo」の形式に強制的に変更されます。本分析は、インシデント対応および予防策策定の一助となることを目的としています。

Doydoランサムウェアの実行ファイルに関する詳細なプロパティ情報を以下に示します。

ファイルバージョン情報

ファイルプロパティ

Doydoランサムウェアは、標的システム上で以下の主要なプロセスを実行し、ファイルの暗号化を準備および実行します。

• シャドウコピーの削除

  暗号化後のデータ復旧を困難にするため、ボリュームシャドウコピーサービス（VSS）によって作成された復元ポイントを削除します。これにより、ユーザーがOS標準機能を用いてファイルを復元する手段を封じます。

  

  <シャドウコピー削除の痕跡>

  
  

暗号化処理が完了すると、システム上のデータファイルは以下の形式で変更されます。

• ファイル拡張子の変更: 全ての暗号化対象ファイルに「.doydo」拡張子が付加されます。（例：document.docx → document.docx.doydo）
• の生成: 各フォルダ内に身代金要求文書が生成されます。ファイル名は「Help Restore Your Files.txt」です。

感染後のファイル一覧

ランサムウェアによる被害を最小限に抑え、Doydoのような脅威からシステムを保護するため、以下の対策を強く推奨します。

• データのバックアップと隔離: 重要なデータは定期的にバックアップし、ネットワークから隔離された環境（オフラインまたはイミュータブルストレージ）に保管してください。
• セキュリティソリューションの導入: リアルタイムの悪性行為検知および自動復元機能を備えたEDR（Endpoint Detection and Response）または次世代アンチウイルス（NGAV）ソリューションを導入し、ランサムウェアの実行を未然に防いでください。
• OSおよびソフトウェアの最新化: OS、アプリケーション、およびファームウェアのセキュリティパッチを速やかに適用し、既知の脆弱性を悪用した侵入経路を遮断してください。
• 最小権限の原則の適用: ユーザーアカウントおよびサービスアカウントには、業務遂行に必要最低限の権限のみを付与してください。

セキュリティソリューションによる検知例

適切なセキュリティソリューションを導入している場合、ランサムウェアの悪性な動作（ファイル暗号化やVSS削除など）をリアルタイムで検知し、遮断することが可能です。