調査日: 2022-12-26

本レポートは、ランサムウェア「Faust」に関する技術分析の結果をまとめたものです。Faustは、感染したシステム上のファイルを暗号化し、身代金を要求するマルウェアであり、広範なファイル侵害を引き起こすことが確認されています。

このランサムウェアは、暗号化されたファイル名に特定のID、連絡先メールアドレス（icanrestore@onionmail.org）、および拡張子 .faust を付与する特徴があります。

Faustランサムウェアの検体に関するファイル情報および属性を以下に示します。

ファイル情報

Faustランサムウェアがシステムに侵入した後、暗号化を実行するまでの主要な動作プロセスを詳細に分析します。

実行フロー

• 永続性の確立（Persistence）

  Windows起動時に自動的に再実行されるよう、自身をスタートアッププログラムに登録し、システムの再起動後も活動を継続できるようにします。

  

  <スタートアップ登録>

  
  

• 防御機能の無効化

  ユーザーPCのセキュリティ体制を弱体化させるため、Windowsファイアウォールの設定を意図的に無効化します。

  

  <ファイアウォール無効化>

  
  

• シャドウコピーの削除

  感染後のデータ復旧を困難にするため、ボリュームシャドウコピーサービス（VSS）によって作成された復元ポイント（シャドウコピー）を削除します。

  

  <シャドウコピー削除>

  
  

暗号化後のファイル変更

暗号化が進行すると、ファイル名は以下の形式に変更されます。

<ファイル名>.<元の拡張子>.id[個人キー].[icanrestore@onionmail.org].faust

の生成

身代金要求の案内ファイルは、暗号化された各フォルダ内に info.txt および info.hta という名前で生成されます。

Faustランサムウェアによる侵害を防止し、被害を最小限に抑えるため、以下の対策を強く推奨します。

エンドポイントセキュリティの強化

ランサムウェアの悪性な動作（ファイル暗号化、システム設定変更）をリアルタイムで検知・遮断できる、振る舞い検知型の高度なエンドポイントセキュリティソリューション（EDR/NGAV）を導入してください。

予防的措置

• オフラインバックアップの実施: 重要なデータは定期的に取得し、ネットワークから隔離されたオフライン環境に保管してください。
• パッチ管理の徹底: OS、アプリケーション、およびセキュリティソフトウェアを常に最新の状態に保ち、既知の脆弱性を悪用されないようにしてください。
• 最小権限の原則: 業務上必要のない管理者権限の使用を避け、マルウェアの拡散範囲を制限してください。
• VSS保護の確認: シャドウコピーの削除を防ぐため、システム保護設定が有効になっていることを確認してください。