調査日: 2023-01-10

Vohukランサムウェア（バージョン1.51）に関する技術分析報告書

分析日: 2023年1月10日

本報告書は、Vohukランサムウェアの活動が確認された事案に基づき、その技術的な特徴と動作プロセスを分析し、注意喚起を行うことを目的としています。

Vohukランサムウェアは、システムに侵入後、ファイルを暗号化し、拡張子を「.Vohuks」に変更する挙動を示します。これは、典型的なファイル暗号化型ランサムウェアであり、広範な被害をもたらす可能性があるため、厳重な警戒が必要です。

Vohukランサムウェアの実行ファイルは、特定のファイルバージョン情報および属性を有しています。これらの痕跡は、インシデント対応におけるマルウェアの特定に利用されます。

Vohukランサムウェアは、以下の主要なステップを経て、システムへの侵害と暗号化活動を実行します。

持続性の確保（Persistence）

• スタートアッププログラムへの登録

  Windows起動時に自動的に再実行されるよう、自身の実行ファイルをスタートアッププログラムに登録します。これにより、システム再起動後もランサムウェアの活動が継続されます。

  

  <スタートアッププログラムへの登録>

  
  

暗号化が完了した後、被害システムには以下の痕跡が残されます。

ファイル暗号化

ランサムウェアは、対象ファイルを暗号化し、ファイル名を「<暗号化された名前>.Vohuks」という形式に変更します。

の生成

身代金要求を記した案内ファイルが、各フォルダ内に「R3ADM3.txt」というファイル名で生成されます。

Vohukランサムウェアによる被害を未然に防ぐため、組織は以下の予防的措置を速やかに実施することを強く推奨します。

• 定期的なバックアップの実施: 重要なデータは、ネットワークから隔離された環境（オフラインバックアップ）に定期的に取得し、復旧計画を確立してください。
• セキュリティソフトウェアの導入と更新: EDR（Endpoint Detection and Response）や最新のアンチウイルス製品を導入し、定義ファイルおよびエンジンを常に最新の状態に保ってください。
• システムおよびアプリケーションのパッチ適用: OSや利用ソフトウェアの脆弱性を悪用されることを防ぐため、セキュリティパッチを迅速に適用してください。
• 最小権限の原則の徹底: 業務上必要のない管理者権限の使用を避け、ランサムウェアの拡散範囲を制限してください。
• ネットワークのセグメンテーション: 重要なシステムやデータが格納されているネットワークを分離し、横展開（Lateral Movement）のリスクを低減してください。

（参考情報：セキュリティ製品による検知・遮断例）