調査日: 2023-02-20

本レポートは、2023年2月20日に活動が確認されたランサムウェア「Exx」に関する技術分析を提供するものです。Exxランサムウェアは、標的システム上のファイルを暗号化し、ファイル拡張子を強制的に.exxに変更する特徴を持ち、データの利用を不可能にします。

Exxランサムウェアの実行ファイルは、システムに侵入後、以下の動作プロセスを実行し、暗号化活動を開始します。

ファイル属性情報

ランサムウェアの実行ファイルに関する詳細な属性情報を以下に示します。

侵害後のランサムウェアの動作プロセスは、システムの持続性の確保と復元機能の無効化に重点を置いています。

• 持続性の確保（スタートアップ登録）

  Windows起動時にランサムウェアが再実行されるよう、スタートアッププログラムのレジストリキーに自身のファイルを登録し、持続性を確保します。

  

  <スタートアッププログラムへの登録>

  
  

• シャドウコピーの確認と削除

  システムの復元機能（ボリュームシャドウコピーサービス：VSS）を利用したデータ復旧を妨害するため、シャドウコピーの確認および削除コマンドを実行します。

  

  <シャドウコピーの確認と削除>

  
  

暗号化が完了すると、標的システム上のファイルは以下の形式で変更されます。

• ファイル拡張子の変更: 全ての暗号化されたファイルは、元のファイル名に.exxが付加された形式（例：ファイル名.exx）に変更されます。
• 身代金要求ファイルの生成: 各フォルダ内に、身代金要求を記載したテキストファイルが作成されます。ファイル名は「HELP_RESTORE_FILES_[個人キー].TXT」です。

Exxランサムウェアのような脅威からシステムを保護し、被害を最小限に抑えるために、以下の対策を推奨します。

• 定期的なバックアップの実施: ネットワークから隔離された環境（オフラインまたはイミュータブルストレージ）に重要なデータを定期的にバックアップしてください。
• VSS削除対策の強化: VSS削除コマンドの実行を検知・阻止できるエンドポイントセキュリティ製品（EDR/次世代AV）を導入してください。
• 振る舞い検知機能の活用: ファイルの大量暗号化やレジストリへの不審な書き込みなど、ランサムウェア特有の振る舞いをリアルタイムで検知し、実行を遮断する仕組みを導入してください。

以下は、セキュリティソリューションによるランサムウェアの悪性行為の遮断例です。