調査日: 2023-04-21
Javaランサムウェアと推定されるマルウェアによる侵害事案が確認されました。本レポートでは、当該事象の確認結果と、その技術的特徴、および推奨される対策について報告いたします。
本マルウェアは「Java」と呼称されており、感染対象ファイルの拡張子を「元のファイル名.元の拡張子.java」に変更する特徴を有しています。
マルウェアの識別情報
(Operational Flow)
タスクスケジューラを利用した再実行と権限昇格の試み
本ランサムウェアは、タスクスケジューラ(Task Scheduler)を利用して自身を再実行し、より高い権限(Elevated Privileges)での動作を試みる挙動が確認されています。
<タスクスケジューラによるランサムウェア実行>
ボリュームシャドウコピー(VSS)の確認と削除
暗号化実行後、被害者がシステム標準機能によるファイル復旧を困難にするため、vssadminコマンドを用いてボリュームシャドウコピー(Shadow Copies)を意図的に削除するプロセスが確認されました。
vssadmin
<ボリュームシャドウコピーの確認>
暗号化完了後、身代金要求ファイル(ランサムノート)が各ディレクトリにFILES ENCRYPTED.txtとして生成されるか、あるいはsystem32フォルダ内にmshta.exeが生成されることが確認されています。暗号化されたファイルは前述の通り「<元のファイル名.元の拡張子.java>」の形式に変更されます。
FILES ENCRYPTED.txt
system32
mshta.exe
<感染結果1>
<感染結果2>
<感染結果3>
(※以下のセクションは、提供された情報に基づき、一般的な対策と、レポート内で言及されている防御製品の機能紹介を統合します。製品名はそのまま記載します。)
本マルウェアの活動を阻止し、被害を最小限に抑えるためには、以下の対策を講じることを強く推奨いたします。
セキュリティ製品「ホワイトディフェンダー」は、ランサムウェアの悪意ある挙動を検知し、暗号化が進行する前にリアルタイムで自動復元をサポートする機能を有しています。
<ブロックメッセージ>