調査日: 2023-04-24
Zxcランサムウェアと推定される侵害事象が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。
Zxcランサムウェアは、VoidCryptランサムウェア製品群に属する悪性マルウェアです。感染経路としては、電子メールの添付ファイル、P2Pファイル共有サイト、および悪性広告(マルバタイジング)が確認されています。本ランサムウェアに感染した場合、システム上の全データが暗号化され、復号のためには暗号資産による支払いが要求されます。暗号化が完了すると、影響を受けた全データファイルは「[元のファイル名.元の拡張子.(個人鍵)(攻撃者のメールアドレス).zxc]」の形式に変更されます。例えば、[file.jpeg]は[fileファイル名.拡張子.(個人鍵)(hionly@tutanota.com).zxc]のように変更されます。この処理が完了すると、Decryption-Guide.HTAファイルを通じてランサムノートメッセージがポップアップ表示され、影響を受けた全てのフォルダにドロップされます。
ファイル属性の確認
特定プログラムのサービス停止
データベース攻撃を目的として、特定のSQLサービスを停止させる動作が確認されています。
<特定プログラムのサービス停止の様子>
ファイアウォール設定の無効化
端末のセキュリティレベルを低下させるため、システムファイアウォールの設定を無効化します。
<ファイアウォール設定の無効化の様子>
侵害結果
身代金要求に関する案内ファイルとして、Decryption-Guide.txtおよびDecryption-Guide.HTAが各所に生成されます。暗号化処理の際には、ファイル名が<既存名前.既存拡張子. (個人鍵)(hionly@tutanota.com).zxc>に変更されます。
<侵害結果1:暗号化されたファイル例>
<侵害結果2:暗号化されたファイル例>
<侵害結果3:暗号化されたファイル例>
本件のようなランサムウェア攻撃に対しては、多層的な防御策が不可欠です。特に、添付ファイルや不審なリンクの取り扱いには細心の注意を払う必要があります。
(※本レポート作成時点での情報に基づき、特定のセキュリティ製品による検知・防御の例を付記します)
ホワイトディフェンダー(仮称)は、ランサムウェアの悪性動作を検知し、暗号化が進行する前に影響を受けるファイルに対してリアルタイム自動復元機能を提供します。
<検知・ブロックメッセージ例>