調査日: 2023-05-24
DVNランサムウェアと推定される侵害事象が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。
本ランサムウェアは「DVN」と称されており、感染したファイルの拡張子を「元のファイル名.元の拡張子.devinn」に変更する挙動が確認されています。
ファイル情報
内部基本情報の確認
内部変数の情報から、本マルウェアがsvchost.exeという名称と関連付けられて動作していること、また、一部の画像ファイルがBase64形式で保存されている可能性が示唆されます。
<内部基本情報>
ランサムウェアの実行場所と名称変更
初回実行後、ランサムウェア本体はAppDataRoamingディレクトリへ自己複製され、「svchost.exe」という名称に変更された上で管理者権限を付与され再実行されます。
<ランサムウェアの実行配置先>
<名称変更の実行>
スタートアップ登録による持続性の確保
実行されたランサムウェアのパスへのショートカットファイルを作成し、スタートアップフォルダに配置することで、システムの再起動後も持続的に活動する設定を行っています。
<スタートアップ登録の痕跡>
攻撃対象の選定
Cドライブ以外のドライブを優先的に攻撃対象とし、その後、ユーザープロファイル内のライブラリフォルダや共有フォルダへの攻撃を実行します。
<攻撃対象の選定(ドライブ)>
<攻撃対象の選定(フォルダ)>
暗号化方式
特筆すべき点として、ファイルサイズに応じて、バイト単位、文字列、AES、RSA、Base64など、複数の暗号化関数を使い分けていることが確認されました。
<暗号化方式の利用>
<暗号化対象となる特定の拡張子>
<内部に保存された感染情報テキストの内容>
バックアップ手段の無力化コマンド
一般的なランサムウェアと同様に、シャドウコピーの削除やWindows回復環境の無効化コマンドが含まれています。さらに、Windows Server環境で使用されるバックアップカタログを削除するコマンドも確認されています。
<バックアップ手段無力化コマンド>
感染結果
感染が完了すると、各ディレクトリに身代金要求ファイル「unlock_here.txt」が生成されます。ファイルは「<元のファイル名.元の拡張子.devinn>」に変更され、処理完了後、デスクトップの壁紙が変更されます。
<感染結果1>
<感染結果2>
<感染結果3>
本製品(ホワイトディフェンダー)は、DVNランサムウェアの悪性動作を検知し、暗号化処理が実行される前にファイルの自動復元をサポートします。
<検知メッセージ>