本レポートで分析対象とする「Rec_rans」ランサムウェアは、感染したファイルに対し、既存の拡張子に「.rec_rans」を付与し、データを暗号化する挙動を示しています。本稿では、その技術的特徴、動作プロセス、および推奨される対策について詳述します。

ファイル属性の変更

本ランサムウェアは、ファイルを暗号化した後、ファイル名に「.<既存の拡張子>.rec_rans」という形式で拡張子を変更する特徴があります。これは、被害者が元のファイル形式を特定しにくくする目的があると考えられます。

攻撃の実行フロー

• シャドウコピーの削除（データ復旧の妨害）

  暗号化処理の完了後、攻撃者はvssadminコマンドを利用してボリュームシャドウコピー（VSS）を削除します。これにより、OS標準機能を用いたデータ復旧を困難にします。

  

  <シャドウコピー削除の実行>

  
  

• 攻撃対象の選定と拡散

  本ランサムウェアは、ローカルドライブだけでなく、ネットワークドライブ（DRIVE_REMOTE(4)）に対しても暗号化を試みます。これにより、ネットワーク共有フォルダや他の接続されたエンドポイントへの被害拡大リスクが存在します。

  

  <攻撃対象の選定状況>

  
  

感染結果と身代金要求

暗号化処理が完了すると、身代金要求ファイルとしてunlock_here.txtが各ディレクトリに生成されます。また、感染の完了を示すためにデスクトップの壁紙が変更されます。

<感染結果（身代金要求ファイル）>

<感染結果（暗号化されたファイル例）>

被害ファイルは<元のファイル名>.<元の拡張子>.rec_ransへと拡張子が変更されます。身代金要求メッセージはunlock_here.txtとして確認されています。

本マルウェアの挙動に基づき、以下の対策を強く推奨いたします。

1. バックアップの徹底と隔離: 重要なデータは定期的に取得し、ネットワークから物理的または論理的に隔離された環境（オフラインストレージ）に保管してください。
2. VSS保護の強化: vssadmin delete shadowsコマンドによるシャドウコピー削除を防ぐため、適切なアクセス制御およびエンドポイントセキュリティ製品によるプロセス監視を導入してください。
3. ネットワーク共有権限の最小化: ネットワーク共有フォルダへの書き込み権限は、業務上必要最小限のユーザーにのみ付与し、横展開のリスクを低減してください。

（参考情報として、本件で利用されたセキュリティ製品による検知・防御の事例を以下に示します。）

<検知メッセージ例>

<検知メッセージ例>

<検知メッセージ例>

<検知メッセージ例>