【Xollamランサムウェア】

Xollamランサムウェアと推定される侵害事象が確認されたため、当該状況に関する確認結果と注意喚起を以下の通り報告いたします。

本レポートで分析対象とするマルウェアは「Xollam」と呼称されており、感染環境下のファイルを特定の方法で暗号化し、身代金を要求するランサムウェアです。

本ランサムウェアの主な技術的特徴は、暗号化後の復旧を困難にするための事前準備と、データ関連プロセスに対する積極的な停止措置にあります。

ファイル署名とバージョン情報

本マルウェアは、コンパイル情報やファイルプロパティから、特定のビルド環境下で作成されたことが示唆されます。

動作の特徴

• バックアップおよびセキュリティ機能の無力化

  ファイル暗号化後に復旧を試みられないよう、ボリュームシャドウコピー（VSS）を削除し、Windows標準の回復機能を無効化する挙動が確認されています。

  

  <ボリュームシャドウコピー削除コマンドの動的解析結果>

  
  
  

  <Windows回復機能無効化の動的解析結果>

  
  

• データ関連プロセスの強制終了

  マルウェアの静的文字列には、データベース（SQL）関連やデータ復旧ソリューションに関連するプロセス名が含まれています。これらのプロセスを特定し、強制終了させた後、CMDコマンドを用いて関連サービスを削除する動作が確認されました。

  

  <ランサムウェア内に格納されている静的文字列>

  
  
  

  <サービス削除コマンド実行時の動的情報と入力値>

  
  

感染が成立した後、Xollamランサムウェアは以下の順序で動作します。

1. セキュリティ機能の無効化（VSS削除、システム復元無効化）。
2. データ保護・管理に関連するプロセスを特定し、強制終了およびサービス削除を実行。
3. 対象ファイルに対して暗号化処理を実施。
4. 暗号化されたファイルには、拡張子として「.xollam」が付与されます（例：<元のファイル名.拡張子>.xollam）。
5. 暗号化完了後、各ディレクトリに身代金要求ファイル「recovery.txt」を生成。
6. 最終的にデスクトップの壁紙を変更し、被害者に被害状況を通知します。

暗号化されたファイルは「<ファイル名.拡張子.xollam>」の形式に変更されます。身代金要求通知ファイル「recovery.txt」が感染経路となった各ディレクトリに生成されます。

<感染結果（暗号化されたファイルとランサムノート）>

セキュリティ製品による検知・防御

（※元のレポートに記載されていた製品名に基づき、一般的な防御機能として記述します）

本マルウェアの悪意ある挙動や暗号化処理が実行される前に、リアルタイムで自動復旧機能をサポートする対策ソリューションの導入が有効です。

<検出・ブロックメッセージ例>

Xollamランサムウェアの脅威に対処するため、以下の対策を強く推奨いたします。

1. バックアップの徹底と隔離: 重要なデータは定期的に取得し、ネットワークから物理的または論理的に隔離された環境（オフラインストレージなど）に保管してください。
2. エンドポイントセキュリティの強化: 振る舞い検知やヒューリスティック分析が可能な最新のEDR/EPPソリューションを導入し、既知および未知の脅威に対する防御能力を向上させてください。
3. パッチ管理の徹底: OSおよびアプリケーションの脆弱性を悪用した初期侵入を防ぐため、セキュリティパッチを速やかに適用してください。
4. 不要なサービスの停止: データベースや管理ツールなど、外部からのアクセスが必要ないサーバー上のサービスは停止またはアクセス制限を厳格化してください。
5. ユーザー教育: 不審なメールの添付ファイルやリンクの開封に対する注意喚起を継続的に実施してください。