調査日: 2023-09-05
Payolaランサムウェアと推定される侵害事象が確認されたため、当該状況に関する調査結果と注意喚起を以下の通り報告いたします。
本ランサムウェアは「Payola」と呼称されており、感染対象ファイルの拡張子を「ファイル名.オリジナル拡張子.ランダムな5桁の英数字」に変更する挙動が確認されています。
ファイルバージョン情報
ランサムウェアの動作特徴
データ関連プロセスの妨害
本マルウェアは.NET (C#) ベースで開発されており、実行後にスタートアップフォルダに自身を登録する持続性メカニズムを持ちます。また、TEMPディレクトリ内に任意の名前でデスクトップ背景画像を生成します。さらに、データ管理プログラム(例:SQL関連プロセス)や動的デバッグ関連プログラムを強制終了させる動作が確認されています。
<スタートアップへの登録に関する静的コードおよび実行後の登録値>
<TEMPフォルダ内に生成されたデスクトップ画像>
<強制終了対象プロセスリストの静的コード>
<ドライブルート検索時に除外されるフォルダ>
<ファイル検索時に除外される拡張子>
<主な攻撃対象ファイルとして指定されている拡張子リスト>
暗号化処理の実行に先立ち、マルウェアはシステム内のファイル検索を実行します。特に、特定のドライバパスや、除外対象の拡張子リストに該当しないファイルが標的となります。暗号化が完了すると、感染したファイルは「<ファイル名.オリジナル拡張子.ランダムな5桁の英数字>」の形式に変更されます。
感染結果
デスクトップおよび各フォルダ内に「Readme.html」という名前の身代金要求ファイルが生成されます。暗号化後のファイル名は「<ファイル名.オリジナル拡張子.ランダムな5桁の英数字>」に変更されます。
<感染結果の例>
本製品(ホワイトディフェンダー)は、Payolaランサムウェアの悪性動作を検知・遮断するだけでなく、暗号化が進行するファイルに対してもリアルタイムでの自動復元機能をサポートします。
<遮断メッセージの例>