【IHAランサムウェア】

IHAランサムウェアと推定される侵害事象が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。

IHAランサムウェアの概要

本ランサムウェアは「IHA」と識別されており、感染対象ファイルの拡張子を「ファイル名.拡張子.IHA」に変更する挙動が確認されています。

実行ファイル情報

動作の特徴

• 本マルウェアはVB.NET (C#)を基盤として開発されており、内部プロジェクト名はNoCryの亜種として維持されている模様です。実行されたランサムウェアは、スタートアップフォルダに自身をコピーします。また、親プロセスハンドルと自身のハンドルを比較することによるデバッガの検出、SandBoxieのDLLロード有無による特定のサンドボックスデバッグプログラムの確認、ip-apiを利用したAnyRun環境の確認など、動的解析を防止するための技術が適用されています。

  

  <NoCryの名称を使用している静的コードのプロジェクト>

  
  
  

  <スタートアップフォルダへのランサムウェアのコピー>

  
  
  

  <動的デバッグ防止技術が複数適用されている静的コード>

  
  

感染結果

デスクトップの壁紙が変更され、暗号化完了後、ランサムウェア自体が身代金要求メモ（ランサムノート）を表示します。暗号化処理の際、ファイル名は「<ファイル名.拡張子.IHA>」に変更されます。

<感染結果（ランサムノート表示とファイル変更）>

（※ランサムノートの内容に関する具体的な記述は上記画像に依存します。）

本件のようなランサムウェアの脅威に対し、以下の対策を推奨いたします。

• バックアップの徹底: 3-2-1ルールに基づいたオフライン/イミュータブルなバックアップを維持し、復旧能力を確保してください。
• エンドポイント保護: 挙動検知やヒューリスティック分析が可能な次世代アンチウイルス（NGAV）ソリューションを導入し、既知・未知の脅威に対応してください。
• 脆弱性管理: OSおよびアプリケーションのパッチ適用を迅速に行い、侵入経路となり得る脆弱性を排除してください。
• アクセス制御: 最小権限の原則を適用し、不必要な管理者権限の利用を禁止してください。

（※提供された情報に基づき、特定のセキュリティ製品による自動復元機能に関する記述を参考情報として残します。）

ホワイトディフェンダーによる対応：

ホワイトディフェンダーは、ランサムウェアの悪性動作を検知・遮断する以前に、暗号化対象となるファイルに対してリアルタイム自動復元をサポートします。