調査日: 2023-09-18
DODOランサムウェアと推定される侵害事象が確認されたため、当該状況に関する調査結果と注意喚起を以下の通り報告いたします。
本ランサムウェアは「DODO」と呼称されており、感染対象ファイルの拡張子を「.crypterdodo」に変更する挙動が確認されています。
ファイル情報
ランサムウェアの動作特徴
本マルウェアは.NET (C#) ベースで開発されています。初回実行後、自身をRoamingディレクトリ内に「svchost.exe」として再実行させ、さらに当該パスのローカルURLファイルをスタートアップフォルダに生成します。基本的にはCドライブのライブラリフォルダを主要な攻撃対象としますが、それ以外の追加ドライブも全て検索対象とします。攻撃完了後、既存ファイルの復元を困難にするため、コマンドプロンプト(cmd)経由でシャドウコピーの削除、Windows回復モードおよびプログラムエラー通知ウィンドウの表示無効化、Windows Serverのバックアップカタログ削除などのコマンドを実行します。
<Roamingフォルダにコピーされたランサムウェアファイル svchost.exe>
<スタートアップフォルダにショートカットURLを生成する動的コード>
<スタートアップフォルダに生成されたショートカットURLファイル>
<攻撃対象の特定に関する静的コード>
<cmdコマンドを使用した複数の復元防止コマンド>
感染後の挙動
デスクトップの壁紙が変更され、各フォルダ内に「PLEASEREAD.txt」という身代金要求ファイルが生成されます。暗号化処理が完了したファイルは、「<元のファイル名.元の拡張子.crypterdodo>」という形式に変更されます。
<感染結果>
本件に関連し、セキュリティ製品「WhiteDefender」は、ランサムウェアの悪性動作を検知・遮断する以前に暗号化が進行したファイルに対しても、リアルタイムでの自動復元機能をサポートしています。
<遮断メッセージ>