調査日: 2023-09-25
NoEscape ランサムウェアと推定される侵害事象が発生したため、当該状況の確認と注意喚起を以下の通り実施いたします。
本ランサムウェアは「NoEscape」と呼称され、感染したファイルの拡張子を「.CGFBGEFJEJ」に変更する挙動が確認されています。
ファイルバージョン情報
ランサムウェアの動作的特徴
本マルウェアはC++で開発されており、初回の実行後、ボリュームシャドウコピーの削除、システム状態バックアップの削除、Windows復元機能の無効化、エラー通知機能の無効化など、複数のコマンドを実行します。これにより、攻撃後のデータ復旧を困難にすることを目的としています。暗号化攻撃後、マルウェア本体はAppdataRoamingディレクトリにコピーされ、追加実行された後、デスクトップの壁紙が変更されます。
<これらのコマンド実行のために動的にコピーされるコード内容>
<データ関連サービスを停止させるための動的コード内容>
<Roamingフォルダに生成された実行ファイルとデスクトップ画像>
本ランサムウェアは、上記コマンド実行により、データ復旧に必要なシステム機能を無効化した後、ファイル暗号化プロセスへ移行します。
感染の結果、デスクトップの壁紙が変更され、各フォルダ内に「HOW_TO_RECOVER_FILES.txt」という身代金要求ファイルが生成されます。暗号化が完了したファイルは、「<元のファイル名.拡張子.CGFBGEFJEJ>」という形式に変更されます。
<感染結果の例>
本件に関し、弊社製品(ホワイトディフェンダー)は、ランサムウェアの悪意ある挙動を検知・遮断するだけでなく、暗号化が進行するファイルに対してもリアルタイムでの自動復旧機能をサポートしております。
<遮断メッセージの例>