【AvosLocker ランサムウェア分析】

AvosLocker ランサムウェアと推定される侵害事象が確認されたため、当該状況に関する調査結果と注意喚起を以下の通り報告いたします。

AvosLocker ランサムウェアの概要

本ランサムウェアはAvosLockerとして識別され、感染したファイルの拡張子を “.avos2” に変更する挙動が確認されています。

マルウェアのコンパイル情報

ランサムウェアの動作特徴

• 本マルウェアはC++で開発されており、ミューテックスによる重複実行の防止機構を有しています。また、他のランサムウェアで頻繁に見られる以下のコマンド実行による自己防御策を講じています：

  • シャドウコピーの削除（vssadmin および wmic の利用）
  • 回復モード（リカバリモード）の無効化
  • エラー回復通知ダイアログの非表示化
  さらに、Windowsイベントログの削除も実行します。暗号化処理の進行状況はコンソールに出力され、オプション変更のための追加引数もサポートしていることが確認されています。
  

  <重複実行防止のためのミューテックス生成に関する動的コード>

  
  
  

  <コマンド実行のために割り当てられた文字列>

  
  
  

  <実行中に表示されるコンソール出力>

  
  
  

  <コマンドプロンプト（CMD）で確認可能な引数情報>

  
  

侵害の初期段階から暗号化完了までのプロセスは以下の通りです。

暗号化処理が完了すると、各ディレクトリ内に身代金要求ファイルとして が生成されます。ファイル名は <元のファイル名.元の拡張子.avos2> へと変更され、処理完了後、デスクトップの背景が変更されます。

<感染結果（ファイル拡張子の変更とランサムノートの生成）>

本件のようなランサムウェアの脅威に対し、以下の対策を強く推奨いたします。

防御ソリューションによる対応

（例：ホワイトディフェンダーによる対応）ホワイトディフェンダーのようなエンドポイントセキュリティ製品は、ランサムウェアの悪意ある挙動を検知し、暗号化が進行する前に、対象ファイルに対してリアルタイムでの自動復元機能を提供します。

<検出およびブロックメッセージ>