調査日: 2024-02-13
NewWaveランサムウェアと推定される侵害事象が確認されましたため、当該状況に関する確認結果と注意喚起を以下の通り報告いたします。
本ランサムウェアは「NewWave」と称されており、感染したファイルの拡張子を「.newwave」に変更する挙動が確認されています。
実行ファイル情報
ランサムウェアの動作特徴
本マルウェアは.NET (VB) ベースで作成されており、Thanosランサムウェアの亜種の一つと見られます。Smart Assemblyにより難読化が施されているため、静的解析によるコードの特定は困難な状況です。特定のデータ関連プロセスを終了させ、サービスを無効化するコマンドを使用します。セキュリティ製品であるRaccineが登録したレジストリおよびスケジュールタスクを削除し、ネットワーク共有関連の設定を有効化することで、被害の拡散を意図している可能性があります。PowerShellを利用してシャドウコピーの検索と削除を実行し、さらにルートディレクトリに存在するドライブ関連やバックアップ関連の対象を削除します。追加で、ランサムノートへのリンクをスタートアップフォルダに登録します。
<難読化された静的コード>
<特定サービス無効化およびその他コマンドの動的コード分析>
<特定プロセスの強制終了に関する動的コード分析>
<Raccine製品のレジストリおよびスケジュールタスク削除に関する動的コード分析>
<ネットワーク共有関連機能を有効化する動的コード分析>
<PowerShellを用いたシャドウコピー検索・削除に関する動的コード分析>
<各ドライブのルートディレクトリ内の特定ファイルの削除に関する動的コード分析>
<スタートアップフォルダに生成されるランサムノートへのリンク>
感染結果
身代金要求ファイルとして、各ディレクトリに「< RESTORE_FILES_INFO.txt >」が生成されます。暗号化処理が完了したファイルは「<ファイル名.拡張子.newwave>」に変更されます。
<感染結果の例>
本製品(WhiteDefender)は、ランサムウェアの悪性動作を検知・遮断するだけでなく、暗号化処理が進行するファイルに対してもリアルタイムでの自動復元機能を提供します。
<遮断メッセージ>