調査日: 2024-04-29
LockShit BLACKED ランサムウェアと推定される侵害事象が確認されましたため、当該事象に関する確認結果と注意喚起を以下の通り報告いたします。
本ランサムウェアは「LockShit」として識別されており、感染したファイルの拡張子を「.KJHEJgtkhn」に変更する挙動が確認されています。
ファイル情報
ランサムウェアの動作特徴
本マルウェアは.NETベースのChaos系統ランサムウェアに分類されます。Windowsの現在ロケールが特定の地域コード「az-Latn-AZ」(アゼルバイジャン語-ラテン語)である場合、実行が停止するよう設定されています。初回実行時、マルウェアはAppdataRoamingディレクトリへ自己をコピーした後、管理者権限で再実行されます。重複実行を防ぐための実行ファイル名チェック機構と、レジストリへの特定値登録による二重暗号化防止機能が実装されています。さらに、ボリュームシャドウコピーおよびバックアップカタログを削除し、Windowsの標準復元機能やエラー通知機能を無効化します。バックアップ関連サービスを特定し、サービス停止コマンドを実行した後に暗号化処理を開始します。ルートドライブの一部フォルダは例外とされますが、追加ドライブ(ネットワーク共有を含む)に対して暗号化が実行され、ランサムウェア実行ファイルが各ルートディレクトリにコピーされます。
<特定地域での動作を抑制する静的コード>
<シャドウコピーおよびバックアップカタログ削除、Windows標準復元・エラー通知無効化に関する静的コード>
<レジストリへの特定値追加によるタスクマネージャー無効化の静的コード>
<バックアップ関連サービス一覧の静的コード>
<ルートドライブ暗号化時の例外項目に関する静的コード>
感染結果
感染後、各ディレクトリには身代金要求ファイルとして「<KJHEJgtkhn.READMEt.txt>」が生成されます。暗号化が完了したファイルは「<元のファイル名.元の拡張子.KJHEJgtkhn>」へと名称が変更されます。
<感染結果の例>
本製品(ホワイトディフェンダー)は、ランサムウェアの悪性動作を検知・遮断する以前に、暗号化対象となるファイルに対してリアルタイムでの自動復元機能を提供します。
<遮断メッセージの例>