調査日: 2024-05-13
Pwpdvl ランサムウェアと推定される侵害事象が確認されましたため、当該状況に関する調査結果と注意喚起を以下の通り報告いたします。
本レポートは、Pwpdvl と呼ばれるランサムウェアによる活動を分析したものです。本マルウェアは、感染対象ファイルの拡張子を「.pwpdvl」に変更し、データを暗号化する挙動を示しています。
本ランサムウェアは、感染ファイルの拡張子を「.pwpdvl」に変更する特徴を有しています。
実行ファイル情報
ランサムウェアの動作特徴
本マルウェアは VB.NET を基盤としており、内部コードは Smart Assembly という商用ツールを用いて難読化されています。実行時、データ処理やセキュリティ製品に関連するプロセスを taskkill コマンドを用いて強制終了させます。さらに PowerShell を利用してシャドウコピーを検索・削除し、復旧を困難にします。攻撃は接続されている全てのドライブを対象として実行され、暗号化完了後、各ディレクトリに身代金要求ファイル(ランサムノート)を生成します。
taskkill
<動的解析時における、taskkill を用いたセキュリティ関連プロセスの強制終了の様子>
<PowerShell を用いたシャドウコピーの検索および削除処理>
暗号化結果
身代金要求ファイルは、各ディレクトリに < RESTORE_FILES_INFO.txt > という名称で生成されます。暗号化処理が完了したファイルは、<元のファイル名.拡張子.pwpdvl> の形式に変更されます。
< RESTORE_FILES_INFO.txt >
<元のファイル名.拡張子.pwpdvl>
<暗号化後のファイル状態>
としては、ファイルの拡張子変更(.pwpdvl)と、復旧情報ファイル(RESTORE_FILES_INFO.txt)の生成が確認されています。
本件に関連するセキュリティ製品(例:ホワイトディフェンダー)は、ランサムウェアの悪意ある挙動を検知し、暗号化が実行される前にファイルをリアルタイムで自動復元する機能を提供しています。
<検知およびブロックメッセージ>
【推奨される予防策】