【BlackLegionランサムウェア】

BlackLegionランサムウェアと推定される侵害事案が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。

BlackLegionランサムウェアの概要

本ランサムウェアは「BlackLegion」と呼称されており、感染したファイルの拡張子を「.BlackLegion」に変更する挙動が確認されています。

実行ファイルの情報

ランサムウェアの動作特徴

• 本マルウェアはC#ベースで開発されており、実行ファイルは自身の属性を隠蔽属性に変更して実行形態を秘匿します。その後、%Temp%ディレクトリ配下に「WmiPrvSe.exe」として自身をコピーし、スタートアップ（起動プログラム）のレジストリキーに登録することで、Windows起動時に自動的に再実行される永続性を確立します。暗号化処理の完了後、ファイルの復旧を困難にするため、ボリュームシャドウコピー（VSS）を削除します。

  

  <スタートアップレジストリへの登録と、コピーされたランサムウェアの実行ファイル位置>

  
  
  

  <暗号化完了時に一時フォルダに生成・実行されるバッチファイル（静的コード）>

  
  
  

  <一時フォルダに生成されたバッチファイルとその内容>

  
  

本マルウェアの動作プロセスは以下の通りです。

1. 実行ファイルの属性を隠蔽し、実行。
2. %Temp%ディレクトリに「WmiPrvSe.exe」として自己をコピー。
3. スタートアップレジストリに登録し、永続性を確保。
4. ファイルシステムを走査し、対象ファイルを暗号化。
5. 暗号化完了後、VSSを削除し復旧を妨害。
6. バッチファイル（.bat）を生成・実行し、身代金要求の準備を行う。

暗号化が完了したファイルは、「<ファイル名>.<拡張子>.BlackLegion」へと名称変更されます。また、各ディレクトリには身代金要求ファイルとして「< how_to_back_files.html >」が生成されます。

<感染結果（ファイル拡張子の変更とランサムノートの生成）>

本ランサムウェアの脅威に対処するため、以下の対策を強く推奨いたします。

1. バックアップの徹底: 3-2-1ルールに基づいたオフライン/イミュータブルなバックアップを維持し、ランサムウェアによるデータ破壊から保護してください。
2. エンドポイント保護の強化: C#ベースの不審なプロセス挙動（特に%Temp%へのコピーやレジストリ操作）を検知・ブロックできるEDR/EPPソリューションを導入・維持してください。
3. VSS保護: 攻撃者がVSSを削除する前に、適切な権限管理と、VSSスナップショットの保護設定を適用してください。
4. 不審なメール/ファイル対策: 添付ファイルやリンクの開封に対する従業員教育を徹底し、初期侵入経路を遮断してください。

（参考情報：本マルウェアの挙動に対する防御製品の検知・自動復旧機能の例）

<検知メッセージ>