【Rapaxランサムウェア分析】

Rapaxと称されるランサムウェアによるものと推定される侵害事案が確認されました。
つきましては、当該事象に関する確認結果と注意喚起を以下の通り報告いたします。

本稿で分析対象とするマルウェアは「Rapax」と命名されており、感染環境下のファイルを「.rapax」拡張子に変更し、身代金を要求する挙動が確認されています。

Rapaxランサムウェアの技術的特性

実行ファイル情報

動作上の特徴

• 本ランサムウェアはC#（.NET）を基盤として開発されており、Chaos系統のランサムウェアが示す特徴を有しています。具体的には、実行後「Roaming」フォルダへ移動し、「svchost」プロセスを装って再実行される挙動が確認されています。

  また、特定の地域言語設定のOS環境下では動作を停止する機構（アンチ解析/アンチVM対策の一環）を備えています。

  侵害活動として、ボリュームシャドウコピー（VSS）およびバックアップカタログの削除、Windowsリカバリ機能の無効化、タスクマネージャの機能制限などが実行されます。

  さらに、データおよびバックアップ関連のサービスを停止させた後、スタートアップレジストリに自身を登録し、永続性（Persistence）を確立します。

  

  <特定のロケール（トルコ語 tr-TR / アゼルバイジャン語 az-Latn-AZ）の使用有無の確認>

  
  
  

  <コマンドプロンプト（cmd）を通じて実行される各種コマンド>

  
  
  

  <停止が試行されるデータおよびバックアップ関連サービスの名称>

  
  
  

  <スタートアップレジストリへの登録と、Roamingフォルダ内のランサムウェア実行ファイル>

  
  

暗号化と身代金要求

暗号化処理が完了した後、被害を受けた各ディレクトリ内に身代金要求ファイルとして「<instruction.txt>」が生成されます。暗号化されたファイルはすべて「<元のファイル名.拡張子.rapax>」へと拡張子が変更されます。

<暗号化後の被害状況>

暗号化されたファイルの拡張子は「.rapax」となります。身代金要求メモは「instruction.txt」として各フォルダに配置されます。

防御・検知・復旧策

本件のようなランサムウェア攻撃に対しては、多層的な防御策が不可欠です。

（参考：製品による防御実績）

本稿で分析対象としたRapaxランサムウェアの悪性挙動に対し、特定のセキュリティ製品（ホワイトディフェンダー）は、暗号化が実行される以前の段階でリアルタイムに自動復旧機能をサポートする能力を有しています。

<検出・ブロックメッセージ>

【推奨される具体的な対策】

1. バックアップの徹底と隔離: 重要なデータは定期的に取得し、ネットワークから物理的または論理的に隔離された環境（オフライン/イミュータブルストレージ）に保管してください。
2. OS/ソフトウェアの最新化: 既知の脆弱性を悪用されることを防ぐため、OSおよびアプリケーションのセキュリティパッチを速やかに適用してください。
3. エンドポイントセキュリティの強化: C#ベースの不審なプロセス挙動や、VSS削除コマンド実行を検知・ブロックできるEDR/EPPソリューションを導入し、常に最新の状態に保ってください。
4. 権限管理の最小化: 業務上不要な管理者権限（Administrator権限）の利用を避け、最小権限の原則を徹底してください。
5. 不審なメール/ファイルへの注意喚起: 標的型攻撃メールやフィッシングメールに含まれる添付ファイルやリンクの開封について、全従業員への継続的な注意喚起を実施してください。