【LostInfo ランサムウェア分析】

LostInfo ランサムウェアと推定される侵害事案が確認されましたため、
当該状況に関する調査結果と注意喚起を以下の通り報告いたします。

本レポートは、新たに観測された「LostInfo」と称されるランサムウェアの活動に関する技術的分析結果をまとめたものです。本マルウェアは、特定のファイルを検出・暗号化し、身代金要求メモを残す挙動を示しています。特に、暗号化後の持続的なバックグラウンド動作が特徴的です。

本ランサムウェアは「LostInfo」と識別されており、暗号化処理後、対象ファイルの拡張子を .{個人UUID}.lostinfo へ変更する挙動が確認されています。

ファイル情報とコンパイル環境

動作上の特徴

• 本マルウェアはC++で開発されており、IWbemサービスを利用してボリュームシャドウコピー（VSS）の確認および削除を試行する可能性があります。暗号化完了後もバックグラウンドで待機状態を維持し、隠されたGUIインターフェースを持つことが確認されています。このGUIには復号機能は含まれておらず、攻撃者が暗号化対象や環境を内部的に確認する目的で使用されている可能性が示唆されます。

  

  <動的解析中のシャドウコピー確認プロセス>

  
  
  

  <動的実行中に生成されるGUIウィンドウ>

  
  
  

  <隠された状態のGUIインターフェース>

  
  

感染後の主な動作プロセスは以下の通りです。

感染結果と身代金要求

暗号化処理が完了すると、各ディレクトリ内に Restore.txt という名称の身代金要求ファイルが生成されます。暗号化されたファイルは、元のファイル名に .{個人UUID}.lostinfo というサフィックスが付与された形式に変更されます。

<暗号化後のファイルおよび身代金要求メモの状況>

として、ファイル拡張子の変更（.{個人UUID}.lostinfo）と、各フォルダへの身代金要求ファイル（Restore.txt）の配置が確認されています。ランサムノートの内容に関する詳細な分析は別途実施する必要がありますが、現時点では復旧には暗号鍵が必要となる状況です。

セキュリティ製品による検知・防御

（※注：以下のセクションは、特定のセキュリティ製品（ホワイトディフェンダー）による防御実績に関する記述です。）

特定のセキュリティソリューション（ホワイトディフェンダー）は、ランサムウェアの悪性動作を検知し、暗号化処理が開始される前にファイルの自動復元機能を提供しています。

<検知およびブロックメッセージ>

本件を踏まえ、組織におけるランサムウェア対策として以下の事項を強く推奨いたします。

1. バックアップの徹底と隔離： 3-2-1ルールに基づき、重要データのバックアップを定期的に取得し、ネットワークから物理的または論理的に隔離された場所に保管してください。
2. VSS保護の強化： シャドウコピーの自動削除を防ぐため、OSおよびセキュリティ製品の設定を確認し、VSSの保護を強化してください。
3. エンドポイントセキュリティの維持： EDR/EPPソリューションを導入し、最新のシグネチャおよび振る舞い検知エンジンを維持してください。
4. 不審な通信の監視： 外部C2サーバーとの通信や、不審なプロセス（特にWMI/IWbemを利用したプロセス）の挙動についてログ監視を強化してください。