調査日: 2024-09-16
Lokilockerランサムウェアと推定される侵害事象が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。
本ランサムウェアは「Lokilocker」と呼称され、感染したファイルの拡張子を「.Loki」に変更する挙動が確認されています。
実行ファイルの情報
ランサムウェアの動作特徴
本マルウェアはC#(.NET)ベースで開発されており、内部コードは難読化されています。デスクトップ、テキストファイル、Windowsログオンメッセージ、および独自のランサムノートにメッセージを表示します。レジストリ設定値を利用してタスクマネージャーを無効化し、プロセス名をチェックしてRegedit(レジストリエディタ)の実行を強制終了させます。
さらに、基本のランサムウェア実行とは別に、スタートアップフォルダ内に「winlogon.exe」という名称で自身をコピーし、Windows起動時に自動実行されるように設定します。ランサムウェアプロセスを強制終了させようとすると、意図的にブルースクリーン(BSoD)を引き起こす機能を有しています。
<難読化された内部コード>
<スタートアップフォルダにコピーされたランサムウェアとタスクマネージャー無効化用のバッチファイル>
<タスクマネージャー実行時に表示される無効化メッセージ>
<ランサムウェア終了時に発生するブルースクリーン>
侵害結果
暗号化処理完了後、各フォルダ内に身代金要求ファイルとして「< Restore-My-Files.txt / Crpiv.Loki / info.hta >」という名称のファイルが生成されます。暗号化されたファイルは「<元のファイル名.元の拡張子.Loki>」へと拡張子が変更されます。
<侵害結果(ファイル拡張子の変更と身代金要求ファイルの生成)>
本件のようなランサムウェアの脅威に対し、弊社製品(ホワイトディフェンダー)は、悪性行為のブロックに加え、暗号化が実行される前のファイルに対してリアルタイムでの自動復元機能をサポートしております。
<検出・ブロックメッセージ>