【Allarichランサムウェア】

Allarichランサムウェアと推定される侵害事案が発生したため、当該状況の確認と注意喚起を以下の通り実施します。

本報告書は、新たに観測された「Allarich」ランサムウェアの挙動について、技術的な分析結果をまとめたものです。本マルウェアは、特定のファイル拡張子を持つファイルを暗号化し、身代金要求を行います。特に、.NETフレームワークを基盤とし、持続性確保のためのレジストリ操作や、フォレンジックを困難にするための自己削除機能を有している点が特徴的です。

当該ランサムウェアは、ファイル名に「.allarich」という拡張子を付与して暗号化を実行していることが確認されています。

ファイルバージョン情報

実行ファイルのメタデータ分析の結果、コンパイラ情報やファイルプロパティから、本マルウェアが特定の開発環境下でビルドされたことが示唆されます。

• Allarichランサムウェアは.NETフレームワークを基盤として開発されており、コード内の関数名や条件分岐ロジックにスペイン語が使用されていることが確認されました。これは、攻撃者が特定の環境や目的に合わせて機能をカスタマイズ可能であることを示唆しています。

  

  <スペイン語で条件分岐された内部コード>

  
  

  特に、感染システム内での持続性（Persistence）確保のため、スタートアップ（起動プログラム）のレジストリキーに「discord」という名前で登録され、自動実行される設定が確認されています。これは、セキュリティ製品や運用担当者が一般的なプロセス名と誤認し、悪意ある活動として検知しにくくするための巧妙な偽装手法です。

  

  <スタートアップレジストリへの「discord」としての登録>

  
  

  暗号化完了後、被害者による復旧を困難にするための複数の防御的措置が講じられています。具体的には、Windowsのシャドウコピー（ボリュームスナップショット）や、Windows Server環境におけるバックアップカタログが削除され、システム標準の復旧手段が無力化されます。さらに、Windowsの復元機能やプログラムエラー通知機能も無効化され、被害者が問題に気づいたり、自動復旧機能を通じてシステムを復元したりすることを阻止します。

  

  <コード内に含まれるコマンドプロンプト（cmd）コマンド>

  
  

  一連の暗号化処理が完了した後、ランサムウェアは自己削除コマンドを実行し、実行ファイルや関連する痕跡をシステム上から消去しようとします。これは、法的な追跡やフォレンジック分析を遅延・困難にすることを目的としており、高度に設計されたランサムウェアの典型的な特徴です。

  

  <ランサムウェア自身の削除を実行する内部コマンド>

  
  

本ランサムウェアの動作フローは以下の通りです。

1. 実行ファイルの起動と持続性確保（レジストリへの登録）。
2. システム内のファイル検索と暗号化処理の実行。
3. 暗号化完了後、VSS（ボリュームシャドウコピーサービス）等の復旧手段の削除。
4. 自己削除コマンドの実行による痕跡の消去。

暗号化が完了すると、身代金要求メモが各ディレクトリに「< README.txt >」という名称で生成されます。暗号化されたファイルは「< 元ファイル名.拡張子.allarich >」へと拡張子が変更されます。

<暗号化後の被害状況>

本ランサムウェアの脅威に対処し、将来的な侵害を予防するために、以下の対策を強く推奨いたします。

1. 多層防御の強化： エンドポイントセキュリティ製品（EDR/EPP）を導入し、既知および未知のマルウェア活動をリアルタイムで検知・ブロックする体制を構築してください。
2. バックアップ戦略の見直し： 3-2-1ルールに基づき、オフラインまたはイミュータブル（変更不能）なバックアップを確保し、ランサムウェアによるデータ破壊から保護してください。
3. レジストリ監視： スタートアップ関連のレジストリキーに対する不審な変更（特に「discord」などの偽装されたエントリ）を監視する仕組みを導入してください。
4. システム復旧機能の保護： VSSの削除コマンド実行を検知・ブロックする対策を講じるか、定期的に手動でシャドウコピーの健全性を確認してください。

（注：本レポートで言及されている「ホワイトディフェンダー」製品は、暗号化の試行段階でリアルタイム自動復元をサポートする機能を有しています。）

<ブロックメッセージ例>