調査日: 2024-12-16
TXランサムウェアと推定される侵害事案が確認されました。つきましては、当該事象に関する確認結果と、組織における注意喚起を以下の通り報告いたします。
本マルウェアは「TX」と呼称され、感染対象ファイルの拡張子を「.TXRansom」に変更する挙動を示しています。
ファイルバージョン情報
ランサムウェアの動作特徴
TXランサムウェアは.NET(ドットネット)基盤で構築されており、内部関数および変数が難読化されています。これにより、解析および検知を困難にする設計が施されています。また、ビルドプロセスにおいてフラグ値を調整することで、攻撃対象や範囲を容易に変更可能な構造を有しています。
<内部関数および変数が難読化されたコード>
<影ボリュームコピー(VSS)削除コマンドの内部コード>
さらに、暗号化処理完了後、システム内のシャドウコピー(VSS)を削除する機能を有しており、データ復旧を著しく困難にさせます。
感染結果と身代金要求
暗号化処理が完了すると、各ディレクトリ内に「< HELP_DECRYPT_YOUR_FILES.txt >」という名称の身代金要求ファイルが生成されます。暗号化されたファイルは「< 元ファイル名.拡張子.TXRansom >」へと拡張子が変更されます。暗号化完了後、このテキストファイルが実行されます。
<感染結果(ファイル変更と身代金要求ノート)>
本マルウェアの活動や、暗号化が進行する以前の段階での自動復旧機能として、弊社製品(ホワイトディフェンダー)はリアルタイムでの自動復元をサポートしております。
<検知・ブロックメッセージ例>