調査日: 2025-02-11
Maga ランサムウェアと推定される侵害事案が確認されました。つきましては、当該事象に関する確認結果と注意喚起を以下の通り報告いたします。
本マルウェアは、感染したファイルの拡張子を「.확장자.id-8桁の個人キー.[MAGA24@cyberfear.com].MAGA」に変更する挙動を示しています。本報告書では、その技術的特徴と対応策について詳述します。
ファイル情報
本ランサムウェアの実行ファイルに関するコンパイラ情報およびWindowsプロパティ情報は以下の通りです。
ランサムウェアの動作特徴
C++を基盤として開発されたランサムウェアであり、データ保全に関わる特定のサービスおよびプロセスを列挙し、強制的に終了させます。その後、自身およびランサムノートを特定のディレクトリ(AppDataフォルダ、システムフォルダ、スタートアップフォルダ)にコピーします。
持続性を確保するため、スタートアップフォルダのレジストリキーに自身を登録し、システム起動時に自動実行されるように設定します。さらに、ユーザーによるデータ復旧を困難にするため、ボリュームシャドウコピー(VSS)を削除する処理を実行します。
<特定サービスおよびプロセスを確認する動的解析結果 1>
<特定サービスおよびプロセスを確認する動的解析結果 2>
<スタートアップレジストリに登録された情報>
感染結果
暗号化処理が完了すると、各フォルダ内に身代金要求ファイルが「mshta.exe / MAGA_info.txt」という名称で生成されます。暗号化されたファイルは、前述の通り「ファイル名.拡張子.id-8桁の個人キー.[MAGA24@cyberfear.com].MAGA」形式に変更されます。暗号化完了後、作成されたTXTノートが実行されます。
<感染結果の例>
WhiteDefender製品は、本ランサムウェアの悪意ある振る舞いを検知・遮断するだけでなく、暗号化処理が実行される前に影響を受ける可能性のあるファイルに対してリアルタイム自動復元機能を提供します。
<遮断メッセージの例>