【Cs137ランサムウェア分析】

Cs137と推定されるランサムウェアによる侵害事象が確認されたため、
当該事象に関する調査結果と注意喚起を以下の通り報告いたします。

Cs137ランサムウェアの概要

本マルウェアは「Cs137」と呼称されており、感染対象のファイルに対して一律の拡張子を付与するのではなく、ファイル名自体は維持しつつ暗号化を実行する特徴が見られます。現時点での分析では、一般的な金銭要求を伴わない非定型的な挙動を示しており、セキュリティ研究機関やサンドボックス環境を標的としたテスト、あるいは警告メッセージの伝達を目的としている可能性が示唆されています。

動作環境および構造

実行ファイル情報

ランサムウェアの主要な特徴

• 開発言語と構造：CS137はネイティブC++で開発されており、実行ファイル内部に独自のミューテックス（Mutex）を生成することで重複実行を防止しています。これにより、システム内での競合を避け、単一インスタンスでの動作を維持します。
  
  

  

  <重複実行防止のためのグローバルミューテックス静的コード>

  
  
  セキュリティ機能の無効化：暗号化処理の前に、被害者の復旧試みを阻止するため、システム復元に関連する機能を無効化する挙動が確認されています。
  
  

• 暗号化機能と限定的な被害：一般的なランサムウェアとは異なり、CS137はファイルの暗号化とデスクトップ背景の変更に留まり、他のシステム破壊活動はほとんど行いません。特に、復号のための身代金や支払い指示を要求するメッセージは含まれておらず、身代金要求ファイルには単に「攻撃が実行された」旨のメッセージのみが含まれています。
  
  
• セキュリティテストまたはデモンストレーションの可能性：複数のセキュリティベンダーのサンドボックス環境やクラウドベースの検知環境において継続的にサンプルが収集されており、サンプル内には「新規ランサムウェアのリリース試験」や「セキュリティ業界への警告メッセージ」が埋め込まれていることが確認されています。➤ ただし、これは攻撃者の意図に関する推測であり、明確な出所や攻撃者グループの情報は現時点では特定されていません。
  
  

感染結果と身代金要求

暗号化完了後、身代金要求ファイル（ランサムノート）は、各ディレクトリ内にランダムな6桁の英数字.README.txtという名前で生成されます。暗号化されたファイル自体は、ファイル名が変更されることなく暗号化が実行される点が特徴的です。

<感染結果の例>

ホワイトディフェンダーによる対応

ホワイトディフェンダー製品は、ランサムウェアの悪性動作を検知・遮断する以前に、暗号化が進行中のファイルに対してもリアルタイムでの自動復元機能をサポートしています。

<遮断メッセージの例>