【Ezdz ランサムウェア】

Ezdz ランサムウェアと推定される侵害事象が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。

Ezdz ランサムウェアの概要

本マルウェアは「Ezdz」と称され、感染したファイルの拡張子を「.EZDZ」に変更する挙動が確認されています。

実行ファイル情報

ランサムウェアの動作特徴

• 本ランサムウェアはC++言語を基盤として開発されており、感染時にシステム内で高度な権限を確保し、検知を回避するための多様な技術を用いることが特徴です。実行段階において、UAC（ユーザーアカウント制御）の迂回を目的としたCOMベースの権限昇格手法を利用し、管理者権限を取得します。これにより、セキュリティ製品やシステムポリシーによって制限される操作を回避します。また、マルウェア内部で使用される文字列（コマンド、パス、ファイル名など）を動的に解釈し、暗号化の対象や動作条件を調整する能力を有しています。

  感染後、ランサムウェアはWindowsのシステムプロセスであるsvchost.exeへ悪性コードをインジェクション（注入）する機能を実行します。この手法は、セキュリティ製品による検知を回避し、正規のプロセスとして偽装することで、システム内で疑われることなく暗号化作業を遂行することを可能にします。プロセスインジェクションは、特にエンドポイントでの検知回避（EDR回避）戦術として非常に有効であり、攻撃者がシステム内で長期間潜伏することを支援します。

  実際の暗号化プロセスに入る際、本ランサムウェアは復旧の可能性を根本的に排除するため、ボリュームシャドウコピー（Volume Shadow Copy）を全て削除します。これにより、ユーザーまたは管理者がシステム復元機能を利用してデータを巻き戻すことを防ぎ、バックアップカタログや復元ポイントが存在しても利用できない状態にします。
  
  

  

  <COMを介したUACバイパスの静的コードの一部>

  
  
  

  <シャドウコピー削除に関する内部静的コード>

  
  

と感染結果

暗号化完了後、身代金要求ファイルはHELP_PC.EZDZ-REMOVE.txtという名称で、各フォルダ内に生成されます。暗号化された各ファイルは、<ファイル名.拡張子.EZDZ>へと変更されます。

<感染結果の例>

本件に関連し、以下の対策を推奨いたします。

• 権限管理の徹底: UACバイパスを悪用されるリスクを低減するため、最小権限の原則を徹底し、不要な管理者権限の付与を避けてください。
• プロセスインジェクション対策: EDRソリューションを導入し、正規プロセスへの不審なコードインジェクション活動を監視・検知・ブロックする設定を強化してください。
• バックアップ戦略の見直し: ボリュームシャドウコピーの削除に備え、オフラインまたはイミュータブル（変更不能）なバックアップを定期的に取得し、データ復旧の確実性を確保してください。

（参考情報：特定のセキュリティ製品による検知・防御例）

特定のセキュリティ製品（例：ホワイトディフェンダー）は、本ランサムウェアの悪性動作および暗号化実行前に、対象ファイルに対するリアルタイム自動復元機能をサポートしています。

<検知・ブロックメッセージ例>