【Lenaランサムウェア分析】

Lenaランサムウェアと推定される侵害事案が確認されましたため、当該状況に関する調査結果と注意喚起を以下の通り報告いたします。

Lenaランサムウェアの概要

本マルウェアは「Lena」と呼称されており、感染したファイルの拡張子を「.lena」に変更する挙動が確認されています。

実行ファイル情報

動作の特徴

• LenaランサムウェアはC#/.NETを基盤として開発されたChaosランサムウェアの亜種と見られます。感染時、システム復旧を無力化するため、シャドウコピーおよびバックアップカタログを削除します。さらに、Windowsの復元機能とエラー通知機能を無効化します。基本的にはWindowsのルートドライブを標的としますが、他のドライブには「surprise.ex」ファイルを生成し、リムーバブルメディア経由での二次感染を誘発する可能性があります。また、持続性を確保するため、実行ファイルを%AppData%Roamingパスへコピーし、Windowsのスタートアップフォルダにショートカットリンクを作成し、再起動後も継続的に実行されるように設定します。

  

  <スタートアップフォルダへのショートカットリンク生成に関する静的コード>

  
  
  

  <感染PC上に生成されたスタートアップのショートカットファイル>

  
  
  

  <cmdコマンド実行に関する静的コード>

  
  

感染が完了すると、暗号化処理後に「lena」という名称の身代金要求ファイルが各フォルダ内に生成されます。暗号化された各ファイルは「<ファイル名.拡張子.lena>」へと名称が変更されます。

<暗号化後の被害状況>

暗号化されたファイルには「<ファイル名.拡張子.lena>」という拡張子が追加されます。身代金要求ファイルは「lena」という名称で各ディレクトリに配置されます。

本件のようなランサムウェアの脅威に対し、以下の対策を強く推奨いたします。

• バックアップの徹底: 3-2-1ルールに基づき、オフラインまたはイミュータブルな環境への定期的なデータバックアップを実施してください。
• エンドポイント保護: C#/.NETベースの不審なプロセス実行やファイル操作を検知・防御できるEDR/EPPソリューションの導入と、シグネチャに依存しない振る舞い検知機能の有効化が重要です。
• 脆弱性管理: 既知の脆弱性に対する迅速なパッチ適用を継続してください。
• ユーザー教育: 不審なメール添付ファイルやリンクの開封に対する従業員教育を強化してください。

（※本レポートは、サードパーティ製品による検知・防御の事例として、以下の情報も付記します。）

サードパーティ製品による対応事例

特定のセキュリティ製品（例：WhiteDefender）は、ランサムウェアの悪性動作や暗号化処理の前に、対象ファイルのリアルタイム自動復元機能を提供します。

<検知・ブロックメッセージ>