本報告書は、新たに観測されたZsszyyランサムウェアの挙動について分析した結果をまとめたものです。本マルウェアは、暗号化されたファイルに特定の拡張子を付与し、身代金要求文書を生成します。C++で開発されており、自己複製、永続化機構の確立、および多重実行の防止策を講じていることが確認されています。

本ランサムウェアは「Aoki」とも呼ばれている模様です。暗号化処理後、対象ファイルは <ファイル名.拡張子.{36桁UUID}.zsszyy の形式に変更されます。

ファイル情報

ランサムウェアの動作特徴

• 本マルウェアはC++で開発されており、初回実行時に自己をシステムフォルダへ複製します。複製先は C:ProgramData{GUID}{ランダム文字列}.exe の形式であり、36桁のUUID形式のフォルダ名と8桁のランダムなファイル名を使用することで検知を回避しようとします。その後、複製されたファイルを再実行し、オリジナルプロセスは終了します。

  ミューテックス（Mutex）を利用してプログラムの多重実行を防止し、システムリソースの競合や重複暗号化を防いでいます。暗号化完了後、Windowsのスタートアップレジストリ（HKCUSoftwareMicrosoftWindowsCurrentVersionRun）に自身を登録し、システム再起動後も持続的に実行されるように永続性を確立します。この際、/V- パラメータを追加することで、既に暗号化済みのファイルに対する重複暗号化を防ぐ挙動が確認されています。

  

  <複製された実行ファイルとスタートアップ登録レジストリ>

  
  

（上記「技術分析」セクションに動作の詳細なフローが含まれています。特に自己複製、ミューテックスによる排他制御、レジストリを用いた永続化が主要なプロセスです。）

暗号化が完了した後、身代金要求ファイルは README.txt という名称で、暗号化された各フォルダ内に生成されます。暗号化されたファイルは <ファイル名.拡張子.{36桁UUID}.zsszyy へと拡張子が変更されます。

<感染結果>

本マルウェアの挙動を踏まえ、以下の対策を強く推奨いたします。

防御・検知対策:

• エンドポイントセキュリティ製品（EDR等）を導入し、不審なプロセス生成やレジストリへの書き込みを監視・ブロックしてください。
• C++で開発された実行ファイルが、通常業務とは異なるシステムフォルダ（例: ProgramData）に自己複製する挙動を検知するルールを強化してください。

復旧対策:

• 定期的なバックアップの取得と、オフラインでの隔離保管を徹底してください。
• （※元のレポートにある製品情報に言及）特定のセキュリティソリューション（例：ホワイトディフェンダー）は、暗号化処理中のファイルに対して自動復元機能を提供している場合があります。導入済みの場合は、その機能を最大限に活用してください。