【概要】
BuLockランサムウェアはWindowsシステム上で実行され、重要なファイルデータを暗号化した後、対象ファイルに.bulock72の拡張子を追加します。感染が進行すると、ユーザーの全てのファイルデータが存在するディレクトリにhow_to_back_files.htmlというランサムノートを生成し、ファイル拡張子が変更されることで、ユーザーは即座に感染を認識するよう誘導されます。
ランサムウェア情報概要
| 項目 | 内容 |
|---|---|
| ランサムウェア名称 | BuLock (ビューロック) |
| 変更される拡張子 | .bulock72 |
| ランサムノート | how_to_back_files.html |
| 攻撃者連絡先 (ランサムノート記載) | ithelp11@securitymy.name, ithelp11@yousheltered.com |
サンプル識別子
| 項目 | 内容 |
|---|---|
| Size | 53.00 KB |
| Type | PE32 executable (GUI) Intel 80386, for MS Windows |
| MD5 | 22ff4b883468f0b2b21b2c50d5ca5bd9 |
| SHA1 | e34f09cf8f1416ab4611a6a18ff99281fad93c70 |
| SHA256 | d9135507e8dbcf15a852ec34623ea6b6d633e10032c94f187ef357ba821af893 |
| SHA512 | 9b37dff34d3ceca993bebda8e6d3f4f4a361af65ec6bdde4be54021be2dc48c176aa0b0ef2bae8433ca2957d5e3c28fe448465c3f816a5ee36a5d395bd8f4405 |
| CRC32 | 3cd4864b |

BuLock感染後のデスクトップ画面の変更
【技術分析】
BuLockランサムウェアはC++で開発されており、初回実行時に自身のファイルを%AppData%\Localパスにコピーした後、当該場所から実行されます。その後、ユーザーアカウントのスタートアップレジストリにコピーされた実行ファイルのパスを登録し、システム再起動後も自動実行されるよう永続化メカニズムを確立してから、ファイルの暗号化処理を開始します。

%AppData%\Localパスへのファイルコピー動作と生成されたファイル

ユーザーのスタートアップレジストリへのランサムウェア実行ファイルの登録と生成されたレジストリ値
【動作プロセス】
BuLockランサムウェアの典型的な動作プロセスは以下の通りです。
- 初期実行(Initial Execution): ランサムウェアは、フィッシングメール、脆弱性を悪用したウェブサイト、あるいはインターネットに公開されたサービス(VPNなど)の不正アクセスといった経路を通じてシステムに侵入し、実行されます。
- ファイルコピーと隠蔽(File Copy and Concealment): 自身の実行ファイルを
%AppData%\Localディレクトリにコピーします。これは、システムの正規のプロセスとして振る舞い、検出を回避するためと考えられます。 - 持続性の確立(Persistence Establishment): ユーザーアカウントのスタートアップレジストリ(例:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)に、コピーした実行ファイルのパスを登録します。これにより、システムが再起動された場合でも、ランサムウェアが自動的に起動され、活動を継続することが可能となります。 - ファイルの探索と暗号化(File Discovery and Encryption): システム内のドキュメント、画像、データベースファイルなど、重要なデータファイルを探索します。特定されたファイルは、特定の暗号化アルゴリズムを用いて暗号化されます。
- 拡張子の変更(Extension Modification): 暗号化が完了したファイルには、一律に.bulock72という拡張子が付与され、元のファイル名でのアクセスが不可能になります。
- ランサムノートの作成(Ransom Note Creation): 暗号化されたファイルが存在する全てのディレクトリ、およびデスクトップ上に、how_to_back_files.htmlという名称のランサムノートを生成します。このノートには、身代金の要求方法や攻撃者への連絡先が記載されています。
- デスクトップ背景の変更(Desktop Background Modification): (図1に示すように)ユーザーに感染を警告し、ランサムノートの存在を強調するために、デスクトップの背景が変更される場合があります。
【被害状況とランサムノート】
BuLockランサムウェアによる感染が進行すると、ファイルの暗号化が実行され、ランサムノートが生成されます。暗号化された各ファイルは拡張子が変更され、アクセス不能な状態となります。
- 主要な文書ファイル、画像ファイル、動画ファイルなどが.bulock72拡張子に変更され、利用不能な状態に陥ります。
- 暗号化されたファイルが存在するディレクトリに、how_to_back_files.htmlというランサムノートが生成されます。
- これにより、ユーザーの重要なデータへのアクセスが永続的に不能となる状況が発生します。

BuLockランサムウェア感染後の暗号化されたファイル拡張子.bulock72の変更例
【推奨される対策】
BuLockランサムウェアのような脅威からシステムを保護し、被害を最小限に抑えるためには、以下の対策を講じることが極めて重要です。
- 脆弱性管理の徹底:
- インターネットに公開されているVPNアプライアンス、Webサーバー、その他サービスなどのシステムに対して、既知の脆弱性がないか定期的に診断し、速やかにパッチを適用してください。
- OSやアプリケーションソフトウェアは常に最新の状態に保ち、セキュリティアップデートを怠らないようにしてください。
- 多要素認証(MFA)の導入:
- 外部からアクセス可能なサービス(VPN、メールサービス、クラウドサービスなど)には、多要素認証を必須とすることで、認証情報の漏洩による不正アクセスリスクを大幅に低減できます。
- 専門のアンチランサムウェア対策ソリューションの導入:
- 挙動ベースの検知エンジンを持つアンチランサムウェアツールやEDR(Endpoint Detection and Response)ソリューションを導入し、ファイル暗号化などの異常な活動をリアルタイムで検知・ブロックする体制を構築してください。
- これらのソリューションは、ランサムウェアの実行を阻止し、感染が進行した場合でも影響範囲を最小限に抑える機能(隔離、ファイル復元など)を提供します。
- バックアップ戦略の確立と検証:
- 重要なデータは定期的にオフラインまたは隔離された環境にバックアップし、バックアップからの復元手順を定期的に検証してください。これにより、万一の感染時でも迅速な復旧が可能となります。
- 「3-2-1ルール」などの堅牢なバックアップ戦略を検討してください。
- 従業員へのセキュリティ意識向上トレーニング:
- フィッシングメールや不審なファイルの実行など、ソーシャルエンジニアリングの手口に対する従業員の認識を高めるための定期的なトレーニングを実施してください。不審な添付ファイルやリンクを開かないよう徹底することが重要です。
【アンチランサムウェア製品による検知事例】
WhiteDefenderでは、BuLockランサムウェアのようなファイル暗号化行為は、挙動ベースの検知エンジンによってRansomware Behavior‑Detectとして識別されます。特にファイル暗号化プロセスで発生する大量のファイル変更パターンを基に異常な挙動を早期に検知し、実行段階でプロセスを遮断(Execution Block)することで、暗号化の進行を阻止することが可能です。
さらに、ファイル変更イベントに対しては、隔離(Quarantine)および復元(Restore)機能が連携して動作するため、ランサムウェアによるデータ損傷を最小限に抑えることができます。

WhiteDefender Detect Viewerでの検知ログ:Ransomware Behavior‑Detectの検知およびExecution Block / Quarantine / Restoreの記録

WhiteDefenderによる遮断通知ポップアップ:悪意のある活動(BuLock.exe)によりプロセスがブロックされた旨の表示