調査日: 2022-12-05
本レポートは、最近確認されたランサムウェア「AstraLocker」による侵害事例に関する技術分析および注意喚起を目的としています。AstraLockerは、標的システム上のファイルを暗号化し、ファイル拡張子を「.babyk」に変更する特徴を持つマルウェアです。
AstraLockerランサムウェアの実行ファイルに関する基本的な属性情報を確認しました。
ファイル属性情報
マルウェアのバージョン情報およびファイル属性は以下の通りです。
感染から暗号化に至るまでの主要な動作プロセスは以下の通りです。
.NET Framework 3.5の事前準備
マルウェアは、まず「%SystemDrive%NET35WX5」ディレクトリを作成します。これは、暗号化処理に必要な環境設定、ランサムノートの生成、およびそのパスの確認を目的としていると推測されます。
<スタートアップ登録>
シャドウコピーの削除
暗号化後のデータ復旧を困難にするため、システムに存在するシャドウボリュームコピー(VSS)を削除するコマンドを実行します。
<シャドウコピーの削除>
暗号化処理が完了すると、対象ファイルは以下の形式で変更されます。
- ファイル名の変更: <元のファイル名>.<元の拡張子>.babyk
- の生成: 各フォルダ内に身代金要求文書が生成されます。
のファイル名は「How To Restore Your Files.txt」です。
<感染結果1>
<感染結果2>
AstraLockerを含むランサムウェア攻撃からシステムを防御し、被害を最小限に抑えるために、以下の対策を推奨いたします。
- データのバックアップ戦略の徹底: 重要なデータは定期的にバックアップし、バックアップデータはネットワークから隔離された環境(オフラインまたはクラウドストレージ)に保管してください。
- セキュリティパッチの適用: OS、アプリケーション、およびミドルウェアに対し、最新のセキュリティパッチを速やかに適用し、既知の脆弱性を解消してください。
- 最小権限の原則: ユーザーアカウントおよびサービスアカウントに対し、業務遂行に必要最低限の権限のみを付与してください。
- 振る舞い検知機能の活用: EDR(Endpoint Detection and Response)や次世代アンチウイルス製品を導入し、ファイル暗号化やシャドウコピー削除といった悪意ある振る舞いをリアルタイムで検知・遮断する体制を構築してください。
検出・遮断事例
(特定のセキュリティ製品による検出時のメッセージ例)
<遮断メッセージ>
<遮断メッセージ>
<遮断メッセージ>