調査日: 2025-06-10
【Cloneランサムウェア】
Cloneランサムウェアと推定される侵害事案が確認されましたため、
当該状況に関する調査結果と注意喚起を以下の通り報告いたします。
Cloneランサムウェアの概要
本ランサムウェアは「Clone」と呼称されており、感染したファイルの拡張子を「.id-個人Key8桁.[CloneDrive@mailum.com].Clone」の形式に変更し、データを暗号化する挙動が確認されています。
ファイル属性情報
ランサムウェアの動作特徴
-
CloneランサムウェアはC++ベースで開発されており、Dharma(ダルマ)ランサムウェアの亜種と見られます。実行時、ミューテックス(Mutex)を用いて多重起動を防止する機構を有しています。また、暗号化完了後、レジストリに特定値を登録することで重複処理を防ぐ機能も確認されています。ランサムウェアは起動直後、データ関連の特定のサービスおよびプロセスを列挙し、それらを停止または終了させます。暗号化処理においては、ユーザーによるデータ復元を困難にするため、ボリュームシャドウコピー(VSS)を削除します。暗号化完了後、実行ファイル形式のランサムノートを表示させます。さらに、スタートアップフォルダにランサムウェア本体およびランサムノートを登録し、持続性(Persistence)を確保しようとします。
<多重起動防止のためのミューテックス動的取得内容>
<スタートアップに登録されるランサムウェア実行ファイル>
<Pocmonにより収集された追加のコマンド実行内容>
本セクションでは、侵害から暗号化完了に至るまでの具体的な動作フローを記述します。
感染結果
身代金要求ファイル(ランサムノート)は、暗号化完了後、各ルートドライブおよびデスクトップ上に「clone_info.txt」として生成されます。また、システムフォルダ(system32)内に「mshta.exe」という名前でファイルが生成されることも確認されています。暗号化が適用されたファイルは、すべて「<元のファイル名.拡張子.id-個人Key8桁.[CloneDrive@mailum.com].Clone>」の形式に変更されます。
<感染結果の例>
本ランサムウェアの脅威に対処し、将来的な侵害を防ぐために、以下の対策を強く推奨いたします。
- バックアップの徹底: 重要なデータはオフラインまたはセキュアな環境に定期的にバックアップを取得し、ランサムウェアによる暗号化の影響を受けないように隔離してください。
- エンドポイント保護の強化: 既知の脅威だけでなく、振る舞い検知が可能な次世代アンチウイルス(NGAV)ソリューションを導入し、実行前の段階で悪意あるプロセスを阻止してください。
- 脆弱性管理: OSおよびアプリケーションのパッチ適用を迅速に行い、既知の侵入経路を塞いでください。
- アクセス制御: 最小権限の原則を適用し、不必要な管理者権限での業務を避けてください。また、リモートデスクトッププロトコル(RDP)などの外部公開サービスについては、多要素認証(MFA)を必須とし、アクセス元IPを制限してください。
(参考情報)
本製品(ホワイトディフェンダー)は、ランサムウェアの悪意ある挙動を検知し、暗号化処理が進行する前にリアルタイムで自動復元をサポートします。
<遮断メッセージの例>