調査日: 2023-04-03
【Ekingランサムウェア】
Ekingランサムウェアと推定される侵害事案が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。
Ekingランサムウェアの概要
本ランサムウェアはEkingと称され、感染したファイルの拡張子を「元のファイル名.元の拡張子.id-[個人キー].tolong80@protonmail.ch.eking」に変更する挙動が確認されています。
ファイル情報
-
ネットワークファイアウォールの無効化
外部からの脆弱性を突かれないようにするため、個人ファイアウォールおよびパブリックネットワークのファイアウォール設定を解除します。
<ネットワークファイアウォールの無効化>
-
スタートアップ登録
ランサムウェア実行ファイルをスタートアップレジストリおよびフォルダに登録し、Windows起動時に自動的に動作するよう設定します。
<スタートアップ登録>
-
エラー通知および復旧機能の無効化
ランサムウェア実行中に発生しうるエラー通知を非表示にし、Windowsの持つ自己修復機能を無効化します。
<エラー通知および復旧機能の無効化>
-
シャドウコピーの確認と削除
暗号化後、利用者が容易にファイルを復元できないように、CMDコマンドを用いてシャドウコピーを削除します。
<シャドウコピーの確認と削除>
-
バックアップカタログの削除(Windows Server)
Windows Server環境において、バックアップカタログ機能をすべて削除します。
<バックアップカタログの削除(Windows Server)>
感染結果
身代金要求ファイルは、デスクトップ上に「info.txt」および「info.hta」という名称で生成されます。暗号化処理が完了すると、ファイルは「<元のファイル名.元の拡張子.id-[個人キー].tolong80@protonmail.ch.eking>」形式に変更されます。
<感染結果1>
<感染結果2>
<感染結果3>
対策製品による対応
本製品(WhiteDefender)は、ランサムウェアの悪性動作の検知およびブロックに加えて、暗号化処理が進行するファイルに対してもリアルタイムでの自動復元機能をサポートします。
<ブロックメッセージ>
<ブロックメッセージ>
本ランサムウェアの脅威に対処するため、以下の対策を強く推奨いたします。
- バックアップの徹底と隔離: 重要なデータは定期的に取得し、ネットワークから物理的または論理的に隔離された環境(オフラインストレージなど)に保管してください。
- エンドポイントセキュリティの強化: 既知および未知の脅威に対応可能な最新のEDR/アンチウイルスソリューションを導入し、常に最新の定義ファイルに更新してください。
- 脆弱性管理: OSおよびアプリケーションのセキュリティパッチを迅速に適用し、既知の脆弱性を解消してください。特にリモートアクセスサービス(RDPなど)のセキュリティ設定を厳格化してください。
- 不審な通信の監視: ネットワーク境界および内部セグメントにおいて、不審な外部通信や、シャドウコピー削除コマンド(vssadmin delete shadows)などの不審なプロセス実行を監視・検知する体制を構築してください。
- ユーザー教育: 不審なメールの添付ファイルやリンクを開かないよう、従業員に対するセキュリティ意識向上のための教育を継続的に実施してください。