調査日: 2022-08-03
HellowXDランサムウェアの技術分析とインシデント対応に関する考察
分析日: 2022-08-03
HellowXDランサムウェアと推定されるマルウェアによる侵害事案が確認されました。本レポートは、当該マルウェアの動作特性、感染経路、および推奨される対策について、技術的な観点から分析し報告するものです。特に、本マルウェアがボリュームシャドウコピー(VSS)を無効化し、ファイル復旧を困難にすることを特徴としています。
HellowXDランサムウェアは、対象ファイルを.helloという拡張子に変更して暗号化します。また、暗号化プロセス中にバックドアを削除する挙動が確認されており、これは事後調査や復旧作業を意図的に妨害する目的があると推察されます。
本マルウェアの特定された情報および暗号化の結果は以下の通りです。
- ランサム通知ファイル名: Hello.txt
- 暗号化後の拡張子: .hello
暗号化実行後のファイル拡張子が変更された様子を以下に示します。
ボリュームシャドウコピーの削除
被害を深刻化させるため、本ランサムウェアはシステムの復元ポイントやボリュームシャドウコピー(VSS)を削除するプロセスを実行します。これにより、被害者はOS標準機能を用いたファイル復旧が極めて困難になります。
<VSS無効化に関連する挙動の痕跡>
標的ドライブの特定
本マルウェアは、API関数GetLogicalDrivesを利用して接続されている全ての論理ドライブを列挙します。この際、Aドライブ(フロッピーディスクドライブ)を除外対象としていますが、ローカルドライブおよびネットワークドライブを含む、全てのデータストレージを暗号化の標的としています。
<ランサムウェア内部コードの抜粋>
<ドライブタイプ取得APIに関するMSDN情報(参考)<出典: https://docs.microsoft.com/en-us/windows/win32/api/fileapi/nf-fileapi-getdrivetypea>>
感染結果
暗号化処理が完了した後、影響を受けた各フォルダ内に「Hello.txt」という名前の身代金要求ファイルが生成されます。対象ファイルはすべて「<元のファイル名>.hello」へと拡張子が変更されています。
<拡張子が.helloに変更されたファイルの例。>
<HellowXDランサムウェアノートの内容>
ホワイトディフェンダーによる検知・防御
分析環境下において、本ランサムウェアの悪性的な挙動は、暗号化が実行される前にリアルタイムで検知・防御されました。特定のセキュリティソリューションは、暗号化対象となるファイルに対する自動復元機能を提供し、被害を最小限に抑えることが可能です。
<行為のブロックメッセージ>
<ブロックログの記録>
HellowXDランサムウェアおよび類似の脅威に対する防御策として、以下の対策を強く推奨いたします。
- 定期的なバックアップと隔離: 重要なデータは定期的に取得し、ネットワークから物理的または論理的に隔離された(オフラインの)ストレージに保管してください。これは、VSSが無効化された場合の最終防衛線となります。
- エンドポイント保護の強化: アンチウイルスソフトやEDRソリューションを導入し、既知および未知のランサムウェアの挙動を検知・ブロックする機能を有効にしてください。特に、VSS削除コマンドの実行などを監視対象とすべきです。
- パッチ管理の徹底: 感染の初期段階で悪用されやすいOSおよびアプリケーションの脆弱性に対するセキュリティパッチを迅速に適用してください。
- 最小権限の原則適用: ユーザーアカウントに対し、業務上必要最小限のアクセス権限のみを付与し、横展開(ラテラルムーブメント)のリスクを低減させてください。
- 従業員教育: フィッシングメールや不審な添付ファイルに対する従業員のセキュリティ意識向上トレーニングを継続的に実施してください。