【HydraCryptランサムウェア】

HydraCryptランサムウェアと推定される侵害事象が確認されましたため、
当該状況に関する確認事項および注意喚起を以下の通り報告いたします。

本件は、HydraCryptと称されるランサムウェアによるものと見受けられます。本マルウェアは、感染対象ファイルの拡張子を「元のファイル名.元の拡張子.hydracrypt_ID_個人キー」の形式に変更し、データを暗号化する挙動を示しています。

本ランサムウェアのファイルバージョンおよびプロパティに関する初期分析結果を以下に示します。

ファイルバージョン情報

本ランサムウェアが実行する主要な悪性プロセスは以下の通りです。

実行プロセス

• VSSサービスの停止

  Windows Volume Shadow Copy Service (VSS) サービスを停止させ、事後のデータ復元を困難にすることを目的としています。

  

  <VSSサービス停止の実行>

• シャドウコピーの確認と削除

  暗号化完了後、ユーザーによるファイル復旧を阻止するため、CMDコマンドを利用してシャドウコピーを削除します。

  

  <シャドウコピーの確認と削除の実行>

暗号化が完了すると、ファイル名は「<元のファイル名.元の拡張子.hydracrypt_ID_個人キー>」へと変更されます。また、身代金要求ファイル（ランサムノート）はデスクトップ上に「README_DECRYPT_HYDRA_ID_個人キー.txt」という名称で生成されます。

<暗号化結果1>

<暗号化結果2>

（※本分析レポートは、特定のセキュリティ製品（ホワイトディフェンダー）による検知・防御の事例も併せて示していますが、これは製品の機能紹介であり、本分析の主眼ではありません。）

<検知メッセージ例>

<検知メッセージ例>

<検知メッセージ例>

本種のランサムウェアによる侵害を予防し、被害を最小限に抑えるため、以下の対策を強く推奨いたします。

1. バックアップの徹底と隔離: 重要なデータは定期的に取得し、ネットワークから物理的または論理的に隔離された環境（オフラインストレージなど）に保管してください。
2. VSS保護の強化: VSSサービスへの不正なアクセスや操作を監視・制限する対策を講じてください。
3. エンドポイントセキュリティの導入と最新化: アンチウイルスソフトやEDRソリューションを導入し、常に最新のシグネチャおよび振る舞い検知エンジンを適用してください。
4. アクセス制御の厳格化: 最小権限の原則に基づき、不必要な管理者権限の付与を避け、リモートデスクトッププロトコル（RDP）などの外部公開サービスへのアクセスを厳格に管理してください。