ランサムウェア情報
JackSparrow ランサムウェアの技術分析とインシデント対応報告書

調査日: 2025-05-21

【JackSparrow ランサムウェア】

JackSparrow ランサムウェアと推定される侵害事象が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。

JackSparrow ランサムウェアの概要

本ランサムウェアは「JackSparrow」と呼称され、感染したファイルの拡張子を「.encrypted.(元の拡張子)」に変更する挙動が確認されています。


実行ファイルの属性情報

 

 

ランサムウェアの動作特徴

  • JackSparrow ランサムウェアはC++を基盤として開発されており、実行時に以下の永続化メカニズムを利用します。
    まず、自身の実行ファイルをシステム内の特定パス(例:%APPDATA% または %TEMP%)にコピーした後、Windows タスクスケジューラまたはレジストリのRunキー(HKCUSoftwareMicrosoftWindowsCurrentVersionRun など)を設定し、システムログオン時に自動実行されるように設定します。これにより、再起動後も持続的な活動を維持します。

    システム復旧機能の無力化
    暗号化処理を開始する前に、被害者による復旧の試みを根本的に阻止するため、以下のシステム復元関連機能を無効化します:

    ボリュームシャドウコピー(Volume Shadow Copies)の削除:
    コマンド vssadmin delete shadows /all /quiet を実行し、ローカルディスク上の過去のスナップショットをすべて削除することで、一般ユーザーによるWindows復元機能を用いた復旧を試行できないようにします。

    システム復元の無効化およびエラー報告機能の遮断:
    bcdedit /set {default} recoveryenabled No および bcdedit /set {default} bootstatuspolicy ignoreallfailures などのコマンドを実行し、Windowsの自動修復プロセスやエラー報告メッセージを遮断します。これは、感染の認知やシステムが自己修復プロセスを起動することを防ぐ目的があります。

    Windows復元ポイントの削除またはアクセス制限:
    一部の亜種では、復元ポイント関連のレジストリキーを変更したり、関連サービス(srservice, winmgmt)を停止させたりすることで、復元機能を完全に利用不能にします。

    <実行ファイルのコピー作成とログオン時の自動実行スケジュールの設定>

    <シャドウコピーの削除とWindows復元・エラー発生時のメッセージ機能の無効化>

と感染結果

暗号化処理が完了した後、ランサムノートが自動的に表示されます。暗号化された各ファイルは <ファイル名.encrypted.元の拡張子> の形式に変更されます。

<感染結果>

対策製品による対応

本製品(ホワイトディフェンダー)は、JackSparrowランサムウェアの悪性動作を検知し、暗号化が実行される前にファイルのリアルタイム自動復元をサポートします。

<遮断メッセージ>


本ランサムウェアの動作は以下の段階を経て進行します。

  1. 初期実行と永続化設定:実行ファイルがシステム内の揮発性ディレクトリにコピーされ、タスクスケジューラまたはレジストリRunキーを通じて再起動後の自動実行が設定される(持続性の確立)。
  2. 防御機構の無効化:vssadmin コマンド等を用いてボリュームシャドウコピーを削除し、bcdedit コマンド等を用いてWindowsの自動修復機能およびエラー報告機能を無効化する。
  3. ファイル列挙と暗号化:システム内のターゲットファイルを列挙し、強力な暗号化アルゴリズム(詳細不明、通常はAES/RSAの組み合わせ)を適用する。
  4. ファイル名の変更:暗号化完了後、対象ファイルの拡張子を .encrypted. に変更する。
  5. 身代金要求:暗号化完了後、ランサムノートを被害者のデスクトップ等に表示する。


本種の脅威に対する防御を強化するため、以下の対策を講じることを強く推奨いたします。

  • バックアップ戦略の徹底:重要データはオフラインまたはイミュータブル(変更不能)なストレージに定期的にバックアップし、3-2-1ルールを遵守してください。
  • エンドポイントセキュリティの強化:最新のシグネチャおよび振る舞い検知機能を持つEDR/アンチウイルスソリューションを導入し、常に最新の状態に保ってください。
  • 特権管理の厳格化:管理者権限(Administrator)での日常業務を避け、最小権限の原則を徹底してください。
  • OSおよびソフトウェアのパッチ適用:既知の脆弱性を悪用されることを防ぐため、OS、アプリケーション、およびファームウェアのセキュリティパッチを迅速に適用してください。
  • ネットワークセグメンテーション:重要なサーバーやデータへのアクセスを制限し、ランサムウェアの水平展開(ラテラルムーブメント)を困難にしてください。