【Phalcon ランサムウェア】

Phalcon ランサムウェアと推定される侵害事象が確認されましたため、当該状況に関する調査結果と注意喚起を以下の通り報告いたします。

Phalcon ランサムウェアの概要

本マルウェアは「Phalcon」と呼称されており、感染したファイルの拡張子を「.Phalcon」に変更する挙動が確認されています。

ファイル情報

本ランサムウェアの実行ファイルに関するコンパイル情報およびファイルプロパティを以下に示します。

ランサムウェアの動作特徴

• 本マルウェアはC++言語を基盤として開発されており、追加パラメータによって状況に応じたマルチモード動作をサポートしています。ミューテックス（Mutex）を利用した重複実行の防止策、およびWindowsタスクスケジューラへの登録による、暗号化処理が未完了の場合の再実行機構を備えています。暗号化完了後には、ランサムウェア実行ファイル自体およびシャドウコピー（Volume Shadow Copy）の削除機能も有しています。

  

  <コマンドライン引数および内部で確認されたコマンド文字列>

  

  <処理完了後に自己削除を行う内部コード>

感染結果と身代金要求

暗号化処理が完了すると、各ディレクトリ内に身代金要求ファイルとして「< PHALCON_RECOVER.txt >」という名称のファイルが生成されます。暗号化されたファイルは「< 元ファイル名.拡張子.Phalcon >」へとリネームされます。暗号化完了後、このテキストファイルが起動されます。

<感染結果（身代金要求ファイルと暗号化されたファイル）>

（本セクションは上記「感染結果と身代金要求」に統合済み。被害の具体的な内容は身代金要求ノートの内容に依存する。）

セキュリティ製品による検知

（※元のレポートに記載された特定の製品名「화이트디펜더」に関する記述を、一般的な防御機能として記述します。）

特定のセキュリティソリューションは、Phalconランサムウェアの悪性動作を検知し、暗号化処理が開始される前に影響を受ける可能性のあるファイルに対してリアルタイム自動復元機能を提供します。

<検知・ブロックメッセージ>

本マルウェアの挙動に基づき、以下の対策を強く推奨いたします。

1. バックアップの徹底: 重要なデータはオフラインまたはイミュータブルなストレージに定期的にバックアップを取得し、ランサムウェアによる暗号化の影響を受けないように隔離してください。
2. エンドポイントセキュリティの強化: 振る舞い検知やヒューリスティック分析が可能な最新のEDR/EPPソリューションを導入し、実行ファイルの起動や不審なプロセス活動を監視・阻止してください。
3. パッチ管理の徹底: OSおよびアプリケーションの脆弱性を悪用した初期侵入を防ぐため、セキュリティパッチを迅速に適用してください。
4. 権限の最小化: ユーザーアカウントおよびサービスアカウントに対し、業務上必要最小限の権限のみを付与し、横展開やシステム設定変更のリスクを低減してください。