ランサムウェア情報
Sepsisランサムウェア詳細分析

【概要】

SepsisランサムウェアはWindowsシステムを標的とし、重要なファイルデータを暗号化した後、その拡張子を「ファイル名.拡張子.[Sepsis@protonmail.com].SEPSIS」に変更します。本ランサムウェアによる侵害(Compromise)が発生すると、ユーザーのすべてのファイルデータ領域に「mshta.exe」形式のランサムノートが生成され、拡張子が一括して暗号化されることで、ユーザーは即座に感染の事実を認識させられます。

Sepsisランサムウェア感染後に拡張子が変更され暗号化されたファイルの例

<Sepsis感染後、暗号化されたファイル>

【技術分析】

SepsisランサムウェアはC++で開発されており、その実行ファイルはシステム復旧を困難にするための複数の技術的特徴を有します。これには、シャドウコピー(Volume Shadow Copy)の削除、Windowsシステム復元機能の無効化、およびアプリケーションエラー通知機能の無効化が含まれます。これらの機能妨害行為は、ユーザーのデータ復旧可能性を最小限に抑え、被害を最大化することを目的としています。

【動作プロセス】

Sepsisランサムウェアの典型的な動作プロセスは以下の通りです。

    • 自身のコピーと再実行: ランサムウェアは初回実行時、自身のファイルをWindowsフォルダーに「svchost.exe」という名前でコピーします。その後、コピーされたファイルを再実行し、元のプロセスは終了することが一般的です。
Sepsisランサムウェアが初回実行場所からWindowsフォルダーに自身の実行ファイルをコピーし、再実行する動的コードの内容

<初回実行場所のランサムウェア実行ファイルをWindowsフォルダーへコピーし、再実行する動的コード内容>

    • 持続性(Persistence)の確保: コピーされたファイルは、Windowsログオンプロセス中に自動的に実行されるWinlogonレジストリエリアに自身を登録します。これにより、システムが再起動された後もランサムウェアが持続的に実行され続けることが可能になります。
Sepsisランサムウェアが動的実行中にレジストリを修正し、その結果適用されたレジストリの値を示す画面

<動的実行中のレジストリ修正箇所および適用されたレジストリ値>

    • 復旧妨害行為の実行: 暗号化処理に先立ち、ランサムウェアは被害システムの復旧を妨害するためのアクションを実行します。これには、シャドウコピーの削除、Windowsシステム復元機能の無効化、およびアプリケーションエラー通知機能の無効化が含まれます。
Sepsisランサムウェアがシャドウコピーの削除、Windowsシステム復元機能、およびアプリケーションエラー通知機能を無効化する内部静的コード

<シャドウコピーの削除、Windows復元機能および実行エラー通知機能を無効化する内部静的コード>

    • ファイル暗号化: 上記の準備行為が完了した後、Sepsisランサムウェアは標的システムの重要なファイルデータに対する暗号化処理を開始します。

【被害状況とランサムノート】

Sepsisランサムウェアによる侵害が進行すると、ファイル暗号化が実行され、同時にランサムノートが生成されます。暗号化された各ファイルは拡張子が変更され、利用不能な状態となります。

  • 主要な文書ファイルや画像ファイルなどが「ファイル名.拡張子.[Sepsis@protonmail.com].SEPSIS」という拡張子に暗号化され、使用不能状態へ移行します。
  • mshta.exe」形式のランサムノートが生成されます。
  • ユーザーデータは暗号化によりアクセス不能な状態となります。
Sepsisランサムウェア感染後に拡張子が「[Sepsis@protonmail.com].SEPSIS」に変更されたファイル名

<ランサムウェア感染後、拡張子が変更されたファイル名事例:[Sepsis@protonmail.com].SEPSIS>

Sepsisランサムウェア感染後に変更されたデスクトップ背景画像

<ランサムウェア感染後に変更されたデスクトップ画面>

【推奨される対策】

Sepsisランサムウェアのような脅威からシステムを保護するためには、多層的なセキュリティ対策を講じることが不可欠です。以下に、特に推奨される対策を示します。

  • VPN脆弱性管理の強化: 外部ネットワークからの侵入経路として悪用されることが多いVPNデバイスの脆弱性を常に監視し、速やかにパッチを適用してください。安全な設定がされているか定期的に確認し、多要素認証(MFA)の導入を強く推奨します。
  • 専門のランサムウェア対策ツールの導入: 振る舞い検知やAIベースの分析を行う専門のランサムウェア対策ツールを導入することで、未知のランサムウェアによる攻撃も早期に検知し、暗号化を未然に防ぐことが可能です。これらのツールは、不審なファイル操作やシステム変更をリアルタイムで監視し、悪意ある活動をブロックします。
  • 定期的なバックアップの実施: 重要なデータは定期的にオフラインまたは隔離された環境にバックアップし、万一の感染時にもデータを復旧できるように備えてください。バックアップデータへのアクセス経路も厳重に管理することが重要です。
  • ソフトウェアとシステムのパッチ管理: オペレーティングシステム、アプリケーション、セキュリティソフトウェアを常に最新の状態に保ち、既知の脆弱性を悪用した攻撃を防ぎます。
  • エンドポイントセキュリティの強化: 高度なマルウェア対策ソフトウェアを導入し、定期的にスキャンを実行します。また、アプリケーションのホワイトリスト化や最小権限の原則を適用することで、攻撃者の活動範囲を制限します。
  • セキュリティ意識の向上: フィッシングメールや不審なファイルの開封に対する従業員のセキュリティ意識を高めるための教育を継続的に実施します。

専門のランサムウェア対策ツールは、Sepsisランサムウェアのような脅威を効果的に検知・ブロックし、暗号化されたファイルの自動復元を支援します。

ランサムウェア対策ツールによる検知ログの例:ランサムウェアの挙動検知、実行ブロック、隔離、復元記録

<専門のランサムウェア対策ツールによる検知ログの例:ランサムウェアの挙動検知、実行ブロック、隔離、復元記録>

ランサムウェア対策ツールによるブロック通知ポップアップの例:悪意ある活動(Sepsis.exe)によりプロセスがブロックされた旨のメッセージ

<専門のランサムウェア対策ツールによるブロック通知ポップアップの例:Process has been blocked due to malicious activity (Sepsis.exe)>