【Sepsisランサムウェア】

Sepsisランサムウェアと推定される侵害事案が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。

本レポートは、Sepsisランサムウェアによるものと見られるインシデントに関する技術的知見をまとめたものです。本マルウェアは、C++で開発されており、システムへの持続性を確保し、ユーザーデータの復旧を困難にするための複数の妨害工作を実行します。

本ランサムウェアは、実行ファイルとして動作し、そのコンパイル情報およびファイル属性から、特定の開発環境下で作成されたことが示唆されます。

ファイルバージョン情報：

Sepsisランサムウェアの主な動作特徴は、実行後の自己複製、持続性の確立、およびデータ復旧メカニズムの無効化にあります。

• C++ベースで実行された本ランサムウェアは、実行ファイルをWindowsフォルダ内にsvchost.exeという名称で再配置し、実行します。

• 持続性確保のため、WindowsのWinlogonキーに登録を行い、システム再起動後も自動的に実行されるように設定します。

  

  <初回実行位置からWindowsフォルダへランサムウェア実行ファイルをコピーし再実行する動的コードの解析結果>

• 暗号化処理の前に、シャドウコピーの削除、Windows回復機能の無効化、および実行ファイルエラー通知の無効化を実施し、ユーザーによるデータ復旧を極めて困難にします。

  

  <動的実行中のレジストリ変更箇所および適用されたレジストリ値>

  

  <シャドウコピー削除およびWindows回復機能、実行エラー通知を無効化する内部静的コードの解析結果>

暗号化が完了すると、被害ファイルは<元のファイル名.拡張子.[Sepsis@protonmail.com].SEPSIS>という形式に拡張子が変更されます。

また、身代金要求に関する通知ファイルは、WinAPIであるGetSystemDirectory関数の戻り値パスにmshta.exeとして生成されます。

暗号化結果の例：

<暗号化後のファイル状態>

本マルウェアの活動を検知・遮断した際のメッセージ例：

<遮断メッセージ>

Sepsisランサムウェアの脅威に対処するため、以下の対策を強く推奨いたします。

1. バックアップの徹底: 重要なデータはオフラインまたはイミュータブルなストレージに定期的にバックアップを取得し、ランサムウェアによる暗号化の影響を受けないように隔離してください。
2. エンドポイント保護の強化: 既知のシグネチャに依存するだけでなく、振る舞い検知やヒューリスティック分析が可能なEDR/EPPソリューションを導入し、実行前の挙動を監視・遮断できるようにしてください。
3. 特権管理の厳格化: ユーザーアカウントの権限を最小限に留め、管理者権限での日常的な作業を避けることで、マルウェアによるシステム設定変更（レジストリ変更やサービス登録）のリスクを低減します。
4. 脆弱性管理: OSおよびアプリケーションの最新のセキュリティパッチを迅速に適用し、初期侵入経路となり得る脆弱性を排除してください。

（注：本レポートは、特定のセキュリティ製品による検知・自動復旧機能のデモンストレーションを含みます。）