ランサムウェア情報
Slimeランサムウェアの分析と対策

【概要】

Slimeランサムウェアは、Windowsシステムを標的とし、重要なファイルを暗号化して身代金を要求するマルウェアです。感染すると、ファイルには.slimeという拡張子が追加され、read_it.txtという名前の身代金要求メモが生成されます。これにより、ユーザーは自身のデータが暗号化され、アクセス不能になったことを即座に認識させられます。

本レポートでは、Slimeランサムウェアの技術的な特徴、動作プロセス、および被害状況について詳細に分析します。さらに、この脅威に対する効果的な対策についても提言いたします。

[要約] Slimeランサムウェアは.slime拡張子を付与し、read_it.txtメモを生成してファイルを暗号化するC# .NETベースのChaos系ランサムウェアです。

【技術分析】

Slimeランサムウェアは、C# .NETで開発されたChaosファミリーに属するマルウェアです。実行されると、自身のファイルを%AppData%ディレクトリにコピーし、そこから再実行されます。また、永続性を確保するために、%AppData%\Microsoft\Windows\Start Menu\Programs\Startupディレクトリにショートカットを作成し、システム起動時に自動実行されるように仕向けます。

このサンプルでは、Chaosファミリーに典型的なシャドウコピーの削除、Windows回復機能の無効化、バックアップカタログの削除といったデータ復旧を妨害する機能は無効化されていました。暗号化の対象は、システムがインストールされているCドライブを除く全てのドライブと、ユーザーアカウントのライブラリフォルダ内のファイルです。

ランサムウェア情報要約

項目 内容
ランサムウェア名称 Slime (スライム)
変更された拡張子 .slime
ランサムノート read_it.txt
攻撃者連絡先 (ノート基準) zenhao007@gmail.com

サンプル識別子

項目 内容
Size 23.50 KB
Type PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
MD5 018c91ecc0841c8617599f00fd207459
SHA1 69955618671a7847d390c3b333ec865e5188e85b
SHA256 9410ed79ee646d717CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVcc31dcdeb2ad9ef
SHA512 617CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV0bbfa6bf7330717CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV6f7fd11d0cb5de6c777212fbabec6af1e0e617dfda5fad
CRC32 78710a4e
Slimeランサムウェア感染後の暗号化されたファイル一覧。ファイル拡張子が.slimeに変更されている状態を示しています。

Slime感染後、暗号化されたファイル

【動作プロセス】

  1. ランサムウェア実行:ユーザーの操作、または自動実行によりマルウェアが実行されます。
  2. 自己展開と永続化:マルウェアは%AppData%ディレクトリに自身をコピーし、そこから再実行します。さらに、%AppData%\Microsoft\Windows\Start Menu\Programs\Startupにショートカットを作成し、システム再起動後も自動実行されるようにします。
    ランサムウェアがWindowsのスタートアップフォルダにショートカットを作成する動的コードの分析画面。永続化のメカニズムを示しています。

    スタートアップフォルダにランサムウェア実行リンクを作成する動的コード

    スタートアップフォルダにランサムウェアの実行リンクを生成する動的コードのさらなる分析画面。永続化手法の詳細です。

    スタートアップフォルダにランサムウェア実行リンクを作成する動的コード

    スタートアップフォルダにランサムウェアの実行リンクを生成する動的コードの別の分析画面。一貫した永続化戦略を示しています。

    スタートアップフォルダにランサムウェア実行リンクを作成する動的コード

  3. ファイル暗号化:システム内のCドライブ以外の全てのドライブおよびユーザーライブラリ内のファイルを対象に、独自のアルゴリズムで暗号化を実行します。
  4. 身代金要求メモの生成:暗号化が完了すると、各ディレクトリにread_it.txtという名前の身代金要求メモを生成します。

【被害状況とランサムノート】

Slimeランサムウェアに感染すると、ユーザーの重要なデータファイル(文書、画像、動画など)が暗号化され、アクセス不能となります。ファイルには.slimeという拡張子が追加され、元のファイルは開けなくなります。

感染したシステム全体にread_it.txtという名前の身代金要求メモが生成され、被害状況と身代金の支払い方法が記載されています。攻撃者は、このメモを通じて連絡を求め、復号のための情報を提供すると主張します。

[重要] Slimeランサムウェアは、主要な文書や画像ファイルなどの拡張子を.slimeに変更し、read_it.txtを生成することで、ユーザーデータへのアクセスを不可能にします。
Slimeランサムウェア感染後のファイル拡張子変更事例。重要なファイルが.slimeに変わり、アクセスできなくなっている状態です。

ランサムウェア感染後、暗号化されたファイル拡張子.slime変更事例

Slimeランサムウェアの身代金要求ノート『read_it.txt』の内容。攻撃者の連絡先(メールアドレス)や支払いを促すメッセージが記載されています。

Slimeランサムウェア感染ノート

【推奨される対策】

  1. VPNの脆弱性管理とアップデート: 外部から社内ネットワークへアクセスする際のVPN装置やゲートウェイの脆弱性を常に最新の状態に保ち、パッチ適用を徹底してください。未知の脆弱性を悪用されるリスクを低減します。
  2. 専門的なアンチランサムウェアツールの導入: ランサムウェアの挙動をリアルタイムで検知・ブロックし、暗号化されたファイルを自動的に復元する機能を持つ専用のアンチランサムウェアソリューションの導入を強く推奨します。これにより、被害を最小限に抑えることが可能です。
    WhiteDefenderの検知ビューアのログ画面。Ransomware Behavior-DetectとしてSlimeランサムウェアの活動が検知され、実行ブロック、隔離、および自動復元が記録されています。

    WhiteDefender Detect Viewer検知ログ:Ransomware Behavior‑Detect検知およびExecution Block / Quarantine / Restore記録

    WhiteDefenderによるブロック通知ポップアップ画面。『Process has been blocked due to malicious activity (Slime.exe)』と表示され、Slime.exeの悪性活動がブロックされたことを示しています。

    WhiteDefenderブロック通知ポップアップ:Process has been blocked due to malicious activity Slime.exe

  3. 従業員へのセキュリティ教育: 不審なメールの添付ファイルやリンクを開かない、OSやソフトウェアを常に最新の状態に保つ、強力なパスワードを使用するなど、基本的なセキュリティ対策の重要性について従業員への教育を継続的に実施してください。
  4. 定期的なバックアップと検証: 重要なデータは、ネットワークから隔離されたメディアやクラウドストレージに定期的にバックアップしてください。また、バックアップデータが正常に復旧できるか定期的に検証することも不可欠です。
[推奨] VPNの脆弱性管理と、リアルタイム検知・自動復元機能を備えた専門的なアンチランサムウェアツールの導入が、Slimeランサムウェア対策の最優先事項です。

【まとめ】

Slimeランサムウェアは、Chaosファミリーに属するマルウェアであり、その技術的な特徴から、システムへの侵入とデータ暗号化を効率的に行います。本分析では、特に.NETベースであること、そして自己展開と永続化のためのメカニズムに注目しました。幸いなことに、分析対象のサンプルでは、データ復旧を妨害する高度な機能は無効化されていましたが、これは将来的な亜種で実装される可能性も否定できません。

このようなランサムウェアの脅威に対しては、単一の対策に頼るのではなく、多層的な防御戦略が不可欠です。VPNなどの外部公開インターフェースのセキュリティ強化、エンドポイントにおける先進的なアンチランサムウェアソリューションの導入、そして従業員一人ひとりのセキュリティ意識の向上が、被害を未然に防ぐための鍵となります。定期的なバックアップと、その復旧テストも、万が一の事態に備える上で極めて重要です。

よくある質問(Q&A)

Q1. 暗号化されたファイルは復号できますか?

A. 現在、Slimeランサムウェアの公開されている亜種に対する無料の復号ツールは存在しません。攻撃者に身代金を支払っても、必ずしもデータが復号される保証はなく、さらなる攻撃を助長する可能性もあるため、推奨されません。定期的なバックアップからの復旧が最も確実な手段です。

Q2. Slimeランサムウェアの主な感染経路は何ですか?

A. 一般的なランサムウェアと同様に、フィッシングメールの添付ファイルや悪意のあるリンク、脆弱性のあるソフトウェアの悪用、不正なWebサイトからのダウンロードなどが考えられます。特に、VPNなどのリモートアクセスツールの脆弱性を悪用されるケースも増加しています。

Q3. どのような対策が最も効果的ですか?

A. 最も効果的な対策は、多層防御の考え方に基づきます。具体的には、VPN装置の定期的なパッチ適用、信頼できるアンチランサムウェア製品の導入、OSやソフトウェアの最新化、そして不審なファイルやリンクを開かないという従業員の意識向上が重要です。

Q4. ランサムウェア対策として、バックアップはどのように行うべきですか?

A. 重要なデータは、定期的にバックアップし、そのバックアップデータはランサムウェアの影響を受けないように、ネットワークから隔離された場所(オフラインバックアップ)や、信頼できるクラウドストレージに保存することが推奨されます。また、バックアップデータが正常に復旧できるか定期的にテストすることも重要です。