調査日: 2022-09-20

Surtrランサムウェアに関する分析レポート（2022年9月20日）

本レポートは、Surtrランサムウェアによる侵害事案の発生を受け、その技術的な動作、被害状況、および推奨される対策について詳細に分析したものです。

Surtrランサムウェアは、標的システムのファイルを暗号化し、復旧を困難にするための複数の破壊活動を実行するマルウェアです。感染したファイルは、特定のメールアドレスとランサムウェア名を含む拡張子「.[JohnD3crypt@gmail.com].SURT」に変更されます。攻撃者は、被害者がシステム復旧機能を利用できないよう、シャドウコピーの削除やWindows回復機能の無効化を徹底的に行います。

Surtrランサムウェアの実行ファイルに関する基本的な情報を確認しました。

ファイル情報

実行ファイルのバージョン情報および属性は以下の通りです。

Surtrランサムウェアは、暗号化プロセスを実行する前に、被害システムにおけるセキュリティ対策や復旧機能を無力化するための以下の手順を踏みます。

• セキュリティモジュールサービスの停止とバックアップの削除

  一部のセキュリティ対策プログラムのサービスを強制的に停止させ、さらにローカルに存在するバックアップファイルを削除する試みを行います。

  

  <セキュリティモジュールサービスの停止とバックアップの削除>

  
  

• シャドウコピーの削除

  暗号化されたファイルの復元を不可能にするため、Windowsのボリュームシャドウコピーサービス（VSS）によって作成されたシャドウコピーを削除します。

  

  <シャドウコピーの削除>

  
  

• Windows回復機能の無効化

  ユーザーがシステム標準の機能を用いて復旧を試みることを困難にするため、Windowsの回復機能を無効化します。

  

  <Windows回復機能の無効化>

  
  

ファイル拡張子の変更

暗号化が完了すると、全ての対象ファイルは「< [JohnD3crypt@gmail.com].SURT>」という形式の拡張子に変更されます。

<暗号化後のファイル一覧 (1)>

<暗号化後のファイル一覧 (2)>

<暗号化後のファイル一覧 (3)>

の生成

各フォルダ内に、脅迫文（ランサムノート）として「SURTR_README.txt」および「SURTR_README.hta」というファイル名で案内ファイルが生成されます。

Surtrランサムウェアのような破壊的な攻撃からシステムを保護し、被害を最小限に抑えるため、以下の対策を強く推奨します。

• オフラインバックアップの徹底: 暗号化やバックアップ削除の影響を受けないよう、定期的に重要なデータをネットワークから隔離された環境（オフライン）にバックアップしてください。
• セキュリティ対策ソフトの導入と更新: EDR (Endpoint Detection and Response) や次世代型アンチウイルス (NGAV) ソリューションを導入し、定義ファイルを常に最新の状態に保ってください。
• システム復旧機能の保護: シャドウコピーやシステム回復機能がマルウェアによって削除されないよう、アクセス制御を強化してください。
• メールセキュリティの強化: 感染経路として利用されることが多いメール添付ファイル（特にマクロを含むOffice文書）に対するフィルタリングや、ユーザーへの注意喚起を徹底してください。
• OSおよびアプリケーションのパッチ適用: 既知の脆弱性を悪用した侵入を防ぐため、OSや利用アプリケーションのセキュリティパッチを速やかに適用してください。