調査日: 2025-11-18
A.E.S.R.T ランサムウェアと推定される侵害事案が確認されました。つきましては、当該事象に関する確認結果と注意喚起を以下の通り報告いたします。
本マルウェアは「A.E.S.R.T」と称しており、感染したファイルの拡張子を「.AESRT」に変更する挙動が確認されています。
ファイルバージョン情報
動作の特徴
A.E.S.R.T ランサムウェアはC#/.NETフレームワークを基盤として開発されています。初回実行時、C:Program FilesTempAESRT フォルダを生成し、壁紙画像およびスクリプトファイルを展開します。
実行後、コンソールウィンドウを非表示にし、リムーバブルUSBドライブをスキャンします。検出された.exeファイルのうち一つを自身の複製に置き換えることで、ワーム(Worm)のように自己拡散を図ります。
感染プロセスにおいて、vssadminおよびwmicコマンドを利用してシャドウコピー(ボリュームスナップショット)を削除し、bcdeditコマンドにより起動失敗時のポリシーを無視するように設定変更を行います。さらに、wbadminコマンドによりバックアップカタログを削除し、システム復旧を困難にします。
<シャドウコピー削除およびWindows回復機能・エラー通知の無効化に関する静的コード>
タスクマネージャーおよびUAC(ユーザーアカウント制御)を無効化することで、利用者の対応を阻止します。また、「WinlogonUserinit」レジストリ値に自身のパスを追記し、システム起動時に自動実行されるよう永続性(Persistence)を確保します。
<Winlogonレジストリに登録されているランサムウェア実行ファイル>
<レジストリ変更によるタスクマネージャー無効化の痕跡>
暗号化処理が完了した後、ランサムウェアは身代金要求メモ(Ransom Note)を自動的に表示します。暗号化された各ファイルは、元のファイル名に「.<拡張子>.AESRT」が付与された形式に変更されます。
<暗号化後の被害状況>
暗号化されたファイルは「<ファイル名>.<拡張子>.AESRT」という命名規則で変更されます。身代金要求メモの内容については、別途確認が必要です。
本マルウェアの拡散を防ぐため、以下の対策を直ちに実施することを推奨いたします。
(※本レポートは、確認された挙動に基づいた技術的分析であり、特定の製品による対応例として、以下にホワイトディフェンダーによる対応例を示します。)
ホワイトディフェンダー製品は、ランサムウェアの悪性動作を検知・遮断するだけでなく、暗号化処理が開始される前のファイルに対してもリアルタイムでの自動復元機能をサポートします。
<ホワイトディフェンダーによる対応例>