調査日: 2024-08-27
Aliceランサムウェアと推定される侵害事案が確認されました。これを受け、当該状況の確認と注意喚起を以下の通り報告いたします。
本件で観測されたランサムウェアは「Alice」と呼称され、感染したファイルの拡張子を「.alice」に変更する挙動が確認されています。
本ランサムウェアは.NET VBを基盤としており、一般的なランサムウェアとは異なり、バイナリドットとして保存されたリソースイメージを再解釈してビルドされています。この手法により、内部コードの解析が困難になっています。
実行ファイル情報
ランサムウェアの動作特徴
2回目の実行時に、シャドウコピーの削除および暗号化処理が実行される特徴があります。
<動的解析中のシャドウコピー確認>
本ランサムウェアは、感染が完了すると、各フォルダ内に身代金要求ファイル(ランサムノート)を「< How To Restore Your Files.txt >」という名称で生成します。暗号化されたファイルは「<元のファイル名.元の拡張子.alice>」へと拡張子が変更されます。
<感染結果(ファイル拡張子の変更とランサムノートの生成)>
暗号化されたファイルは「.alice」拡張子が付与され、復旧手順が記載されたテキストファイルが残置されます。
「ホワイトディフェンダー(仮称)」のようなセキュリティソリューションは、ランサムウェアの悪意ある挙動を検知し、暗号化処理が実行される前にファイルの自動復元をリアルタイムでサポートします。
<遮断メッセージの例>