【AllahuAkbar ランサムウェア分析】

AllahuAkbarを名乗るランサムウェアによる侵害事案が確認されました。これを受け、当該事象に関する確認事項と注意喚起を以下の通り報告いたします。

AllahuAkbar ランサムウェアの概要

本ランサムウェアは「AllahuAkbar」と称しており、感染したファイルの拡張子を「.allahuakbar」に変更する挙動が確認されています。

実行ファイルの情報

ランサムウェアの動作特徴

• 本マルウェアはC#（.NET）ベースであり、Chaos系統に分類されます。実行時、特定の言語を使用するOS環境下では動作を停止するよう制御されています。暗号化処理の前にレジストリに重複実行防止用の文字列を登録し、二重の処理を防ぎます。暗号化の過程では、ユーザーによる復旧を困難にするため、シャドウコピーおよびバックアップカタログの削除、Windowsの回復機能やエラー通知機能の無効化を行います。さらに、レジストリへの値の追加を通じてタスクマネージャーの無効化、およびスタートアップ項目へのランサムウェア実行ファイルの登録による持続性の確保を図ります。

  

  <特定言語の使用有無を確認する内部コード>

  

  <暗号化の重複実行防止のために追加されたレジストリ値と内部コード>

  

  <回復関連機能およびタスクマネージャーの無効化処理>

  

  <スタートアップレジストリ位置へのランサムウェア実行ファイルの登録>

感染結果

身代金要求ファイルは、各フォルダ内に「how_to_decrypt.txt」という名称で生成されます。暗号化が完了したファイルは、「元のファイル名.元の拡張子.allahuakbar」へとリネームされます。暗号化完了後、当該のテキストファイルが実行されます。

<感染結果の例>

対策ソリューションによる対応

本製品（WhiteDefenderを想定）は、ランサムウェアの悪性動作を検知・遮断する以前に、暗号化対象となるファイルに対してリアルタイムでの自動復元機能をサポートしています。

<遮断メッセージの例>

本ランサムウェアの挙動に基づき、以下の対策を強く推奨いたします。

1. バックアップの徹底と隔離: 重要なデータは定期的に取得し、ネットワークから物理的または論理的に隔離された環境（オフラインストレージなど）に保管してください。
2. エンドポイントセキュリティの強化: C#ベースの不審なプロセス実行や、レジストリへの異常な書き込み（特にスタートアップ関連やシステム設定変更）を検知・ブロックできるEDR/EPPソリューションを導入・維持してください。
3. OSおよびソフトウェアの最新化: 既知の脆弱性を悪用されるリスクを低減するため、OS、アプリケーション、セキュリティ製品のパッチ適用を遅滞なく実施してください。
4. ユーザー教育: 不審なメール添付ファイルやリンクのクリックに対する注意喚起を継続的に実施し、ソーシャルエンジニアリング攻撃への耐性を高めてください。