調査日: 2023-05-15
AXLockerランサムウェアと推定される侵害事案が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。
本マルウェアはAXLockerと呼称され、既存のファイル名構造を維持したまま暗号化を実行する特徴が見られます。
ファイルバージョン情報
ランサムウェア実行ファイルの隠蔽
メインプログラムの所在を秘匿するため、実行直後にファイル属性を「隠しファイル(Hidden)」に変更します。
<ランサムウェア実行ファイルの隠蔽処理>
対象ドライブの限定
暗号化処理はCドライブに限定して実行されることを確認しました。
<特定ドライブの対象化>
暗号化対象の選別
ごみ箱(Recycle Bin)やWindowsフォルダなど、一部の例外対象を除外し、特定の拡張子を持つファイルをスキャンします。
<攻撃から除外された対象ディレクトリ>
<暗号化対象となる特定の拡張子>
暗号化の実行
標的となったファイルに対し、AES256暗号化アルゴリズムを適用します。
<暗号化処理の実行>
感染結果
は自動的に生成されます。特筆すべき点として、攻撃を受けたファイルは拡張子を変更することなく暗号化される点が挙げられます。
<感染結果1>
<感染結果2>
本製品(ホワイトディフェンダー)は、ランサムウェアの悪性動作を検知し遮断する以前に、暗号化が進行中のファイルに対してもリアルタイムでの自動復元機能をサポートしております。
<遮断メッセージ例>