【BTCランサムウェア】

BTCランサムウェアと推定される侵害事案が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。

BTCランサムウェアの概要

本ランサムウェアは「BTC」と称されており、感染したファイルの拡張子を「ファイル名.拡張子.EMAIL=[antistrees2000@keemail.me]ID=[固有ID].BTC」に変更する挙動が確認されています。

ファイル情報

• 実行場所の変更と再実行

  初期実行場所から、システムの一時フォルダ（Tempフォルダ）内にランサムウェア本体をコピーし、そこから再実行する挙動が確認されています。

  

  <動的解析中のTempフォルダ内での再実行の様子>

  

  <Tempフォルダ内に生成されたランサムウェアファイル>

暗号化処理が完了すると、各ディレクトリ内に身代金要求ファイルとして「<#FILE ENCRYPTED.txt>」が生成されます。ファイル名の変更は「<ファイル名.拡張子.EMAIL=[antistrees2000@keemail.me]ID=[固有ID].BTC>」の形式で行われ、処理完了後、デスクトップの壁紙が変更されます。

<暗号化後の結果>

とランサムノート

身代金要求に関する具体的な内容は、ランサムノート（<#FILE ENCRYPTED.txt>）内に記載されていますが、本レポートではその詳細な内容は割愛します。連絡先メールアドレスは「antistrees2000@keemail.me」が使用されています。

防御ソリューションによる対応

（※元のレポートに記載されていた製品名に基づき、一般的な防御機能として記述します）ホワイトディフェンダー（仮称）は、ランサムウェアの悪性動作を検知し、暗号化が進行する前にリアルタイムで自動復元をサポートします。

<遮断メッセージ>

本件のようなランサムウェアの侵害を防止するため、以下の対策を強く推奨いたします。

1. バックアップの徹底: 3-2-1ルールに基づき、重要データのオフラインまたはイミュータブルなバックアップを維持してください。
2. エンドポイント保護の強化: 振る舞い検知やヒューリスティック分析が可能な次世代アンチウイルス（NGAV）ソリューションを導入し、既知・未知の脅威に対応できるようにしてください。
3. アクセス制御: 最小権限の原則を適用し、不必要な管理者権限の付与を避けてください。また、リモートデスクトップ（RDP）等の外部公開サービスに対する多要素認証（MFA）を必須としてください。
4. パッチ管理: OSおよびアプリケーションの脆弱性を速やかに修正し、攻撃者が利用する既知の侵入経路を塞いでください。