調査日: 2024-02-26
Chimeraランサムウェアと推定される侵害事象が確認されましたため、当該状況に関する確認と注意喚起を以下の通り報告いたします。
本ランサムウェアは「Chimera」と呼称されており、感染したファイルの拡張子を「.crypt」に変更する挙動が確認されています。
ファイル属性
ランサムウェアの動作特徴
本マルウェアは.NETベースで作成されており、実行後、現在稼働中の信頼できるプロセスのヘッダを改ざんし、そのプロセス内部で実行されます。その後、ルートドライブに対する暗号化処理を実行します。暗号化完了後、HTML形式のランサムノートが起動されます。
<内部静的コードの内容>
感染結果
感染が確認された各ディレクトリには、ランサムノートとして「< YOUR_FILES_ARE_ENCRYPTED.HTML >」が生成されます。また、暗号化処理の過程でファイルは「<ファイル名.元の拡張子.crypt>」へと変更されます。
<感染結果の例>
本件に関連し、弊社製品「ホワイトディフェンダー」は、ランサムウェアの悪性動作を検知し、暗号化が実行される前に影響を受けるファイルに対してリアルタイム自動復元機能を提供します。
<ブロックメッセージの例>