調査日: 2025-10-14
「Corona」と称されるランサムウェアによる侵害事案が確認されましたため、当該事象に関する調査結果と注意喚起を以下の通り報告いたします。
本ランサムウェアは「Corona」として識別されており、感染対象ファイルの拡張子を「.corona」に変更する挙動が確認されています。
実行ファイル情報
本CoronaランサムウェアはPythonで開発されたものと分析されます。実行過程において、必要なライブラリを「%LocalAppData%Temp_MEI19202」パスに展開・インストールした後、インストール完了後に当該一時ディレクトリを削除する挙動を示します。暗号化対象は、ユーザーのライブラリフォルダおよびドライブAからNまでに限定されており、比較的限定的な暗号化範囲を持つ構造が特徴です。
<コピーされた実行ファイルとスタートアップ登録レジストリ>
暗号化完了後、身代金要求に関する通知ファイルは「_README.txt」という名称で、各フォルダ内に生成されます。暗号化が適用されたファイルはすべて「<元のファイル名.拡張子.corona>」へとリネームされます。
<感染結果の例>
本ランサムウェアの悪性動作および暗号化処理の実行前に、リアルタイムでの自動復元機能を提供するセキュリティソリューション(例:WhiteDefender)の導入が有効です。
<WhiteDefenderによる対応例>