調査日: 2023-01-16

報告日: 2023年1月16日

本レポートは、新たに確認されたランサムウェア「Crypto360」による侵害事案に関する技術分析を提供します。Crypto360は、感染対象ファイルの拡張子を「.360」に変更して暗号化を実行し、システム起動時に自動実行されるよう持続性（Persistence）を確保する挙動を確認しています。本マルウェアの技術的特徴と、組織が取るべき推奨対策について詳述します。

Crypto360ランサムウェアの実行ファイルに関する基本的な情報を分析しました。

ファイル属性の確認

実行ファイルのバージョン情報および属性は以下の通りです。

本ランサムウェアは、暗号化処理を開始する前に、システム上での持続性を確保する動作を確認しました。

持続性の確保（Persistence）

• スタートアッププログラムへの登録:

  Windows起動時に自動的に再実行されるよう、自身をスタートアッププログラム（またはレジストリのRunキーなど）に登録します。これにより、システムが再起動された後もランサムウェアの活動が継続されます。

  

  <スタートアッププログラム登録>

  
  

暗号化が完了した後、ファイルシステム上に残された痕跡と被害状況を分析しました。

ファイル暗号化の挙動

本ランサムウェアは、対象となるファイルを暗号化した後、ファイル名を「<元のファイル名>.360」という形式に変更します。

の生成

身代金要求文書（ランサムノート）は、暗号化が行われた各ディレクトリ内に「!_INFO.txt」というファイル名で生成されます。

Crypto360ランサムウェアによる被害を未然に防ぐため、以下の対策を速やかに実施することを強く推奨します。

1. 定期的なデータバックアップの実施:
   重要なデータは、ネットワークから隔離された環境（オフラインストレージなど）に定期的にバックアップし、リストア手順を確認してください。
2. セキュリティパッチの適用と脆弱性管理:
   OS、アプリケーション、およびネットワーク機器のセキュリティパッチを最新の状態に保ち、既知の脆弱性を悪用されるリスクを低減してください。
3. エンドポイント保護の強化（EDR/NGAV）:
   ランサムウェア特有のファイル操作や持続性確保の試みをリアルタイムで検知・遮断できる高度なエンドポイントセキュリティソリューションを導入してください。
4. 最小権限の原則の徹底:
   ユーザーアカウントやサービスアカウントに対し、業務遂行に必要最低限の権限のみを付与するよう設定を見直してください。

（参考情報：セキュリティ製品による悪性行為の遮断例）