本報告書は、Cyborgランサムウェアの活動が確認された事象について、その技術的特徴、動作プロセス、および推奨される対策を詳述するものです。本マルウェアは、特定のファイル拡張子を付与し、身代金要求文書を残置する挙動を示しています。

本ランサムウェアは、ファイル名に「.Cyborg1」を付与する特徴を有しています。

ファイル属性

ランサムウェアの動作的特徴

• 本ランサムウェアは.NETフレームワークを基盤とし、VB言語で開発されています。分析を困難にするため、多様な難読化技術が適用されています。コード内の主要ロジックおよび文字列は静的状態では暗号化されており、実行時（Runtime）にのみ復号化されて動作します。これは、静的解析を妨害し、検知を回避するための典型的な手法です。
  
  また、一部の同系統の亜種では、感染後にユーザーのデスクトップ背景を変更する機能が確認されていますが、今回分析されたサンプルでは当該機能は無効化されていることを確認しました。これはビルドオプションの差異、テストバージョン、あるいは配布目的に応じた機能制限であると推測されます。
  
  

  

  <難読化された内部静的コード>

感染結果

暗号化完了後、身代金要求ファイルは「Cyborg_DECRYPT.txt」という名称で、暗号化された各フォルダ内に生成されます。暗号化されたファイルは、<元のファイル名.拡張子.Cyborg1> の形式に変更されます。

<感染結果>

暗号化されたファイルには「.Cyborg1」の拡張子が追加されます。身代金要求に関する情報は、各ディレクトリに配置される「Cyborg_DECRYPT.txt」に記載されています。

本件で利用されたCyborgランサムウェアの脅威に対処するため、以下の対策を推奨いたします。

セキュリティ製品による防御

セキュリティソリューション（例：ホワイトディフェンダー）は、ランサムウェアの悪性動作や暗号化の試行に対し、リアルタイムでの自動復元機能をサポートしています。

<遮断メッセージ>

（参考：Cyborg遮断動画はこちらからご覧いただけます）