調査日: 2023-04-10
Cylanceランサムウェアと推定される侵害事案が発生したため、当該状況の確認と注意喚起を以下の通り実施いたします。
本ランサムウェアはCylanceと呼称されており、感染したファイルは「元のファイル名.元の拡張子.Cylance」という形式に変更される挙動が確認されています。
ファイル属性
タスクスケジューラを利用したランサムウェアの再実行
権限昇格を目的として、タスクスケジューラを利用しランサムウェアを再度実行させる動作が確認されています。
<タスクスケジューラによるランサムウェア実行>
シャドウコピーの確認と削除
WMIコマンドを用いてシャドウコピーの有無を確認し、暗号化完了後に被害者が容易にファイルを復元できないように、CMDコマンドを通じて削除を実行します。
<シャドウコピーの確認>
<シャドウコピーの削除>
感染結果
身代金要求ファイルは、各ディレクトリ内に「CYLANCE_README.txt」という名称で生成されます。暗号化処理が進行すると、ファイル名は「<元のファイル名.元の拡張子.Cylance>」に変更されます。
<感染結果2>
<感染結果3>
本製品(WhiteDefender)は、ランサムウェアの悪性動作を検知し、暗号化処理が実行される前にファイルをリアルタイムで自動復元する機能をサポートしています。
<遮断メッセージ>