調査日: 2022-11-28

 

本レポートは、2022年11月28日に活動が確認されたElbieランサムウェアに関する技術分析の結果をまとめたものです。Elbieは、感染システム上の全てのファイルを暗号化し、特定の拡張子を付与することで復旧を困難にします。本マルウェアは、永続性の確立、シャドウコピーの削除、およびセキュリティ機能の無効化といった典型的なランサムウェアの動作を実行します。

 

Elbieランサムウェアは、実行後、システムに侵入し、広範囲にわたる暗号化活動を開始します。

ファイル属性の確認

分析対象となった実行ファイルのバージョン情報および属性は以下の通りです。

 

 

 

以下に、Elbieランサムウェアがシステムに侵入し、暗号化に至るまでの主要な動作プロセスを詳述します。

持続性の確立 (Persistence)

• スタートアップへの登録

  マルウェアは、初期実行場所から %AppData%Local ディレクトリへ自身をコピーした後、再実行し、システム起動時に自動実行されるようスタートアッププログラムとして登録し、持続性を確保します。

  

  <スタートアッププログラム登録 (レジストリ)>

  

  <スタートアッププログラム登録 (実行ファイル)>

防御機能の無効化

• シャドウコピーの削除

  感染後のデータ復旧を困難にするため、Windowsのボリュームシャドウコピーサービス (VSS) を利用して作成されたシャドウコピーを削除します。

  

  <シャドウコピーの削除>

• Windowsファイアウォールの無効化

  外部との通信を容易にし、セキュリティ対策を弱体化させる目的で、Windowsファイアウォールを無効化します。

  

  <Windowsファイアウォールの無効化>

 

暗号化後のファイル拡張子

暗号化が実行されたファイルは、以下の形式で拡張子が変更されます。

<既存の名前>.<既存の拡張子>.id[固有ID].[helprequest@techmail.info].Elbie

の生成

ランサムウェアの要求事項を記した案内ファイルは、暗号化された各フォルダ内に info.txt および info.hta という名前で生成されます。

 

Elbieランサムウェアを含む、あらゆるランサムウェア攻撃からシステムを防御するため、以下の対策を強く推奨します。

• データのバックアップの徹底: 重要なデータは、ネットワークから隔離された環境（オフラインストレージなど）に定期的にバックアップしてください。
• システム監視とリアルタイム防御: ランサムウェアの悪性な動作（ファイルコピー、VSS削除、暗号化処理）をリアルタイムで検知し、遮断できるエンドポイントセキュリティ製品を導入してください。
• 最小権限の原則: 業務に必要な最小限の権限のみをユーザーに付与し、管理者権限での日常的な操作を避けてください。
• パッチ管理の徹底: OSおよびアプリケーションのセキュリティパッチを速やかに適用し、既知の脆弱性を解消してください。

セキュリティ製品による検知例

適切なセキュリティソリューションを導入している場合、ランサムウェアの悪性行為を検知し、暗号化が進行する前にプロセスを遮断することが可能です。また、一部の製品では、暗号化されたファイルに対してもリアルタイムで自動復元を支援する機能が提供されています。