【Elons ランサムウェア】

Elons ランサムウェアと推定される侵害事案が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。

Elons ランサムウェアの概要

本ランサムウェアは「Elons」と呼称され、感染したファイルの拡張子を「.Elons」に変更する挙動が確認されています。

実行ファイル情報

動作の特徴

• 本ランサムウェアはC++で開発されており、ミューテックス（Mutex）を利用して多重実行を防止する機能を実装しています。通常の実行に加え、追加パラメータを入力することでカスタム設定を構成し、多様なオプションを有効化できます。ファイル暗号化プロセスにおいては、復旧を困難にするため、システムのシャドウコピーを削除し、すべてのゴミ箱を空にします。さらに、デバッグを妨害する目的で、特定のセキュリティソフトウェアやシステム診断プロセスを終了させるよう設計されています。暗号化完了後には自己削除のコマンドを含んでおり、痕跡の追跡と解析を最小限に抑えるための追加的なセキュリティ対策を講じています。

  

  <追加パラメータを確認する内部ソースコード>

  
  
  

  <パラメータを使用してコンソールモードで実行した際の進行ウィンドウ>

  
  
  

  <完了後にランサムウェア自身を削除するコマンド>

  
  

本セクションでは、感染から暗号化完了に至るまでの主要な動作フローを記述します。

1. 実行と持続性の確保: 実行ファイルが起動され、ミューテックスにより単一インスタンスでの動作を保証します。
2. 環境準備: 復旧手段を排除するため、VSS（Volume Shadow Copy Service）の削除コマンドを実行し、システム上のシャドウコピーを抹消します。また、ゴミ箱を空にします。
3. 対抗措置: 特定のセキュリティ製品や診断ツールを検知し、プロセスを強制終了させます。
4. 暗号化実行: 対象ファイルに対して暗号化処理を実行します。
5. 痕跡消去: 暗号化完了後、実行されたマルウェア本体は自己削除コマンドによりシステムから痕跡を消去します。

身代金要求ファイルは、各フォルダ内に「<#Read-for-recovery.txt>」という名称で生成されます。暗号化されたファイルは、「<ファイル名.拡張子.[Elonse@cyberfear.com].Elons>」のように拡張子が変更されます。

<感染結果（ファイル名変更とランサムノートの生成）>

本ランサムウェアの脅威に対処し、将来的な侵害を防ぐために、以下の対策を強く推奨いたします。

1. バックアップの徹底: 3-2-1ルールに基づき、オフラインまたはイミュータブルな環境に重要なデータのバックアップを保持してください。
2. エンドポイント保護の強化: 振る舞い検知やヒューリスティック分析が可能な次世代アンチウイルス（NGAV）ソリューションを導入し、既知のシグネチャに依存しない防御体制を構築してください。
3. パッチ管理: OSおよびアプリケーションの脆弱性を速やかに修正し、攻撃者が悪用する可能性のある侵入経路を遮断してください。
4. アクセス制御: 最小権限の原則を適用し、不必要な管理者権限の付与を避けてください。
5. インシデント対応計画: ランサムウェア感染を想定したインシデント対応計画（IRP）を策定し、定期的な訓練を実施してください。

ホワイトディフェンダーによる対応

（※本製品に関する記述は、元の情報源に基づくものであり、貴社のセキュリティ製品の機能紹介として記載します。）

ホワイトディフェンダーは、Elonsランサムウェアの悪性動作を検知・遮断するだけでなく、暗号化が進行する前のファイルに対してもリアルタイムでの自動復元をサポートします。

<遮断メッセージの例>