調査日: 2023-08-17
Encoded ランサムウェアと推定される侵害事象が発生したため、当該状況に関する確認と注意喚起を以下の通り報告いたします。
本ランサムウェアは「Encoded」と称されており、感染対象ファイルの拡張子を「ファイル名.拡張子.ENCODED」に変更する挙動が確認されています。
ファイル情報
実行ファイルの圧縮と重複実行の制御
実行ファイルはUPXにより圧縮されています。また、ミューテックス(Mutex)を利用して、同一インスタンスの重複実行を防ぐ処理が実装されています。本亜種は、10年代初頭にも確認された古い系統のランサムウェアの変種であり、近年の高度なマルウェアと比較すると内部実装は比較的シンプルです。
侵害プロセスと影響
暗号化処理の完了後、デスクトップ上に「HOW TO DECRYPT FILES.txt」という身代金要求ファイルが生成されます。暗号化の過程で、対象ファイルは「<ファイル名.拡張子.ENCODED>」へとリネームされ、同時にデスクトップの壁紙が変更される挙動が確認されています。
<感染後の影響(ファイル拡張子の変更とデスクトップの状況)>
弊社提供のセキュリティ製品(ホワイトディフェンダー)は、本ランサムウェアの悪性動作を検知し、暗号化が進行する前に影響を受ける可能性のあるファイルに対してリアルタイムでの自動復元機能を提供します。
<セキュリティ製品によるブロックメッセージ>
本件のようなランサムウェア攻撃の脅威に対処するため、以下の対策を強く推奨いたします。
バックアップの徹底と隔離: 重要なデータは定期的に取得し、ネットワークから物理的または論理的に隔離された環境(オフラインストレージなど)に保管してください。
エンドポイントセキュリティの強化: 既知および未知の脅威に対応可能なEDR/EPPソリューションを導入し、常に最新の定義ファイルに更新してください。
不審なメール/ファイルへの注意: 添付ファイルやリンクの開封前に、送信元を厳密に確認するよう従業員への教育を徹底してください。
パッチ管理の徹底: OSおよびアプリケーションの脆弱性を悪用されることを防ぐため、セキュリティパッチを速やかに適用してください。