本レポートは、OSやプログラムの脆弱性を悪用して感染を拡大するランサムウェア「Eternity」に関する技術分析の結果をまとめたものです。
Eternityランサムウェアは、標的システム上のファイルを暗号化し、元の拡張子に加えて「.ecrp」という拡張子を付与します。また、システムの復旧を困難にするための複数の妨害工作(シャドウコピーの削除、タスクマネージャーの無効化など)を実行することが確認されています。
Eternityランサムウェアの実行ファイルは、特定のファイルバージョン情報および属性を有しています。
Eternityランサムウェアは、感染から暗号化に至るまでに、以下の手順でシステム環境の改ざんおよび持続性の確立を試みます。
Windowsのセキュリティポリシー設定を悪用し、ユーザーがマルウェアのプロセスを終了させることを防ぐため、タスクマネージャー(作業管理者)を無効化します。
<タスクマネージャー無効化の痕跡>
pingコマンドを実行し、外部との通信状態を確認します。これは、C2サーバーへの接続準備、またはサンドボックス環境からの脱出を試みる初期動作である可能性があります。
<ネットワークテスト実行>
Eternityランサムウェアがシステム再起動後も定期的に実行されるよう、Windowsのタスクスケジューラに予約タスクを作成し、持続性を確立します。
<タスクスケジューラへの予約登録>
暗号化されたデータの復元を困難にするため、Windowsのボリュームシャドウコピーサービス(VSS)によって作成された復元ポイントをすべて削除します。
<シャドウコピー削除コマンド実行>
ランサムウェアは、まず自身を %AppData%LocalServiceHub ディレクトリ内にコピーし、元の実行ファイルを削除してから動作を開始します。案内ファイルは、ランサムウェアの実行ファイル(EXE)が直接GUIとして表示する方式で処理されます。
%AppData%LocalServiceHub
暗号化処理が進行すると、ファイルは <元の拡張子>.ecrp の形式に変更されます。
<元の拡張子>.ecrp
<暗号化後のファイルリスト>
<暗号化されたファイルの詳細>
<ランサムノート(GUI表示)>
Eternityランサムウェアによる侵害を防ぎ、被害を最小限に抑えるために、以下の対策を推奨します。
本ランサムウェアはOSやプログラムの脆弱性を悪用する可能性があるため、OS、アプリケーション、特にインターネットに面したサービス(VPN、RDPなど)に対して、最新のセキュリティパッチを速やかに適用してください。
オフラインまたはネットワークから隔離された環境で、定期的に重要なデータのバックアップを取得し、シャドウコピーの削除(VSS削除)によるデータ損失に備えてください。
タスクスケジューラ(Task Scheduler)やレジストリのRunキーなど、持続性を確立するために利用される可能性のあるシステム領域を定期的に監視し、不審なエントリがないか確認してください。
エンドポイントセキュリティ製品(EDR/EPP)を導入し、定義ファイルを常に最新の状態に保ち、タスクマネージャーの無効化やVSS削除といった悪意のあるシステム操作を検知・阻止する設定を有効にしてください。