【FridayBoycrazy ランサムウェア分析】

FridayBoycrazyと推定されるランサムウェアによる侵害事象が確認されました。
本件に関する調査結果と、関係各位への注意喚起を以下の通り報告いたします。

FridayBoycrazy ランサムウェアの概要

本マルウェアは「FridayBoycrazy」と呼称され、感染したファイルの拡張子を「.元の拡張子.ランダムな4桁の文字列」に変更する挙動が確認されています。本稿では、その技術的特徴と攻撃フローについて詳述します。

ファイルバージョン情報

ランサムウェアの動作特徴

• 本ランサムウェアは.NETベースであり、Chaos（カオス）系統の亜種と類似した動作特性を有しています。暗号化されたデータの復旧を困難にするため、ボリュームシャドウコピー（VSS）およびWindowsサーバーのバックアップカタログの削除を実行します。さらに、Windowsのシステム復元機能やエラー通知機能を無効化します。

  暗号化完了後、スタートアップフォルダに自身の実行リンクを生成し、内部にBase64形式で格納された画像を一時フォルダ（Temp）に展開し、デスクトップの背景画像として設定します。

  

  <Chaos系統ランサムウェアに見られる、Roamingフォルダへの自己コピーと再実行の挙動>

  
  
  

  <削除コマンド（VSS、バックアップカタログ削除、システム復元/エラー通知無効化）の静的コード>

  
  
  

  <スタートアップフォルダに生成されたランサムウェアの実行リンク>

  
  
  

  <一時フォルダに生成されたデスクトップ背景画像>

  
  

感染結果とファイル変更

被害を受けた各フォルダには、身代金要求メモファイル（拡張子のない <Warning> という名称のテキストファイル）が生成されます。暗号化が完了したファイルは、「ファイル名.元の拡張子.ランダムな4桁の文字列」へと名称が変更されます。

<感染結果の例>

（注：本レポートでは、ランサムノートの内容や具体的な暗号化アルゴリズムに関する詳細な記述は省略し、動作の痕跡に焦点を当てています。）

（上記「感染結果とファイル変更」セクションに記載の通り、身代金要求メモファイルが生成され、ファイル名の変更が確認されています。）

ホワイトディフェンダーによる対応

ホワイトディフェンダー製品は、ランサムウェアの悪性動作を検知しブロックする以前に、暗号化対象となるファイルに対してリアルタイムでの自動復旧機能をサポートします。

<ブロックメッセージの例>

防御策の強化

本亜種は、システムの復旧機能を無効化する挙動を持つため、事前の対策が極めて重要です。

1. バックアップの徹底: 3-2-1ルールに基づき、オフラインまたはイミュータブルな環境への重要データの定期的なバックアップを実施してください。
2. エンドポイント保護の強化: 不審なプロセス実行やシステム設定変更（VSS削除、スタートアップ登録など）を検知・阻止できるEDR/EPPソリューションの導入と、シグネチャに依存しない振る舞い検知機能の有効化を推奨します。
3. パッチ管理: 既知の脆弱性を悪用されることを防ぐため、OSおよびアプリケーションの最新のセキュリティパッチを速やかに適用してください。
4. ユーザー教育: 不審なメールの添付ファイルやリンクの開封に対する注意喚起を継続的に実施してください。