調査日: 2024-01-24
GlobeImposterランサムウェアと推定される侵害事象が確認されましたため、当該状況に関する確認結果と注意喚起を以下の通り報告いたします。
本マルウェアはGlobeImposterとして識別され、感染したファイルの拡張子を「.doc」に変更する挙動を示しています。
ファイルバージョン情報
ランサムウェアの動作的特徴
本マルウェアはC++で作成されており、実行時に自身の実行ファイルをAppDataRoamingフォルダへコピーした後、スタートアップレジストリ(一度のみ実行される設定)に登録します。本ランサムウェア特有の挙動として、ユーザーフォルダ内のPublic位置に「AE09C984DF6E74640B3271EADB5DD7C65FDE806235B2CDA478E0EFA9129C09E7」という名前のファイルを生成し、暗号化に関連する情報を記録します。
<スタートアップレジストリおよびRoamingフォルダにコピーされた実行ファイル>
<Publicフォルダに生成されたファイルと記録された情報>
感染の初期段階では、実行ファイルはAppDataRoamingへ自己複製され、持続性を確保するためにスタートアップレジストリに登録されます。その後、ファイル検索と暗号化処理が開始されます。
侵害結果とランサムノート
暗号化処理が完了すると、身代金要求ファイルとして各ディレクトリに「< Read___ME.html >」が生成されます。また、暗号化されたファイルは「<元のファイル名.拡張子.doc>」へと拡張子が変更されます。
<侵害結果(ファイル名の変更と身代金要求ファイルの配置)>
WhiteDefender製品は、ランサムウェアの悪性動作を検知・遮断するだけでなく、暗号化処理が進行中のファイルに対してもリアルタイムでの自動復元機能をサポートしています。
<遮断メッセージの例>
本件を受け、以下の対策を速やかに実施することを強く推奨いたします。