調査日: 2022-08-03
分析日: 2022-08-03
HellowXDランサムウェアと推定されるマルウェアによる侵害事案が確認されました。本レポートは、当該マルウェアの動作特性、感染経路、および推奨される対策について、技術的な観点から分析し報告するものです。特に、本マルウェアがボリュームシャドウコピー(VSS)を無効化し、ファイル復旧を困難にすることを特徴としています。
HellowXDランサムウェアは、対象ファイルを.helloという拡張子に変更して暗号化します。また、暗号化プロセス中にバックドアを削除する挙動が確認されており、これは事後調査や復旧作業を意図的に妨害する目的があると推察されます。
本マルウェアの特定された情報および暗号化の結果は以下の通りです。
暗号化実行後のファイル拡張子が変更された様子を以下に示します。
被害を深刻化させるため、本ランサムウェアはシステムの復元ポイントやボリュームシャドウコピー(VSS)を削除するプロセスを実行します。これにより、被害者はOS標準機能を用いたファイル復旧が極めて困難になります。
<VSS無効化に関連する挙動の痕跡>
本マルウェアは、API関数GetLogicalDrivesを利用して接続されている全ての論理ドライブを列挙します。この際、Aドライブ(フロッピーディスクドライブ)を除外対象としていますが、ローカルドライブおよびネットワークドライブを含む、全てのデータストレージを暗号化の標的としています。
GetLogicalDrives
<ランサムウェア内部コードの抜粋>
<ドライブタイプ取得APIに関するMSDN情報(参考)<出典: https://docs.microsoft.com/en-us/windows/win32/api/fileapi/nf-fileapi-getdrivetypea>>
暗号化処理が完了した後、影響を受けた各フォルダ内に「Hello.txt」という名前の身代金要求ファイルが生成されます。対象ファイルはすべて「<元のファイル名>.hello」へと拡張子が変更されています。
<拡張子が.helloに変更されたファイルの例。>
<HellowXDランサムウェアノートの内容>
分析環境下において、本ランサムウェアの悪性的な挙動は、暗号化が実行される前にリアルタイムで検知・防御されました。特定のセキュリティソリューションは、暗号化対象となるファイルに対する自動復元機能を提供し、被害を最小限に抑えることが可能です。
<行為のブロックメッセージ>
<ブロックログの記録>
HellowXDランサムウェアおよび類似の脅威に対する防御策として、以下の対策を強く推奨いたします。