調査日: 2023-03-13
HydraCryptランサムウェアと推定される侵害事象が確認されましたため、当該状況に関する確認事項および注意喚起を以下の通り報告いたします。
本件は、HydraCryptと称されるランサムウェアによるものと見受けられます。本マルウェアは、感染対象ファイルの拡張子を「元のファイル名.元の拡張子.hydracrypt_ID_個人キー」の形式に変更し、データを暗号化する挙動を示しています。
本ランサムウェアのファイルバージョンおよびプロパティに関する初期分析結果を以下に示します。
ファイルバージョン情報
本ランサムウェアが実行する主要な悪性プロセスは以下の通りです。
実行プロセス
VSSサービスの停止
Windows Volume Shadow Copy Service (VSS) サービスを停止させ、事後のデータ復元を困難にすることを目的としています。
<VSSサービス停止の実行>
シャドウコピーの確認と削除
暗号化完了後、ユーザーによるファイル復旧を阻止するため、CMDコマンドを利用してシャドウコピーを削除します。
<シャドウコピーの確認と削除の実行>
暗号化が完了すると、ファイル名は「<元のファイル名.元の拡張子.hydracrypt_ID_個人キー>」へと変更されます。また、身代金要求ファイル(ランサムノート)はデスクトップ上に「README_DECRYPT_HYDRA_ID_個人キー.txt」という名称で生成されます。
<暗号化結果1>
<暗号化結果2>
(※本分析レポートは、特定のセキュリティ製品(ホワイトディフェンダー)による検知・防御の事例も併せて示していますが、これは製品の機能紹介であり、本分析の主眼ではありません。)
<検知メッセージ例>
本種のランサムウェアによる侵害を予防し、被害を最小限に抑えるため、以下の対策を強く推奨いたします。