調査日: 2023-03-20
iq200ランサムウェアと推定される侵害事案が確認されましたため、当該状況に関する確認結果と注意喚起を以下の通り報告いたします。
本マルウェアは「iq200」と呼称され、感染対象ファイルの元のファイル名と拡張子を保持した上で、末尾に「.iq20」を付与し、暗号化を実行する特徴が確認されています。
本ランサムウェアが暗号化後に付与する拡張子やファイル構造について、以下の図にて詳細を示します。
実行フロー
持続性の確立(スタートアップ登録)
ランサムウェアの実行ファイルは、Windows起動時に自動的に動作するよう、スタートアップレジストリおよび関連フォルダに登録されます。
<スタートアップ登録の痕跡>
データ破壊工作(シャドウコピーの削除)
暗号化処理完了後、被害者が容易にファイルを復元できないように、CMDコマンドを利用してボリュームシャドウコピー(システム復元ポイント)を意図的に削除します。
<シャドウコピーの確認と削除処理>
感染結果
身代金要求に関する通知ファイルは、デスクトップ上に「info.txt」として生成される他、システムフォルダ(system32)内に「mshta.exe」という名称で偽装ファイルが生成されることを確認しました。暗号化されたファイルは、以下の命名規則に従って拡張子が変更されます:<元のファイル名.元の拡張子.id-[個人識別キー].[iq200@tutanota.com].iq20>
<感染結果の例1>
<感染結果の例2>
<感染結果の例3>
弊社製品(ホワイトディフェンダー)は、ランサムウェアの悪性動作を検知し、暗号化処理が実行される前にファイルのリアルタイム自動復元機能により対応が可能です。
<検知・ブロックメッセージ例>