調査日: 2025-05-21
JackSparrow ランサムウェアと推定される侵害事象が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。
本ランサムウェアは「JackSparrow」と呼称され、感染したファイルの拡張子を「.encrypted.(元の拡張子)」に変更する挙動が確認されています。
実行ファイルの属性情報
ランサムウェアの動作特徴
JackSparrow ランサムウェアはC++を基盤として開発されており、実行時に以下の永続化メカニズムを利用します。まず、自身の実行ファイルをシステム内の特定パス(例:%APPDATA% または %TEMP%)にコピーした後、Windows タスクスケジューラまたはレジストリのRunキー(HKCUSoftwareMicrosoftWindowsCurrentVersionRun など)を設定し、システムログオン時に自動実行されるように設定します。これにより、再起動後も持続的な活動を維持します。システム復旧機能の無力化暗号化処理を開始する前に、被害者による復旧の試みを根本的に阻止するため、以下のシステム復元関連機能を無効化します:• ボリュームシャドウコピー(Volume Shadow Copies)の削除:コマンド vssadmin delete shadows /all /quiet を実行し、ローカルディスク上の過去のスナップショットをすべて削除することで、一般ユーザーによるWindows復元機能を用いた復旧を試行できないようにします。• システム復元の無効化およびエラー報告機能の遮断:bcdedit /set {default} recoveryenabled No および bcdedit /set {default} bootstatuspolicy ignoreallfailures などのコマンドを実行し、Windowsの自動修復プロセスやエラー報告メッセージを遮断します。これは、感染の認知やシステムが自己修復プロセスを起動することを防ぐ目的があります。• Windows復元ポイントの削除またはアクセス制限:一部の亜種では、復元ポイント関連のレジストリキーを変更したり、関連サービス(srservice, winmgmt)を停止させたりすることで、復元機能を完全に利用不能にします。
vssadmin delete shadows /all /quiet
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
<実行ファイルのコピー作成とログオン時の自動実行スケジュールの設定>
<シャドウコピーの削除とWindows復元・エラー発生時のメッセージ機能の無効化>
と感染結果
暗号化処理が完了した後、ランサムノートが自動的に表示されます。暗号化された各ファイルは <ファイル名.encrypted.元の拡張子> の形式に変更されます。
<ファイル名.encrypted.元の拡張子>
<感染結果>
本製品(ホワイトディフェンダー)は、JackSparrowランサムウェアの悪性動作を検知し、暗号化が実行される前にファイルのリアルタイム自動復元をサポートします。
<遮断メッセージ>
本ランサムウェアの動作は以下の段階を経て進行します。
vssadmin
bcdedit
.encrypted.
本種の脅威に対する防御を強化するため、以下の対策を講じることを強く推奨いたします。