調査日: 2023-07-24
KiRaランサムウェアと推定される侵害事案が確認されましたため、当該状況に関する確認と注意喚起を以下の通り報告いたします。
本ランサムウェアは「KiRa」と称されており、感染対象ファイルの拡張子を「.ファイル名.4桁の個別固有値」に変更する挙動が確認されています。
ファイル属性
動作の特徴
ランサムウェア実行ファイルの移動とスタートアップ登録
初回実行後、ランサムウェアは自己を%AppData%Roamingフォルダへコピーし、そこから再実行されます。さらに、スタートアップ(スタートアッププログラム)の場所にショートカットリンクを生成し、持続性(Persistence)を確保しようとします。
<Roamingフォルダにコピーされた実行ファイル>
<スタートアップへのランサムウェアリンク作成に関する静的コードの記述>
<スタートアップフォルダに生成された実在のリンクファイル>
バックアップおよびセキュリティ機能の無力化
ファイルの暗号化後に復旧を困難にするため、シャドウコピー(ボリュームシャドウコピーサービス)およびバックアップカタログを削除します。また、Windowsの復元機能やエラーメッセージ表示機能を無効化する処理も確認されています。
<シャドウコピー削除およびバックアップカタログ削除コマンドの静的コード>
上記動作の特徴に基づき、感染から暗号化完了までのプロセスは以下の通りと推定されます。
感染結果
身代金要求ファイル(ランサムノート)は、各感染ディレクトリに <read it!!.txt> として生成されます。暗号化が完了すると、ファイル名は <ファイル名.元の拡張子.4桁の個別固有値> へと変更されます。処理完了後、デスクトップの背景が変更されます。
<感染結果(ランサムノートとファイル変更の様子)>
本ランサムウェアの悪性動作や、暗号化が進行する前の段階において、対策製品(例:ホワイトディフェンダー)はリアルタイムでの自動復旧機能をサポートしています。
<検知・ブロックメッセージ>
KiRaランサムウェアの侵害を防ぐため、以下の対策を強く推奨いたします。