調査日: 2024-08-19
Lockbit 2.0 ランサムウェアと推定される侵害事案が確認されました。当該状況に関する確認結果と注意喚起を以下の通り報告いたします。
本ランサムウェアは「Project」として識別されており、感染したファイルの拡張子を「.lockbit」に変更する挙動が確認されています。
ファイルメタデータ
本ランサムウェアはC++で記述されており、主にフィッシングメールを介して拡散されます。Lockbit 2.0はFNAハッシュアルゴリズムを使用し、ライブラリ自体を難読化した上でAPIを動的に解決するため、静的解析による情報抽出が困難です。暗号化完了後、スタートアップレジストリにmshta.exeを登録する持続性確立の痕跡が確認されています。
mshta.exe
<動的解析中のシャドウコピー確認>
侵害結果
身代金要求ファイルは、各フォルダ内に「Restore-My-Files.txt」という名称で生成されます。暗号化されたファイルは「ファイル名.元の拡張子.lockbit」へと名称変更されます。
Restore-My-Files.txt
ファイル名.元の拡張子.lockbit
<感染結果>
本ソリューション(ホワイトディフェンダー)は、ランサムウェアの悪性動作を検知し、暗号化が実行される前に影響を受けるファイルに対してリアルタイム自動復元機能を提供します。
<ブロックメッセージ>