【Lynxランサムウェア分析】

Lynxランサムウェアと推定される侵害事象が確認されたため、当該状況に関する調査結果と注意喚起を以下の通り報告いたします。

本レポートは、新たに観測された「Lynxランサムウェア」の挙動、技術的特徴、および影響範囲について分析したものです。本マルウェアは、C++で開発されており、システム内の広範なドライブを標的とし、ファイルを暗号化した後に身代金要求メモを残します。

Lynxランサムウェアの技術的特徴

本ランサムウェアは、ファイル名に「.LYNX」の拡張子を付与し、暗号化を実行します。実行ファイル自体のコンパイル情報やファイル属性から、特定の開発環境が使用されていることが示唆されます。

実行ファイル情報

• C++ベースで開発されており、重複実行を防ぐためのミューテックス（Mutex）を使用しています。また、GetLogicalDrives APIを呼び出し、ローカルドライブ、リムーバブルメディア、およびネットワークドライブを含む広範なドライブを列挙し、攻撃対象としています。

  特筆すべき点として、攻撃プロセス中に「Program Files」(x64/x86両方) フォルダ内で「microsoft sql server」に関連するディレクトリを探索する挙動が確認されています。これは、データベース関連資産の特定を試みている可能性を示唆します。

  攻撃完了後、OpenPrinter APIを利用し、システム上で利用可能な全てのプリンタに対して印刷コマンドを発行する挙動が見られます。これは、被害者に暗号化の事実を物理的に通知する、あるいはシステムリソースを消費させる目的が考えられます。

  

  <ドライブ列挙コードおよびGetDriveType関数の説明>

  
  
  

  <Tempフォルダへの画像生成に関する内部コードと生成された画像>

  
  
  

  <攻撃後のプリンタコマンド発行に関連するコード>

  
  

本ランサムウェアの実行フローは、ドライブ列挙から始まり、標的ファイルの特定、暗号化、そして痕跡の残置へと進みます。

暗号化が完了した後、身代金要求メモは各ディレクトリ内に「README.txt」という名称で生成されます。暗号化されたファイルは、元のファイル名に「.Lynx」という拡張子が追加されます（例：ファイル名.拡張子.Lynx）。

<暗号化後のファイルと身代金要求メモの例>

セキュリティ製品による検知・対応

（※注：以下のセクションは、特定のセキュリティ製品（ホワイトディフェンダー）による対応実績の記述を含みますが、分析対象の挙動として記載します。）

ホワイトディフェンダーは、ランサムウェアの悪性動作を検知し、暗号化が進行する前にファイルのリアルタイム自動復元機能を提供します。

<製品によるブロックおよび復元メッセージ>

本マルウェアの拡散経路や技術的特徴に基づき、以下の対策を強く推奨いたします。

1. 多層防御の徹底: 既知の脅威インテリジェンスに基づき、エンドポイントセキュリティ製品（EDR/EPP）を最新の状態に保ち、挙動検知機能を有効化してください。
2. アクセス制御の強化: ネットワーク共有フォルダやSQLサーバーへのアクセス権限を最小権限の原則に基づき厳格に管理し、不必要なネットワークドライブのマッピングを制限してください。
3. バックアップ戦略の検証: 重要なデータについては、オフラインまたはイミュータブル（変更不能）なバックアップを定期的に取得し、リストア手順を検証してください。
4. パッチ管理の徹底: 標的型攻撃の初期侵入経路となり得るOSおよびアプリケーションの脆弱性に対するパッチ適用を迅速に行ってください。