【Morgan ランサムウェア】

Morgan ランサムウェアと推定される侵害事象が確認されたため、当該状況に関する調査結果と注意喚起を以下の通り報告いたします。

Morgan ランサムウェアの概要

本ランサムウェアは「Morgan」と称されており、感染したファイルの拡張子を「.morgan」に変更する挙動が確認されています。

実行ファイル情報

ランサムウェアの動作特徴

• 本マルウェアは.NETベースで構築されており、重複実行防止や仮想環境（VM）のチェック機能が実装されています。現在、ログインユーザーの「ライブラリ」フォルダを標的とし、暗号化処理を実行した後、有名な画像共有サービスであるImgurから画像をダウンロードし、デスクトップの壁紙として設定する動作が確認されています。

  

  <現在ログインしているプロファイルのライブラリを攻撃中>

  
  
  

  <Imgurから画像をダウンロード中>

  
  
  

  <実際にアップロードされた画像>

  
  
  

  <攻撃対象となる拡張子一覧>

  
  

感染結果

暗号化が完了した後、各フォルダ内に「< README.txt >」という名称の身代金要求ファイルが生成されます。暗号化されたファイルは「<元のファイル名.元の拡張子.morgan>」へとリネームされます。

<感染結果>

ホワイトディフェンダーによる対応

ホワイトディフェンダーは、本ランサムウェアの悪性動作を検知し、暗号化が実行される前に、対象ファイルのリアルタイム自動復元機能をサポートします。

<遮断メッセージ>

本マルウェアの挙動に基づき、以下の対策を強く推奨いたします。

1. バックアップの徹底: 重要なデータはオフラインまたはセキュアな環境に定期的にバックアップを取得し、ランサムウェアによる暗号化の影響を受けないように隔離してください。
2. エンドポイント保護の強化: .NETベースの不審なプロセス実行や、ファイル操作の異常を検知・防御できるEDR/EPPソリューションを導入・維持してください。
3. アクセス制御: ネットワークセグメンテーションを徹底し、万が一侵害が発生した場合でもラテラルムーブメント（水平展開）を制限できるようにしてください。
4. ユーザー教育: 不審なメール添付ファイルやリンクのクリックに対する注意喚起を継続的に実施してください。