調査日: 2022-10-17

MyDoomランサムウェアに関する技術分析レポート

分析日: 2022年10月17日

本レポートは、MyDoomと呼称されるランサムウェアによる侵害事案の発生を受け、その技術的な動作および被害状況について分析し、注意喚起を行うものです。

MyDoomランサムウェアは、感染したシステム上のファイルを暗号化し、特定の形式の拡張子（例：.既存拡張子.id-生成された個人キー.[bitlocker@foxmail.com].wiki）に変更する挙動が確認されています。

当該ランサムウェアの実行ファイルに関する詳細な分析結果を以下に示します。

ファイルバージョン情報

実行ファイルのバージョン情報および属性は以下の通りです。

MyDoomランサムウェアがシステムに侵入した後、暗号化を実行し、持続性を確保するために実行する主要なプロセスは以下の通りです。

1. 復元防止のためのシャドウコピー削除

暗号化されたファイルの復元を困難にするため、Windowsのボリュームシャドウコピーサービス（VSS）によって作成された復元ポイントを削除します。

2. 持続性の確保（スタートアップ登録）

システムが再起動された後もランサムウェアが自動的に実行されるよう、レジストリまたはスタートアップフォルダに自身を登録し、持続性（Persistence）を確保します。

暗号化後のファイル拡張子

暗号化が完了すると、元のファイルは以下の形式で拡張子が変更されます。

• 形式: .既存拡張子.id-生成された個人キー.[bitlocker@foxmail.com].wiki

の生成と表示

身代金要求の案内ファイルは、システムフォルダ内にmshta.exeとして生成および実行されます。また、デスクトップ上には「FILES ENCRYPTED」という名前のファイルが追加されます。

MyDoomランサムウェアを含むマルウェアの脅威からシステムを保護するため、以下の対策を強く推奨いたします。

1. 予防的防御策の強化

• セキュリティパッチの適用: OSおよびアプリケーションのセキュリティパッチを常に最新の状態に保ってください。
• メールセキュリティの強化: 不審な送信元からのメール、特に添付ファイルやリンクを含むメールは開封しないよう、従業員への教育を徹底してください。
• 最小権限の原則: 業務に必要な最小限の権限のみをユーザーに付与し、管理者権限での日常的な操作を避けてください。

2. 検出と対応能力の向上

• EDR/アンチランサムウェア製品の導入: 悪意のある挙動（シャドウコピーの削除、大量のファイル暗号化など）をリアルタイムで検知し、実行を阻止できるエンドポイントセキュリティソリューションを導入してください。
• 自動復元機能の活用: 暗号化が進行する前に、ファイルを自動的に復元する機能を持つソリューションの導入を検討してください。

ランサムウェアの悪性な挙動を検知・遮断した際のメッセージ例を以下に示します。

MyDoom 遮断映像の確認はこちら