【NoCryランサムウェア】

NoCryランサムウェアと推定される侵害事象が確認されましたため、
当該状況に関する確認結果と注意喚起を以下の通り報告いたします。

NoCryランサムウェアの概要

本ランサムウェアは「NoCry」と呼称され、感染したファイルの拡張子を「.NoCry」に変更する挙動を示しています。

ファイル情報

ランサムウェアの動作特徴

• NoCryランサムウェアは、Chaos系列を基盤とする.NETベースの悪性コードです。初期実行ファイルは「svchost.exe」という名称でRoamingフォルダ内で再実行されます。システムのWindows基本言語が特定の言語（トルコ語）である場合、実行を停止するターゲティング機能を有しています。処理の開始前にプログラムの多重実行を防ぐチェックが導入されており、暗号化完了後の再暗号化を防ぐ技術も適用されています。暗号化による復旧を困難にするため、シャドウコピーやバックアップカタログの削除、Windowsの回復機能およびエラー通知機能を無効化します。さらに、データ復旧に関連するプロセス名を特定し、該当するサービスを停止させ、タスク管理を無効化します。本ランサムウェアは、単なる暗号化に留まらず、復旧阻止とユーザー対応の妨害に重点を置いた、典型的なChaos系列の特性を継承しています。

  

  <特定の国別言語（トルコ語）で非動作となる静的内部コード>

  
  
  

  <静的内部コードで使用されているコマンド文字列>

  
  
  

  <ランサムウェアが確認するデータ関連プログラム名の文字列>

  
  

感染結果

暗号化完了後、各ディレクトリ内に「read_it.txt」という名称の身代金要求ファイルが生成されます。暗号化された各ファイルは「<ファイル名.拡張子.NoCry>」に変更されます。

<感染結果>

本件に関連し、以下の対策を強く推奨いたします。

（※元のレポートには詳細なフロー図がないため、技術分析に基づき想定されるプロセスを記述します）

1. 初期実行（svchost.exeとしてRoamingフォルダに配置・実行）。
2. 言語チェック（トルコ語環境でないことを確認）。
3. 復旧機能の無効化（シャドウコピー削除、復元機能の無効化）。
4. 標的ファイルの特定と暗号化処理の実行。
5. 暗号化完了後、身代金要求ファイル（read_it.txt）の配置とファイル拡張子の変更（.NoCry）。

本ランサムウェアの挙動（.NETベース、Chaos系列の特性）を踏まえ、以下の対策を講じてください。

• 多層防御の徹底: EDR/EPPソリューションを導入し、不審なプロセス実行（特にsvchost.exeによる不審な振る舞い）を監視・ブロックしてください。
• バックアップ戦略の見直し: ネットワークから隔離されたオフラインバックアップ（イミュータブルストレージ等）を確保し、シャドウコピーへの依存を避けてください。
• OSおよびソフトウェアの最新化: 既知の脆弱性を悪用されるリスクを低減するため、速やかにパッチを適用してください。
• ユーザー教育: 不審なメールや添付ファイル、リンクに対する警戒を強化してください。

（※元のレポートにあった特定のセキュリティ製品に関する記述は、中立的な分析レポートの性質上、一般的な推奨事項に置き換えました。）