本稿で分析対象とするランサムウェアは「Ownerd」と呼称されており、感染環境下のファイルを特定の手法で暗号化し、身代金を要求します。暗号化されたファイルは、拡張子を .[ownerde@cyberfear.com].ownerd に変更する特徴が確認されています。

実行ファイル情報

本マルウェアの実行ファイルは、コンパイル情報およびファイルプロパティから、C++言語で開発されていることが示唆されます。

動作の特徴

• C++ベースで構築された本ランサムウェアは、実行後、自身の実行ファイルを Roaming フォルダ内のスタートアップディレクトリにコピーし、持続性（Persistence）を確保します。

  暗号化対象のドライブを走査する際、ネットワーク共有ドライブ（NFS/SMB等）は除外し、ローカルドライブのみを対象とする挙動が確認されています。

  暗号化完了後、ProgramData フォルダ内に、生成された秘密鍵を埋め込んだ画像ファイルを作成し、さらにその画像をデスクトップの背景画像として設定します。攻撃完了後、身代金要求メモ（ランサムノート）が実行されます。さらに、Windowsへの再ログインのたびに、このノートの内容がシステムメッセージボックスとして繰り返し表示されます。

  

  <スタートアップフォルダに配置されたランサムウェア実行ファイル>

  
  
  

  <ネットワーク（共有）パスを除外する内部コードと、それに関するMS公式の説明（参考情報）>

  
  
  

  <生成された秘密鍵を含む画像ファイルと、デスクトップ背景を変更する動的コード>

  
  
  

  <感染後にWindowsログオン時に表示されるメッセージボックス>

  
  

感染結果

暗号化処理が完了すると、各ディレクトリに #Read-for-recovery.txt という名称の身代金要求ファイルが生成されます。暗号化されたファイルは、元のファイル名に <파일명.확장자.[ownerde@cyberfear.com].ownerd> というサフィックスが付与された状態に変更されます。

<感染後のファイル状態>

本ランサムウェアの推定される動作フローは以下の通りです。

1. 実行ファイルの起動。
2. 持続性確保のため、自身のコピーをスタートアップフォルダに配置。
3. ローカルドライブを列挙し、ネットワークドライブを除外して暗号化対象を特定。
4. ファイル暗号化処理の実行。
5. 暗号化完了後、ProgramData内に秘密鍵を埋め込んだ画像ファイルを生成。
6. 生成した画像をデスクトップ背景として設定。
7. 各ディレクトリにランサムノート（#Read-for-recovery.txt）を配置。
8. システム再起動後、メッセージボックスによる身代金要求の表示を継続。

Ownerdランサムウェアの脅威に対処するため、以下の対策を強く推奨いたします。

1. バックアップの徹底と隔離: 重要なデータは定期的に取得し、ネットワークから物理的または論理的に隔離された場所に保管してください。
2. エンドポイントセキュリティの強化: 既知の脅威だけでなく、挙動ベースでの検知が可能なセキュリティソリューション（EDR等）を導入し、実行ファイルの不正な配置やシステム設定の変更を監視・阻止してください。
3. アクセス制御の最小化: ネットワーク共有リソースへのアクセス権限を見直し、業務上必要最小限の権限のみを付与してください。
4. パッチ管理: OSおよびアプリケーションの脆弱性を放置せず、速やかに最新のセキュリティパッチを適用してください。

（※本レポートは、既知のサンプルに基づいた分析結果であり、特定の製品による防御機能の紹介を含みます。）

<セキュリティ製品によるブロックメッセージ例>