Pandoraランサムウェア分析レポート

【概要】

Pandora(パンドラ)ランサムウェアは、Windowsシステムを標的として動作する暗号化型マルウェアです。システム内のローカルファイルを暗号化した後、拡張子を.pandoraに変更します。 感染プロセスが進行すると、影響を受けたユーザーデータ領域の各フォルダ内にRestore_My_Files.txtという名称のランサムノート(身代金要求書)を生成し、すべてのファイルを暗号化することで、被害者に感染の事実を即座に認知させ、金銭の支払いを要求します。

ランサムウェア情報要約

項目 内容
ランサムウェア名称 Pandora (パンドラ)
変更される拡張子 .pandora
ランサムノート Restore_My_Files.txt
攻撃者連絡先 (連絡用メール) contact@pandoraxyz.xyz

検体情報(ハッシュ値および識別子)

項目 内容
ファイルサイズ 220.50 KiB
ファイルタイプ PE32+ executable (console) x86-64, for MS Windows
MD5 f25e25832dad770c5f989c986770f9e6
SHA1 2565983f765b76a183de4b6ee793b4903e40c505
SHA256 1f172321dfc7445019313cbed4d5f3718a6c0638f2f310918665754a9e117733
SHA512 ceb56a676e28ca413b1bbebb4039a9d4330a4eaf1a6985e5e61fc8cb3052823bedbd6cfbb24dce8f07cb1dafdc94a968847e43c74582dd3b3d26e7c8f8f7eab2
CRC32 30cd2778
Pandoraランサムウェア感染によってデスクトップ壁紙が変更され、赤い背景に身代金要求のメッセージが表示された画面

[図1] Pandoraランサムウェア感染後のデスクトップ壁紙変更画面

【技術分析】

Pandoraランサムウェアは、起動されると即座にローカルのファイルシステムを巡回・スキャンし、ユーザーデータが存在するディレクトリを集中的に探索します。オペレーティングシステム自体の正常な動作を維持することで、ユーザーに身代金支払い手続きを円滑に行わせる意図があるため、システムに致命的なエラーを引き起こすようなシステム領域は意図的に避けて暗号化を行います。

暗号化プロセスにおいては、短時間のうちに多数のファイルに対して繰り返しファイルオープン(Open)、読み込み(Read)、書き込み(Write)、および名称変更(Rename)のAPIコールが連続して実行されます。このように大量のファイルを短時間で書き換えるパターン(Mass File Modification)は、振る舞い検知において代表的な「ランサムウェアの不正な挙動」の指標(IoC)として分類されます。

検体は64ビットのコンソールアプリケーション(PE32+ x64)としてビルドされており、ユーザーインターフェースを持たないため、初期侵害フェーズの後にスクリプトや展開用ハッキングツールなどを介してバックグラウンドで自動実行させる設計になっていることが窺えます。

挙動ベース分析による主な検知指標
  • 短時間における大量のファイルI/Oのバースト発生(File Write Burst)
  • ファイル拡張子の書き換えを伴うリネーム(Rename)イベントの急増
  • 暗号化処理と並行したランサムノート(Restore_My_Files.txt)の自動生成
  • OSの動作に影響を与えないユーザーデータ領域を狙った選択的暗号化
テキストエディタで開かれたRestore_My_Files.txtランサムノートに記載された警告内容と、連絡先のメールアドレスが書かれたテキスト画面

[図2] Pandoraランサムノート(Restore_My_Files.txt)の内容画面

【動作プロセス】

Pandoraランサムウェアが実行されてから防御製品にブロックされるまでのプロセスは以下の通りです。

  1. プロセスの生成および特権昇格の試行: 侵入に成功した攻撃者のスクリプトまたはツールを介してコンソールプロセスが起動されます。
  2. システム探索と暗号化対象の識別: ドライブおよびネットワークフォルダをスキャンし、ユーザーデータ(ドキュメント、画像、データベースなど)の位置を特定します。
  3. 高速な暗号化およびリネーム: スレッドを用いて並行処理を行い、ファイルを読み込んで暗号化したデータを上書きした後、拡張子に「.pandora」を付与します。同時にランサムノートを書き出します。
  4. セキュリティ製品による自動検知およびブロック: この一連の高速書き換え動作は「Ransomware Behavior-Detect(ランサムウェア挙動検知)」として検知され、プロセスは即座に強制終了(Execution Block)されます。また、破損されたファイルは自動で隔離(Quarantine)および正常な状態へ復元(Restore)されます。
WhiteDefender管理画面におけるRansomware Behavior-Detectの検知履歴、隔離、および自動復元完了のログ表示

[図3] WhiteDefender管理画面における検知ログ(プロセスの実行ブロック・隔離・自動復元の記録)

悪意あるアクティビティを検出してプロセスをブロックしたことを通知するWhiteDefenderのセキュリティ警告ポップアップ通知画面

[図4] WhiteDefenderによる遮断通知ポップアップ画面

【被害状況とランサムノート】

攻撃が成功した場合の被害状況は極めて深刻であり、暗号化されたデータへのアクセスは完全に遮断されます。

  • 主要なドキュメント、画像、ソースコード、データベースなどの重要ファイルがすべて暗号化され、拡張子が .pandora に変更されます。
  • 各フォルダー内に Restore_My_Files.txt という名称のランサムノートが配置され、攻撃者のメールアドレス(contact@pandoraxyz.xyz)へ連絡するように強要されます。
  • デスクトップ背景が脅迫文を伴う赤黒い警告画面へと強制変更されます。
ドキュメントファイルや画像ファイルのアイコンが白無地になり拡張子が.pandoraに変更されたフォルダ内の被害状況

[図5] 暗号化され拡張子が「.pandora」に変化したファイル一覧

【推奨される対策】

Pandoraのような高度に自動化されたランサムウェア攻撃から組織を守るためには、境界防御の強化と、エンドポイントにおける動的防御を組み合わせた多層防御アプローチが不可欠です。具体的には以下の対策を強く推奨します。

1. VPNおよびネットワーク境界機器の脆弱性管理

攻撃者の初期進入路として最も悪用されやすいのが、VPNルーターやファイアウォールといった境界ネットワーク機器の脆弱性です。以下の対策を徹底してください。

  • 使用しているVPN機器、ルーターのファームウェアを常に最新の状態にアップデートし、既知の脆弱性(CVE)を排除する。
  • VPNアクセス時における、認証情報の保護(多要素認証:MFAの必須化)。
  • 不要な外部公開ポートを閉鎖し、アクセス可能なIPアドレス範囲を制限する。

2. ランサムウェア対策特化型セキュリティツールの導入

従来のシグネチャベース(パターンマッチング)のアンチウイルスだけでは、日々亜種が作成されるランサムウェアを防ぐことは困難です。

  • ファイル書き換えの「挙動(動的振る舞い)」を検知して防御できる、特化型ランサムウェア対策ソリューション(WhiteDefender等)の導入。
  • 不正なプロセスを自動的に遮断(Execution Block)し、暗号化の初期段階で被害を食い止める仕組みの構築。
  • 改ざんされたファイルを自動的にバックアップ領域から復元(Restore)する機能の有効化。

3. 定期的なデータバックアップと独立した保管

万が一の感染に備え、被害を最小限に抑えるためのデータ保護戦略を策定します。

  • 重要なデータは定期的に自動バックアップを取得する。
  • バックアップデータ自体がランサムウェアに暗号化されないよう、ネットワークから論理的・物理的に隔離されたオフラインバックアップ(または書き換え不可の不変ストレージ:Immutable Storage)を維持する。