本件で観測されたランサムウェアは「Project」と特定され、感染システム内のファイルを「.projectgd」拡張子に変更し、身代金要求を行っています。本稿では、その技術的特徴、動作プロセス、および推奨される対策について詳述します。

ファイルバージョン情報

本マルウェアはC#/.NETフレームワークを基盤として開発されており、Chaos系統のランサムウェアファミリーに属するものと推測されます。

動作の特徴

• 実行ファイルはシステム領域（Roamingフォルダ）へ自己複製された後、正規プロセスであるsvchost.exeを装って再実行されます。重複実行の防止策を確認した後、スタートアップフォルダにリンクファイルを作成し、持続性（Persistence）を確立します。

  暗号化処理の実行に先立ち、システム防御機構を無効化する動作が確認されています。具体的には、ボリュームシャドウコピー（VSS）およびバックアップカタログの削除（特にサーバー環境において顕著）を実行し、さらにWindowsの回復機能やエラー通知機能を無効化します。

  

  <動的解析中におけるシャドウコピーの確認>

  
  
  

  <動的実行中に生成されたGUIウィンドウ>

  
  

本ランサムウェアは、上記の前処理（防御機構の無効化と持続性の確立）が完了した後、対象ファイルに対する暗号化処理を実行します。

暗号化が完了すると、身代金要求ファイルが各ディレクトリに< README.txt >という名称で生成されます。暗号化されたファイルは、元のファイル名に.projectgdという拡張子が追記されます。

<感染結果（ファイル拡張子の変更とランサムノートの生成）>

本マルウェアの活動を阻止し、被害を最小限に抑えるため、以下の対策を強く推奨いたします。

（※本レポート作成時点での防御ソリューションによる検知・対応例）

特定のセキュリティ製品（例：ホワイトディフェンダー）は、ランサムウェアの悪性動作を検知し、暗号化が進行するファイルに対してもリアルタイムでの自動復元機能をサポートします。

<検知およびブロックメッセージ>

恒久的な対策

• バックアップ戦略の強化: 3-2-1ルールに基づき、オフラインまたはイミュータブルなバックアップを維持し、VSSへの依存度を低減してください。
• エンドポイントセキュリティの導入: 行動検知ベースのEDR/EPPソリューションを導入し、不審なプロセス実行やシステムAPIの不正利用を早期に検知・遮断してください。
• アクセス制御の徹底: 最小権限の原則を適用し、不必要な管理者権限の付与を避けてください。
• パッチ管理: OSおよびアプリケーションの脆弱性に対する迅速なパッチ適用を徹底してください。