調査日: 2024-04-03
Proton ランサムウェアと推定される侵害事象が確認されましたため、当該状況に関する確認結果と注意喚起を以下の通り報告いたします。
本マルウェアは「Proton」と称されており、感染環境下のファイル名拡張子を . [Hackjoker2002@gmail.com].Proton へ変更する挙動が確認されています。
. [Hackjoker2002@gmail.com].Proton
ランサムウェアの動作的特徴
実行ファイルはC++で記述されており、UPXによる圧縮が施されています。動作開始時、ランサムウェアの実行ファイルをスタートアップフォルダ(開始プログラム)へコピーし、持続性を確保します。さらに、ProgramDataディレクトリ内にデスクトップ用の画像ファイルおよびランサムウェアのアイコンを生成・適用します。その後、システム内の全ドライブに対して暗号化処理を実行します。暗号化の実施状況はレジストリに記録され、Windows起動時にランサムウェアに関連するメッセージボックスが追加で表示されるよう設定されます。
<スタートアップフォルダにコピーされた実行ファイルと動的コード>
<ProgramDataに生成されたデスクトップノート画像およびランサムウェアアイコン>
<Windows起動時に表示されるランサムウェア関連のメッセージウィンドウ>
(※本分析では、実行ファイルの配置、持続性確立、暗号化実行の順序を技術分析セクションに統合し、詳細なフローとして記述しました。)
感染結果
身代金要求ファイルは、各ディレクトリ内に <#16桁のキー.txt> の形式で生成されます。暗号化が完了したファイルは、<元のファイル名.拡張子. [Hackjoker2002@gmail.com].Proton> へと拡張子が変更されます。
<#16桁のキー.txt>
<元のファイル名.拡張子. [Hackjoker2002@gmail.com].Proton>
<感染結果の例>
WhiteDefender製品は、ランサムウェアの悪性動作を検知・ブロックするだけでなく、暗号化処理が開始される前のファイルに対してリアルタイムでの自動復元機能をサポートしています。
<ブロックメッセージの例>