調査日: 2024-01-08
「Rapid」と称されるランサムウェアによる侵害事案が確認されました。本レポートは、当該事象に関する確認結果と、組織が取るべき注意喚起事項を以下の通り報告いたします。
本マルウェアは「Rapid」として識別され、感染したファイルの拡張子を「.rapid」に変更する挙動を示しています。
実行ファイル情報
動作の特徴
本ランサムウェアはC++で記述されており、被害者のデータ復旧を困難にするため、ボリュームシャドウコピー(VSS)の削除、Windowsの回復機能およびエラー通知機能の無効化を実行します。
初期実行時、マルウェア本体はユーザープロファイル内のRoamingフォルダに「info.exe」としてコピーされ、スタートアップレジストリに登録されます。さらに、タスクスケジューラに登録され、Windowsログオン時および1分間隔での繰り返し実行が設定されます。難読化に使用された鍵情報は、レジストリの特定箇所に追記保存されます。
<シャドウコピー削除コマンドおよびWindows回復・エラー通知無効化コマンドを実行する動的解析結果>
<実行ファイルのコピー、スタートアップ登録の動的解析結果と、実際に生成されたファイルおよびレジストリ>
<Windowsタスクスケジューラへのタスク登録の動的解析結果と、実際に生成されたスケジュールおよび動作内容>
<難読化に使用された鍵をレジストリに保存する動的解析結果と、実際に生成されたレジストリ>
感染結果
暗号化処理が完了すると、各ディレクトリ内に身代金要求ファイルとして「How Recovery Files.txt」が生成されます。また、暗号化されたファイルは「元のファイル名.元の拡張子.rapid」の形式に変更されます。
<感染結果(ファイル名変更と身代金要求ファイルの生成)>
本マルウェアの活動に対し、弊社製品「WhiteDefender」は、ランサムウェアの悪性動作を検知・遮断するだけでなく、暗号化処理が進行する前のファイルに対してもリアルタイムでの自動復元機能をサポートしております。
<遮断メッセージ>