【RCRU64ランサムウェア】

RCRU64ランサムウェアによるものと推定される侵害事例が確認されたため、
当該事象に関する確認結果と注意喚起を以下の通り報告いたします。

 

本報告書は、2022年8月4日付けで確認されたRCRU64ランサムウェアによるインシデントの技術的分析結果をまとめたものです。本マルウェアは、システムの永続化メカニズムとしてタスクスケジューラを利用し、ネットワーク共有の有効化、ファイアウォール無効化、およびボリュームシャドウコピーの削除を通じて、暗号化および被害の拡大を試みる特徴を有しています。

 

ファイル特性とビルド情報

当該サンプルは、VirusTotalには2022年5月18日 15:13:30 UTCに初登録されており、ファイルヘッダのタイムスタンプは2022年5月5日 03:42:23となっています。これは比較的新しいビルド（v14.20）であり、Windows XP以降のOSを標的としていると推測されます。

 

実行ファイルの配置

ランサムウェアの実行後、永続化を目的としたスクリプトファイルが以下のパスに生成されます。

• %SystemDrive%Users%username%AppData

 

永続化メカニズム（Persistence）

本マルウェアは、タスクスケジューラへの登録を通じて、高い持続性を確保しようとします。

登録されたタスク（例: t2_svc.bat）は6分間隔で実行が試行され、その後の処理フローは以下の通りです。

t2_svc.bat $rightarrow$ v9_svc.vbs $rightarrow$ h4_svc.bat

さらに、スタートアップディレクトリにオリジナルファイルを配置することで、システムの再起動後も継続的に実行されるよう設定されます。

被害拡大および防御機構の無効化

ネットワーク内での感染拡大を容易にし、防御策を回避するために、以下の設定変更が行われます。

• ネットワーク共有の有効化
• Windowsファイアウォールの無効化

データ復旧対策の阻害

攻撃者は、被害者によるデータ復旧を困難にする目的で、以下の操作を実行します。

• ボリュームシャドウコピー（VSS）の削除： システムに保存されている復元ポイントを消去します。

• UAC（ユーザーアカウント制御）の無効化： レジストリを改変し、繰り返し実行される操作においてUACプロンプトが表示されないように設定します。これにより、標準ユーザー権限であっても持続的な権限昇格状態を維持しようとします。

 

暗号化とファイル命名規則

暗号化処理が完了すると、被害ファイルは以下の命名規則に従い拡張子が変更されます。

<元のファイル名.拡張子>[ID=ランダム値-Mail=FreedomTeam@mail.ee].ランダム値

また、各ディレクトリにはRead_Me!_.txtという名前の身代金要求ファイルが生成されます。

 

防御製品による対応（例：WhiteDefender）

本件で利用された手法に対し、当社のセキュリティ製品（WhiteDefenderを例とする）は、ボリュームシャドウコピーに対する不正なアクセスを防御し、暗号化が開始される前にファイルのリアルタイム自動復元機能を提供することで、実質的な被害を軽減することが可能です。

全般的なインシデント対応推奨事項

• バックアップの確保： 3-2-1ルールに基づき、オフライン/イミュータブルなバックアップを維持し、シャドウコピーへの依存を避けること。
• アクセス制御の強化： ネットワーク共有やファイアウォールの設定変更を監視し、不審な管理者権限操作を制限すること。特にタスクスケジューラやレジストリの異常な変更を継続的に監視すること。
• UACの維持： ユーザーアカウント制御（UAC）を無効化しないこと。標準ユーザー権限での業務を徹底し、権限昇格の機会を最小化すること。