【Rdpランサムウェア】

Rdpランサムウェアと推定される侵害事案が発生したため、当該状況の確認と注意喚起を以下の通り実施いたします。

Rdpランサムウェアの概要

本ランサムウェアは「Rdp」と呼称されており、感染したファイルの拡張子を「.rdplocked」に変更する挙動が確認されています。

実行ファイル情報

動作の特徴

• 本ランサムウェアはC# .NETを基盤として開発されており、二重暗号化を防ぐため、実行前にレジストリ内の特定キー値をチェックし、過去の感染履歴の有無を判定します。暗号化処理を実行する前に、被害を最大化するためにセキュリティソリューションやデータ関連の主要プロセスを強制終了させた後、システム内のファイル暗号化を本格的に開始します。さらに、クリップボードハイジャック機能を内包しており、暗号資産の支払いアドレスを横取りする機能を有しています。被害者が暗号資産の支払いまたは送金のためにウォレットアドレスをコピーした瞬間に、クリップボードの内容が攻撃者のアドレスに自動的に置き換えられ、金銭的損失を誘発する可能性があります。

  

  <強制終了されるプロセス名（内部コード）>

  
  
  

  <スタートアップレジストリへのランサムウェア登録（永続化の試み）>

  
  

侵害結果

暗号化完了後、各フォルダ内に「unlockrdp.txt」という名称の身代金要求ファイルが生成されます。暗号化されたファイルはすべて「<元のファイル名.拡張子.rdplocked>」に変更されます。

<感染結果の例>

本件のようなランサムウェアの脅威に対し、以下の対策を推奨いたします。

1. プロセスの強制終了対策: 重要なセキュリティ製品やサービスが停止されないよう、エンドポイントセキュリティ製品によるプロセス監視と、不審なプロセス終了試行に対する即時アラートおよびブロック設定を強化してください。
2. クリップボード監視: クリップボードへの不審な書き込みや、特定のウォレットアドレスへの置換挙動を検知・ブロックする対策を導入してください。
3. バックアップと復旧: 3-2-1ルールに基づいたオフライン/イミュータブルなバックアップを維持し、ランサムウェア感染時にも迅速にシステムを復旧できる体制を構築してください。
4. RDPのセキュリティ強化: 外部からのRDP接続を許可している場合、多要素認証（MFA）の導入、強力なパスワードポリシーの適用、およびVPN経由でのアクセス制限を徹底してください。

（※本報告書作成時点での情報に基づき、ホワイトディフェンダー製品による検知・自動復元機能の紹介を付記します。）

<検知およびブロックメッセージの例>