調査日: 2024-09-30
Rizzlerランサムウェアと推定される侵害事象が確認されたため、当該状況に関する調査結果と注意喚起を以下の通り報告いたします。
本ランサムウェアは「Rizzler」と呼称されており、感染したファイルの拡張子を「.rizz」に変更する挙動が確認されています。
ファイル属性
ランサムウェアの動作特徴
本マルウェアはC#/.NETベースのランサムウェアであり、Chaosランサムウェアの亜種の一つと見られます。実行時、`AddDataRoaming`フォルダ内に`rizz.exe`という名前で再実行され、重複実行防止機構が適用されています。Windows Server環境においては、シャドウコピーおよびバックアップカタログの削除を実行し、Windowsの回復機能やエラー通知機能を無効化します。さらに、レジストリを改変してタスクマネージャーの起動を阻止し、スタートアップフォルダ内にランサムウェア実行ファイルのショートカットを作成するとともに、デスクトップの背景画像を強制的に変更します。
<PC回復に寄与する機能を無効化する内部コード>
<スタートアップフォルダ内に作成されたランサムウェアのショートカットファイル>
<ランサムウェア情報 3 – 一時ファイルに作成されたデスクトップ画像>
<ランサムウェア情報 3-1 デスクトップ画像>
感染後のプロセスとして、まずシステム上の回復機能や永続化機構を無効化し、その後、ファイル暗号化処理を実行します。
暗号化が完了した後、各ディレクトリ内に身代金要求ファイルとして`< README.txt >`という名称のファイルが生成されます。暗号化されたファイルはすべて`< 元ファイル名.拡張子.rizz >`へと拡張子が変更されます。
<感染結果>
本件に関連し、セキュリティ製品「WhiteDefender」は、ランサムウェアの悪性動作を検知・遮断する以前に、暗号化対象となるファイルに対してリアルタイムでの自動復元機能をサポートしています。
<遮断メッセージ>