調査日: 2025-10-01
SatanCDランサムウェアと推定される侵害事象が確認されました。これを受け、当該事象に関する確認事項および注意喚起を以下の通り報告いたします。
本件で観測されたランサムウェアは「SatanCD」と特定され、感染したファイルの拡張子を「<ファイル名.拡張子.encrypted>」に変更する挙動が確認されています。
ランサムウェアの動作特徴
SatanCDランサムウェアはC#/.NETフレームワークを基盤として開発されています。初回実行時、自身の実行ファイルを %APPDATA%Roaming フォルダ内にコピーし、そこから再実行する挙動を示します。
%APPDATA%Roaming
持続性(Persistence)の確保として、スタートアップフォルダ内にランサムウェア実行ファイルへのショートカットを作成・保存します。
重複実行を防ぐためのチェック機構を有しています。感染活動の一環として、シャドウコピー(Volume Shadow Copy)およびバックアップカタログを削除し、Windowsのシステム復元機能やエラー通知機能を無効化することで、被害からのシステム回復を意図的に妨害します。
主にWindowsのルートドライブを標的としますが、他のドライブ直下に surprise.exe というファイルを生成し、リムーバブルメディアが接続された際にさらなる拡散および感染を誘発する可能性があります。
surprise.exe
<攻撃に使用されたコマンドライン引数の静的解析情報>
<スタートアップフォルダ内に作成された実行ショートカット>
感染結果
暗号化処理完了後、身代金要求ファイルは Warning.txt という名称で、暗号化された各ファイルの存在するディレクトリ内に生成されます。暗号化されたファイルはすべて <ファイル名.拡張子.encrypted> へと拡張子が変更されます。
Warning.txt
<ファイル名.拡張子.encrypted>
<暗号化後の被害状況>
(本セクションは上記「感染結果」に統合済み。身代金要求ノートは Warning.txt として確認されています。)
(※外部製品に関する記述のため、一般的な対策に置き換えます。)
本種のランサムウェアの悪性動作を検知し、暗号化が進行する前に、対象ファイルに対するリアルタイム自動復元機能を持つセキュリティソリューションの導入を推奨します。