「Seoul」ランサムウェアと推定される侵害事象が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。

本マルウェアは「Seoul」と称されており、Delphi言語を基盤として企業を標的とするために開発されたと見られます。近年も活発に活動が確認されています。特徴として、暗号化後のファイルは、元のファイル名.元の拡張子.[固有ID].zip の形式で圧縮ファイルに変更される傾向が見られます。

ファイル情報

実行と持続性の確立

• 実行位置の変更と再実行、およびスタートアップ登録

  初期実行位置から、ルートドライブ直下のProgramDataフォルダ内のごみ箱（Recycle Bin）ディレクトリへ自身をコピーし、ランダムなファイル名に変更した後、再実行を行います。

  

  <元の位置からごみ箱ディレクトリへコピーし再実行するコードの抜粋>

  
  
  

  <CMDで確認された内部に生成されたランサムウェア本体>

  
  

• ファイルの暗号化と最終的なZIP形式への格納

  暗号化対象の全ファイルはZIP形式で圧縮され、ファイル末尾に個別の識別IDが付与される挙動が確認されています。

  

  <ZIPファイル内部の身代金要求メモと暗号化されたファイル>

  
  
  

  <HxDで確認された内部の個別IDの痕跡>

  
  

感染結果

暗号化処理が完了すると、ファイルは <元のファイル名.元の拡張子.[固有ID].zip> という形式で圧縮され、元のファイルと身代金要求メモが格納された状態となります。

<感染結果の例>

本マルウェアの活動を検知し、暗号化処理が進行する前にファイルを自動復元する機能を持つ「WhiteDefender」のようなエンドポイントセキュリティソリューションによるリアルタイム保護が有効です。

<検出およびブロックメッセージの例>