【Slimeランサムウェア】

Slimeランサムウェアと推定される侵害事案が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。

Slimeランサムウェアの概要

本ランサムウェアは「Slime」と称されており、感染したファイルの拡張子を「.slime」に変更する挙動が確認されています。

ファイル属性

ランサムウェアの動作特徴

• 本マルウェアはC#の.NETフレームワークを基盤として開発されており、Chaos（カオス）系統のランサムウェアと類似した特徴を持ちます。実行時、自身の実行ファイルをAppDataフォルダ内にコピーして再実行する挙動を示します。

  AppData内のスタートアップフォルダ（スタートアップ項目）にランサムウェアの実行リンクを作成した後、暗号化処理を開始します。Chaos系統の内部コードに見られる、シャドウコピー、Windows回復環境、バックアップカタログなどの復旧防止機能の無効化処理は、本検体では実行されていない状態が確認されました。暗号化対象はCドライブを除く全てのドライブおよびユーザーアカウントのライブラリフォルダの内容です。

  

  <スタートアップフォルダへのランサムウェア実行リンク生成を示す動的コード>

  
  
  

  <スタートアップフォルダに生成されたランサムウェアのリンクファイル>

  
  
  

  <スタートアップフォルダへのランサムウェア実行リンク生成を示す動的コード>

  
  
  

  <スタートアップフォルダへのランサムウェア実行リンク生成を示す動的コード>

  
  

と感染結果

身代金要求ファイルは、感染経路に応じて各ディレクトリに「read_it.txt」として生成されます。暗号化が完了したファイルは「ファイル名.拡張子.slime」へと拡張子が変更されます。

<感染結果の例>

対策製品による検知

本製品（ホワイトディフェンダー）は、ランサムウェアの悪性動作を検知し、暗号化処理が実行される前に、対象となるファイルに対してリアルタイム自動復元機能を提供します。

<検知およびブロックメッセージ>

本件を踏まえ、以下の対策を速やかに実施することを強く推奨いたします。

• バックアップの徹底: 3-2-1ルールに基づき、オフラインまたはイミュータブルな環境への重要データのバックアップを維持してください。
• エンドポイント保護の強化: 既知の脅威だけでなく、振る舞い検知が可能な次世代アンチウイルス（NGAV）ソリューションを導入し、C#/.NETベースの不審なプロセス実行を監視してください。
• アクセス制御: ネットワークセグメンテーションを実施し、万が一感染が発生した場合でも水平展開（ラテラルムーブメント）を困難にしてください。
• パッチ管理: 標的型攻撃の初期侵入経路となり得るOSおよびアプリケーションの脆弱性に対する迅速なパッチ適用を継続してください。