【SNetランサムウェア】

SNetランサムウェアと推定される侵害事案が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。

本レポートは、新たに観測されたSNetランサムウェアの挙動、技術的特徴、および推奨される対策について詳述するものです。本マルウェアは、感染対象ファイルの拡張子を「.SNet」に変更し、身代金要求を行います。

本ランサムウェアはC++言語を基盤として開発されていることが確認されています。特に、自己防御機構として、システム復旧機能を無効化する動作が特徴的です。

ファイルバージョン情報

ランサムウェアの動作特徴

• ボリュームシャドウコピー（VSS）の削除、およびWindows Server環境においてはバックアップカタログの削除を実行します。これにより、標準的なOS機能を用いたデータ復旧を困難にします。

• 実行ファイルはタスクスケジューラにスタートアップ項目として登録されるため、初期実行が失敗した場合でも、システム再起動後に再実行される持続性（Persistence）を確保しようとします。

• セキュリティ関連プロセス、具体的にはスマートスクリーンフィルターやその他のWindows関連プロセスを強制終了させる挙動が確認されています。

  

  <影付きコピー削除およびバックアップカタログ削除の動的コード>

  
  
  

  <スタートアップ項目へのランサムウェア実行ファイルの登録>

  
  
  

  <スマートスクリーンフィルター等、Windows関連プログラムの強制終了を示す動的コード>

  
  

本ランサムウェアの実行から暗号化完了までのプロセスは以下の通りです。

1. 実行ファイルの起動。
2. 自己防御機構の起動（セキュリティプロセスの強制終了）。
3. 復旧手段の無効化（VSSおよびバックアップカタログの削除）。
4. ファイルシステムを走査し、対象ファイルの暗号化処理を実行。
5. 暗号化完了後、身代金要求メモ（Ransom Note）を生成。
6. 持続性の確保のため、タスクスケジューラへの登録を実施。

暗号化が完了したファイルは、元のファイル名に「.SNet」という拡張子が追記されます（例：ファイル名.拡張子.SNet）。

身代金要求の通知ファイルとして、感染経路上の各ディレクトリに< DecryptNote.txt >が生成されます。

<感染結果（ファイル拡張子の変更と身代金メモの生成）>

セキュリティ製品による検知・防御

本製品（ホワイトディフェンダー）は、SNetランサムウェアの悪性動作を検知し、暗号化が進行するファイルに対してもリアルタイムでの自動復元機能をサポートします。

<検知・ブロックメッセージ>

本ランサムウェアの脅威に対処するため、以下の対策を強く推奨いたします。

1. バックアップの徹底: 3-2-1ルールに基づき、オフラインまたはイミュータブルな環境に重要なデータを定期的にバックアップしてください。
2. エンドポイント保護の強化: 振る舞い検知やヒューリスティック分析が可能な次世代アンチウイルス（NGAV）ソリューションを導入し、既知のシグネチャに依存しない防御を確立してください。
3. 特権管理の厳格化: 最小権限の原則を徹底し、不必要な管理者権限の付与を避けてください。
4. パッチ管理: OSおよびアプリケーションの脆弱性を速やかに修正し、既知の侵入経路を塞いでください。