調査日: 2022-11-21

本レポートは、新たに確認されたランサムウェア「T800」に関する技術分析結果をまとめたものです。T800は、侵入したシステム上のファイルを暗号化し、元のファイル名に「.t800」という拡張子を追加します。このマルウェアは、システムの復元機能を無効化し、シャドウコピーを削除するなど、復旧を困難にするための高度な対策を講じていることが確認されました。

T800ランサムウェアの検体について、ファイルバージョンおよび属性の分析を実施しました。

ファイル属性

検体のファイルバージョン情報は以下の通りです。実行ファイルは、システムへの持続的な侵害を目的とした機能を内包しています。

[図1 ファイルバージョン]

ファイル属性の詳細も確認されました。

[図2 ファイル属性]

T800ランサムウェアがシステムに侵入した後、暗号化を実行するまでの主要な動作プロセスは以下の通りです。

• シャドウコピーの削除

  感染後、復旧を困難にするため、ボリュームシャドウコピー（VSS）を削除します。

  
  
  [図3 シャドウコピーの削除コマンド実行痕跡]

• Windows標準復元機能の無効化

  Windowsに組み込まれているシステムの復元機能を無効化する設定変更を行います。

  
  
  [図4 Windows標準復元機能の無効化]

• 持続性の確保（スタートアップ登録）

  システム再起動後も動作を継続できるように、元の実行ファイルをスタートアッププログラムに登録し、持続性（Persistence）を確保します。

  
  
  [図5 スタートアッププログラムへの登録]

ファイル暗号化の結果

暗号化が完了すると、ファイルは以下の形式で変更されます。

• ファイル名の変更形式: <元のファイル名>.<元の拡張子>.t800

暗号化されたファイルが確認されたディレクトリの例を以下に示します。

[図6 暗号化後のファイル一覧（被害状況1）]

[図7 暗号化後のファイル一覧（被害状況2）]

の生成

身代金要求の案内ファイルは、暗号化が行われた各フォルダ内に、!!!HOW_TO_DECRYPT!!!.txtというファイル名で生成されます。

T800ランサムウェアによる被害を最小限に抑えるため、以下の対策を速やかに実施することを推奨します。

• バックアップの徹底: 重要なデータはオフラインまたは隔離された環境に定期的にバックアップし、復旧手段を確保してください。
• システム復元機能の監視: VSS削除やシステム復元機能の無効化といった不審なコマンド実行を監視し、異常を検知した場合は即座にプロセスを停止してください。
• エンドポイントセキュリティの強化: 振る舞い検知機能を持つEDR/EPPソリューションを導入し、暗号化プロセス開始前の悪性活動をリアルタイムで阻止できるように設定してください。
• パッチ管理の徹底: OSおよびアプリケーションのセキュリティパッチを最新の状態に保ち、初期侵入経路となる脆弱性を排除してください。

（参考情報：検知・防御の痕跡）

分析環境において、本ランサムウェアの悪性挙動が検知・ブロックされた際のメッセージ例を以下に示します。

[図8 ブロックメッセージ例1]

[図9 ブロックメッセージ例2]
[図10 ブロックメッセージ例3]