調査日: 2023-07-17
Vyptランサムウェアと推定される侵害事象が確認されたため、当該状況に関する確認と注意喚起を以下の通り報告いたします。
本ランサムウェアは「Vypt」と称されており、感染したファイルの拡張子を _[ID-9BCBR_Mail-Ross.dec1966@gmail.com].Vypt に変更する挙動が確認されています。
_[ID-9BCBR_Mail-Ross.dec1966@gmail.com].Vypt
ファイルバージョン情報
ランサムウェアの動作特徴
スタートアップ登録およびサービス作成
初期実行されたランサムウェアは自己をコピーし、スタートアップフォルダに配置します。さらに、当該ファイルをシステムサービスとして登録(自動実行オプション付き)することで、Windows起動時に複数回にわたり再実行されるよう永続性を確保しようとします。
<スタートアップフォルダに生成されたランサムウェア>
<cmdのscコマンドを用いたサービス登録の痕跡>
ランサムウェアの動作を補完するスクリプトの設置と実行
AppDataフォルダ内に S-6748.bat、S-8459.vbs、S-2153.bat を順次生成し、シャドウコピーの削除、ランサムウェアが正常に動作しているかの監視(動作がない場合にスタートアップに登録されたランサムウェアを再実行させるなど)、および初期実行プロセスが停止した場合の動作継続を保証するための多層的な補完措置を講じています。
S-6748.bat
S-8459.vbs
S-2153.bat
<生成されたスクリプトおよびドライバファイル>
<重複実行防止やシャドウコピー削除に関する一部の内容>
感染結果
身代金要求ファイルとして、各ディレクトリに <readme.hta> および <restore_your_files.txt> が生成されます。暗号化処理完了後、ファイル名は <元のファイル名.拡張子_[ID-9BCBR_Mail-Ross.dec1966@gmail.com].Vypt> に変更され、最終的にデスクトップ背景が変更されます。
<readme.hta>
<restore_your_files.txt>
<元のファイル名.拡張子_[ID-9BCBR_Mail-Ross.dec1966@gmail.com].Vypt>
<感染結果のスクリーンショット>
本ランサムウェアの悪性動作および、暗号化実行前の挙動に対し、当社のソリューション(例:ホワイトディフェンダー)はリアルタイムでの自動復元機能をサポートしています。
<遮断メッセージの例>