調査日: 2025-11-16
Wallet ランサムウェアと推定される侵害インシデントが確認されました。これを受け、当該事象に関する確認結果と注意喚起を以下の通り報告いたします。
本ランサムウェアは「Wallet」と呼称されており、感染したファイルの拡張子を .[xmen_xmen@aol.com].wallet へ一括で変更する挙動が確認されています。
.[xmen_xmen@aol.com].wallet
ファイル情報
ランサムウェアの動作的特徴
Wallet マルウェアは C++ で開発されたランサムウェアであり、解析を困難にするために難読化(Obfuscation)処理が施されています。プログラムが最初に実行されると、自身の実行ファイルをシステムフォルダ内にコピーした後、コピーされたプロセスを再実行し、元のプロセスは終了します。全ての処理完了後、Windowsのスタートアップレジストリ(HKLMSoftwareMicrosoftWindowsCurrentVersionRun)に自身を登録し、システム再起動後も持続的にランサムノートを表示させるよう設定されます。
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
<コピーされた実行ファイルとスタートアップ登録レジストリ>
本分析では、感染から暗号化完了に至るまでの具体的な実行フローを特定しました。
感染結果
暗号化処理完了後、身代金要求ファイルは mshta.exe という名称で system32 フォルダ内に生成されます。暗号化された各ファイルは、<元のファイル名.拡張子.[xmen_xmen@aol.com].wallet> の形式に変更されます。
mshta.exe
system32
<元のファイル名.拡張子.[xmen_xmen@aol.com].wallet>
<感染結果の例>
本インシデントへの対応として、以下の対策を強く推奨いたします。
持続性の排除: レジストリキー HKLMSoftwareMicrosoftWindowsCurrentVersionRun 内の不審なエントリを特定し、削除してください。
バックアップの確認: 重要なデータについては、オフラインまたはセキュアな環境で保管されているバックアップからの復旧を最優先としてください。
エンドポイント保護: 既知の脅威だけでなく、難読化されたC++ベースの実行ファイルに対する振る舞い検知機能を持つセキュリティ製品(例:WhiteDefender)の導入・設定強化を推奨します。WhiteDefenderは、ランサムウェアの悪性動作を検知し、暗号化処理が開始される前のファイルに対してリアルタイム自動復元をサポートします。
<WhiteDefenderによる対応例>