【Wannadieランサムウェア】

Wannadieランサムウェアと推定される侵害事案が発生したため、
当該状況の確認と注意喚起を以下の通り報告いたします。

Wannadieランサムウェアの概要

本ランサムウェアはWannadieと特定されており、感染したファイルの拡張子を「.WANNADIE」に変更する挙動が確認されています。

実行ファイル情報

ランサムウェアの動作特徴

• 本ランサムウェアはC#/.NETを基盤として開発されており、内部コードの実行分岐にスペイン語（si/no）が使用されている点が特徴的です。感染時、シャドウコピーおよびバックアップカタログを削除し、Windowsの復元機能やエラー通知機能を無効化することで、システム復旧を困難にします。主にWindowsのルートドライブを標的としますが、他のドライブに「ABREME.exe」（スペイン語で「開け」を意味する）というファイルを生成し、リムーバブルメディア経由での二次感染を誘発する可能性があります。さらに、%AppData%Localディレクトリ内に「discord.exe」という名称で実行ファイルを配置し、Windowsのスタートアップレジストリに登録することで、システム再起動後も持続的に実行されるよう永続性を確保します。

  

  <スペイン語（si/no）が使用されている静的コードの内容>

  
  
  

  <コマンドプロンプト関連の静的コード>

  
  
  

  <追加ドライブへのランサムウェア実行ファイル（バッチファイル）のコピー>

  
  
  

  <スタートアップレジストリへのランサムウェア登録>

  
  

と感染結果

暗号化完了後、身代金要求ファイルは「README.txt」という名称で、暗号化された各フォルダ内に生成されます。暗号化されたファイルは「<ファイル名.拡張子.WANNADIE>」へと変更されます。

<感染結果の例>

本ランサムウェアの挙動に基づき、以下の対策を強く推奨いたします。

防御・検知

• バックアップの徹底: 3-2-1ルールに基づき、オフラインまたはイミュータブルな環境への重要データの定期的なバックアップを実施してください。
• 永続性の監視: %AppData%Localやスタートアップレジストリ（Runキーなど）への不審な実行ファイルの登録を継続的に監視し、異常を検知した場合は即座に隔離・削除する対策を講じてください。
• エンドポイント保護: C#/.NETベースの不審なプロセス実行や、ボリュームシャドウコピーサービス（VSS）へのアクセス試行を検知・ブロックできるEDRソリューションの導入を推奨します。
• ユーザー教育: 不審なメール添付ファイルやリンクの開封に対する従業員教育を強化し、初期感染経路を遮断してください。

（参考：製品による防御実績）

（※注：元のレポートに含まれていた製品宣伝部分は、客観的な分析レポートの体裁を保つため、一般的な防御策の記述に置き換えました。ただし、元の画像は参考情報として保持します。）

<製品によるブロックメッセージの例>