調査日: 2023-05-09
WINランサムウェアと推定される侵害事象が発生したため、当該状況の確認と注意喚起を以下の通り実施いたします。
本マルウェアは「WIN」と呼称され、既存のファイル名に「.元の拡張子.id[固有ID].[technobit@keemail.me].WIN」という形式で拡張子を変更し、ファイルを暗号化していることが確認されています。
ファイル属性
ネットワークファイアウォールの無効化
外部からの攻撃に対して脆弱な状態にするため、ファイアウォールの設定を解除します。
<ネットワークファイアウォールの無効化>
スタートアップ登録
ランサムウェアの実行ファイルをスタートアップレジストリおよびフォルダに登録し、Windows起動時に自動的に動作するよう設定します。
<スタートアップ登録>
シャドウコピーの確認と削除
暗号化後、被害者が容易にファイルを復元できないように、CMDコマンドを用いてボリュームシャドウコピーを削除します。
<シャドウコピーの確認と削除>
侵害結果
暗号化処理が完了すると、各ディレクトリ内に身代金要求ファイルとして「info.txt」および「info.hta」が生成されます。暗号化されたファイルは、<元のファイル名.元の拡張子id[固有ID].[technobit@keemail.me].WIN>という形式に変更されます。
<侵害結果1>
<侵害結果2>
本ランサムウェアの活動や暗号化の試みに対して、リアルタイムでの自動復元機能を持つセキュリティソリューションの導入を推奨いたします。これにより、悪意のある動作や暗号化の試行前にファイルを保護することが可能です。
<遮断メッセージ>