【XData ランサムウェア】

XData ランサムウェアと推定される侵害事象が確認されましたため、
当該状況に関する確認と注意喚起を以下の通り報告いたします。

XData ランサムウェアの概要

本ランサムウェアは「XData」と呼称されており、感染対象ファイルの拡張子を「.확장자.~xdata~」に変更する挙動が確認されています。

実行ファイル情報

動作の特徴

• 本マルウェアはDelphi言語を基盤として開発されており、イベントメカニズムを利用して重複実行を防止する機能を有しています。また、ユーザーが暗号化処理を即座に認識しにくいよう、デスクトップフォルダを除外して暗号化を実行する特徴が見られます。

  

  <重複実行防止のためのイベント生成に関する動的コード>

  
  
  

  <暗号化対象外のデスクトップと、暗号化が進行した追加ドライブ>

  
  
  

  <暗号化対象からの除外を確認する動的コード>

  
  

感染が完了すると、デスクトップの壁紙が変更され、各フォルダ内に身代金要求ファイル「HOW_TO_RECOVER_FILES.txt」が生成されます。暗号化処理の過程で、ファイル名は「<元のファイル名.拡張子.~xdata~>」へと変更されます。

<感染結果>

対策推奨事項

本件のようなランサムウェアの脅威に対し、以下の対策を強く推奨いたします。

1. バックアップの徹底: 重要なデータはオフラインまたはセキュアな環境に定期的にバックアップを取得し、ランサムウェアの影響を受けないように隔離してください。
2. エンドポイントセキュリティの強化: 既知および未知の脅威に対応可能な最新のEDR/アンチウイルスソリューションを導入し、定義ファイルを常に最新の状態に保ってください。
3. 不審なメール/ファイルの取り扱い注意: 添付ファイルやリンクの開封には細心の注意を払い、不審な通信や実行ファイルは実行しないよう、利用者への教育を徹底してください。
4. 脆弱性管理: OSおよびアプリケーションのセキュリティパッチを迅速に適用し、既知の侵入経路を塞いでください。

（参考：検知・防御ソリューションの例）

特定のセキュリティ製品（例：ホワイトディフェンダー）は、ランサムウェアの悪性動作を検知・遮断するだけでなく、暗号化が進行する前にファイルのリアルタイム自動復元機能を提供することが可能です。

<遮断メッセージの例>