Yashmaランサムウェアと推定される侵害事象が確認されました。つきましては、本件に関する調査結果と注意喚起を以下の通り報告いたします。

Yashmaランサムウェアの概要

本ランサムウェアは「Yashma」と呼称され、感染対象ファイルの拡張子を「元のファイル名.元の拡張子.個別のランダム値」に変更する挙動が確認されています。

ファイル属性

• 持続性の確立と実行場所の変更

  初期実行場所から、%APPDATA%Roamingフォルダへ実行ファイルをコピーし、「svchost.exe」へ名称変更した上で再実行します。さらに、スタートアップフォルダに実行ファイルのショートカットを作成し、システム再起動後の持続性を確保します。

  
  

  <Roamingフォルダへのコピーされた実行ファイルと、内部変数に格納されたsvchost.exeの記述>

  
  
  
  

  <スタートアップフォルダに作成されたリンクおよび内部処理コード>

  
  

• Windowsの回復機能およびセキュリティ機能の無力化

  感染完了後、被害者がデータを復旧することを困難にするため、コマンドプロンプト（cmd）を利用してシャドウコピーの削除、およびWindows回復関連機能の無効化を実行します。サーバーバージョンにおいては、セキュリティカタログも削除する挙動が確認されています。加えて、バックアップ関連サービスに対する停止コマンドを発行し、タスクマネージャーの実行を無効化します。

  

  <内部に格納されているcmdコマンド>

  
  
  

  <サービス停止の対象リスト>

  
  
  
  

  <タスクマネージャー無効化適用値と、実行時に表示されるエラーメッセージ>

  
  

• 攻撃対象の選定と例外処理

  全てのドライブを対象としますが、SystemDirectory（通常Cドライブ）内の特定のフォルダは暗号化の対象から除外されています。

  

  <例外処理されている対象>

  
  
  

  <暗号化対象となる拡張子一覧>

  
  

感染結果

身代金要求に関する通知ファイルは、各感染パスに「read_it.txt」として生成されます。暗号化処理が完了すると、ファイル名は「<元のファイル名.元の拡張子.個別のランダム値>」に変更され、最終的にデスクトップの壁紙が変更されます。

<感染結果の例>

本ランサムウェアの活動を検知し、暗号化が進行する前にファイルを自動復元する機能（例：ホワイトディフェンダー製品によるリアルタイム自動復元）の導入を推奨いたします。

<検知・ブロックメッセージ>