調査日: 2024-03-13
ZeroGuard ランサムウェアと推定される侵害事案が発生したため、当該状況の確認と注意喚起を以下の通り報告いたします。
本ランサムウェアは「ZeroGuard」と称されており、感染したファイルの拡張子を「ファイル名.拡張子.ランダム12桁キー.ZeroGuard」に変更する挙動が確認されています。
ファイル情報
ランサムウェアの動作特徴
本マルウェアは.NETベースで構築されており、内部の静的コードは暗号化されているため、詳細な動作解析は困難な状況です。ランサムウェアは実行時に自己を隠しファイルとして処理し、ユーザープロファイル(USER)のWindowsログオン時にスタートアップレジストリへ自動実行されるよう登録する持続性(Persistence)を確立します。
<myexternalip APIを利用したIPアドレス確認の動的情報>
<シャドウコピー削除の動的情報>
感染の結果、各ディレクトリに身代金要求ファイル(Readme.txt)が生成されます。暗号化処理の際、ファイル名は「<ファイル名.拡張子.ZeroGuard0@skiff.com.ランダム12桁キー.ZeroGuard>」へと変更されます。
<感染結果の例>
身代金要求ファイル(ランサムノート)は「Readme.txt」として生成され、暗号化されたファイル名には連絡先メールアドレス(ZeroGuard0@skiff.com)が含まれていることが確認されました。
本件のようなランサムウェア攻撃に対し、弊社製品(ホワイトディフェンダー)は、ランサムウェアの悪性動作の検知およびブロックに加えて、暗号化処理が進行するファイルに対してもリアルタイムでの自動復元機能をサポートしております。
<ブロック通知メッセージ>
侵害の予防と被害の最小化のため、以下の対策を強く推奨いたします。