Slimeランサムウェア分析(WhiteDefender)

1. 概要

SlimeランサムウェアはWindowsシステムで実行され、重要なファイルデータを暗号化してから.slime拡張子を変更します。感染が進むと、ユーザーのすべてのファイルデータ領域にread_it.txtランサムノートを作成し、すべての拡張子を暗号化してユーザーがすぐに感染の事実を認識するようにします。

ランサムウェア情報のまとめ

サンプル識別子

図1. Slime感染後の暗号化ファイル

2. ランサムウェア動作の特徴

Slimeランサムウェアは、C＃.NETベースで開発されたChaosファミリーのランサムウェアです。実行時に自分のファイルを%AppData%パスにコピーし、その場所から再実行し、%AppData%\Microsoft\Windows\Start Menu\Programs\Startupパスにショートカットを作成し、システムの再起動後も自動的に実行できるように永続性を確保します。

その後、ファイル暗号化を実行し、Chaosシリーズに含まれている回復妨害機能であるシャドウコピーの削除、Windowsの回復機能の無効化、バックアップカタログの削除などの機能は、そのサンプルで無効になっていることが確認されます。暗号化ターゲットは、システムがインストールされているCドライブを除くすべてのドライブとユーザーアカウントのLibrariesフォルダで、そのパス内のファイルをターゲットに暗号化を実行します。

図2.スタートアッププログラムフォルダにランサムウェア実行リンクを生成する動的コード

図3.スタートプログラムフォルダに作成されたランサムウェアリンクファイル

図4.スタートアッププログラムフォルダにランサムウェア実行リンクを生成する動的コード

図5.スタートアッププログラムフォルダにランサムウェア実行リンクを生成する動的コード

3. ランサムウェア感染の結果

ランサムウェア感染が進行すると暗号化が行われ、ランサムノートが生成され、暗号化が進行された各ファイルは拡張子が変更されて使用できなくなります。

• 主要文書・画像などファイルが.slime拡張子で暗号化され、使用不可状態遷移
• read_it.txtランサムノートの生成
• ユーザーデータ暗号化によるアクセス不可状態

図6. ランサムウェア感染後の暗号化されたファイル拡張子（.slime）の変更例

図7. Slimeランサムウェア感染ノート

4. WhiteDefender対応

WhiteDefenderは、ランサムウェアの悪意のある行為をブロックする前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

図 8. WhiteDefender Detect Viewer 検出ログ: Ransomware Behavior‑Detect 検出と Execution Block / Quarantine / Restore 履歴

図 9. WhiteDefender ブロック通知ポップアップ: Process has been blocked due to malicious activity (Slime.exe)