Rhysidaランサムウェアとは?特徴や感染時の対処方法を解説|サイバーセキュリティ.com

Rhysidaランサムウェアとは?特徴や感染時の対処方法を解説

本コンテンツには広告を含み、本コンテンツを経由して商品・サービスの申込みがあった場合、提携している各掲載企業から送客手数料を受け取ることがあります。

Rhysidaランサムウェアとは?特徴や感染時の対処方法を解説

Rhysidaは主にWindowsをターゲットとしたランサムウェアであり、感染すると拡張子が「.Rhysida4」などに書き換わり、データが暗号化されてしまいます。

Rhysidaランサムウェアに感染した場合、個人情報保護の観点から、被害に遭った企業は専門業者の支援が必要になる場合があります。被害を最小限に抑えるためにも、適切な初動対応と調査を行いましょう。

この記事では、Rhysidaランサムウェアの特徴をはじめ、感染が疑われる場合の対処法、調査手法について解説します。

Rhysidaランサムウェアとは?

Rhysidaは、2023年ごろから活動を活発化させているランサムウェアであり、一部のセキュリティ専門家は「MedusaLockerと呼ばれるランサムウェアのファミリーに属する」と指摘しています(MedusaLockerは、2019年9月に初めて確認されたランサムウェアで、現在までに数多くの亜種を生み出しながら、世界各地で感染被害を広げています)。

Rhysidaランサムウェアは、主にフィッシングメールによって感染し、、感染したコンピュータ上のファイル名の末尾に「.Rhysida4」を追加します。これにより、ファイルが開けなくなり、被害者は身代金の支払いを要求されます。なお、身代金の支払いは、ダークウェブにおいて、ビットコインなどの暗号通貨のみとなっています。

出典PCrisk

Rhysidaランサムウェアの特徴

Rhysidaランサムウェアには主に以下のような特徴があります。

  • 身代金要求ファイル「CriticalBreachDetected.pdf」を作成する
  • パソコンに侵入すると「ペイロード」を設置する
  • 二重脅迫を行うランサムウェアである
  • 侵入テストツール「Cobalt Strike」を悪用する
  • 「セキュリティ支援組織」を自称する

身代金要求ファイル「CriticalBreachDetected.pdf」を作成する

CriticalBreachDetected.pdf

画像出典decoded.avast.io

Rhysidaランサムウェアに感染すると、デバイス上のファイル名の末尾が「.Rhysida」に書き換わります。また、デバイス内に「CriticalBreachDetected.pdf」というランサムノート(指示書)が作成されます。このPDFはランサムウェアのバイナリに含まれるコンテンツから生成されるもので、壁紙となる画像は通常「C:/Users/Public/bg.jpg」に保存されます。

このランサムノートには身代金の要求額、支払い方法、未支払い時の警告、支払いを拒否した時の制裁条件が記載されています。また、攻撃した組織に対して「問題の解決を支援する」という詐欺まがいの内容が文面に書かれていることも注意すべきところです。

ただ、ランサムウェアに感染した後、ランサムノートに従って身代金を支払ってもファイルの復旧は保証されません。それどころか、被害が増える可能性もあります。したがって、感染した場合は、身代金を支払うことなく専門家に相談するべきです。

▶相談見積無料!ランサムウェアの被害調査はこちら>>

「ChaCha20」という暗号化方式を採用している

Rhysidaランサムウェアは、高速にデータを暗号化する「ChaCha20」暗号化を採用しています。

ChaCha20は暗号化したいデータと暗号鍵を、64ビットごとに XOR 演算を行います。XOR 演算とは、2 つの値を掛け合わせる演算で、どちらかの値が 1 の場合に 1、どちらも 0 の場合に 0 になります。例えば、平文が「11001010」で、鍵が「01010101」の場合、XOR 演算の結果は「10011111」になります。このようにして、平文と鍵を掛け合わせることで、暗号文を生成します。

なお、この暗号化方式は、暗号化したいデータと鍵の組み合わせによってのみ復号されるため、暗号文を傍受できたところで復号はできません

パソコンに侵入すると「ペイロード」を設置する

Rhysidaランサムウェアは、セキュリティをすり抜けて侵入に成功すると、攻撃目的を達成するため、ファイルの暗号化や身代金の要求を行う「ペイロード」というコードを設置します。設置後、ランサムウェアは全機能をフルに使い、感染を拡大させます。

二重脅迫を行うランサムウェアである

Rhysidaランサムウェアの攻撃者は、被害者が焦って身代金を支払わせるために、一定期間の間、連絡がないとデータを暴露するという脅迫文を送ります。このようなランサムウェアは「二重脅迫型ランサムウェア」とも呼ばれ、身代金を支払わない場合、盗み出したデータを公開すると脅迫します。これにより、被害者は、データの復元だけでなく、情報漏えいのリスクも考慮しなければならなくなり、身代金を支払う可能性が高まります。

ただし身代金を支払っても、ファイルが復元される保証はありません。

また、身代金を支払うことで、攻撃者にさらなる被害を被る可能性もあります。ランサムウェアに感染した場合は、身代金を支払わずに、専門家に相談することが重要です。専門家は、被害状況の調査や今後のアドバイスなどの支援を行うことができます。

侵入テストツール「Cobalt Strike」を悪用する

侵入テストツール「Cobalt Strike」は、HelpSystems社が開発・販売している侵入テストツールです。攻撃者によるシステム侵入をシミュレーションするためのツールで、様々な攻撃手段を実行することができます。しかし、その強力な機能から、ランサムウェアの配布で悪用されるケースが増えています。また、Cobalt Strikeを介してシステムを制御されると、外部のC2サーバーにデータを送信するなどの攻撃をおこなう恐れがあります

「セキュリティ支援組織」を自称する

Rhysidaランサムウェアは、被害者に対して、セキュリティ支援を提供するという名目で、連絡をとってきます。これにより被害者は、ランサムウェアをセキュリティ支援組織が作成したと考え、信頼してしまう可能性があります。

Rhysidaランサムウェアの感染が疑われる場合の対処法

Rhysidaランサムウェアの感染が疑われる場合の対処法は以下のとおりです。

ネットワークの遮断

Rhysidaランサムウェアの感染が疑われる場合、まずはネットワークを遮断しましょう。

ランサムウェアは、感染した端末からネットワークを通じて他の端末に感染を広げる可能性があります。そのため、ランサムウェアの感染が疑われる場合は、まずはネットワークを遮断して被害の拡大を防ぐことが重要です。

メールアドレス・パスワードの変更

メールアドレスやパスワードを変更せず使用し続けるのは危険なため、ランサムウェアの感染が疑われる際は変更しましょう。

ただ、メールアドレスやパスワードの変更を行う際は、ランサムウェアに感染していない端末で行ってください。既に感染した端末で変更すると、変更した情報が詐取され、再び悪用される恐れがあります。

データの復旧

Rhysidaランサムウェアに感染した場合、暗号化されたデータの復旧が必要となります。事前にバックアップを取っている場合は、サーバーの初期化を行った後、バックアップからデータの復元を試しましょう。

また、データ復号ソフトを使用することで、暗号化されたデータを復旧できる可能性があります。ただし、ソフトのインストールの際に必要なデータを上書きする可能性がある上、復旧できるデータが限られるなど、データ消失のリスクもあることを留意しておきましょう。

データの暗号化については以下の記事をご覧ください。

感染経路を調査

ランサムウェア感染時、侵入経路の調査し、攻撃者の手口を把握することが推奨されています。

なぜならランサムウェア感染時、どの脆弱性を悪用し、どの経路から侵入したのかを特定しないまま、復旧作業を行った場合、被害の拡大や再攻撃のリスクを招くおそれがあります。

これ以外にもコンプライアンスの観点からみて、感染経路を明確にすることは非常に重要です。ただし、個人で感染経路や被害状況を調査することは難しいとされています。

なぜならランサムウェア感染の調査には、ネットワークに関する知識はもちろん、膨大な量のログやデータを分析する必要があり、調査に時間と労力が必要になるからです。

そこで有効なのが「フォレンジック調査」です。

フォレンジック調査とは、デジタル機器に残された記録やデータの保全、調査、分析を行う技術であり、ランサムウェアの感染経路調査に適しています。これによって個人では対応できない領域まで調査することができます。ランサムウェア感染時は、フォレンジック調査の専門業者に相談しましょう。

ランサムウェアに感染経路や対処法については、以下の記事で詳しく紹介しています。

フォレンジック調査
ウイルス感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

おすすめのフォレンジック調査会社

フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

  • 官公庁・捜査機関・大手法人の依頼実績がある
  • 緊急時のスピード対応が可能
  • セキュリティ体制が整っている
  • 法的証拠となる調査報告書を発行できる
  • データ復旧作業に対応している
  • 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

デジタルデータフォレンジック

公式サイトデジタルデータフォレンジック

デジタルデータフォレンジックは、累計3万2千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も360件以上ある国内有数のフォレンジック調査サービスです。

一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。

運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。

費用 ★相談・見積り無料 まずはご相談をおすすめします
調査対象 デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等
サービス ●サイバーインシデント調査:
マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査
●社内不正調査:
退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元
●その他のサービス:
パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等
※法人・個人問わず対応可能
特長 官公庁・法人・捜査機関への協力を含む、累計32,000件以上の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査
※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年)
基本情報 運営会社:デジタルデータソリューション株式会社
所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階
受付時間 24時間365日 年中無休で営業(土日・祝日も対応可)
★最短30分でWeb打合せ(無料)

>フォレンジック調査会社の一覧リストはこちら

まとめ

今回は、Rhysidaランサムウェアの特徴や対策方法などを解説しました。ランサムウェアに感染すると個人情報が漏えいしたり、サイバー攻撃の拠点にされたりする恐れがあります。ランサムウェアに感染しないためにしっかりと対策を講じ、必要に応じて専門業者への相談も検討しましょう。

SNSでもご購読できます。