Yureiランサムウェアの概要
Yureiランサムウェアは、Windowsシステムを標的とし、高度なファイル暗号化とステルス技術を駆使して、その影響を最大化し、検出を最小限に抑える新しい脅威です。このランサムウェアによって暗号化されたファイルには、.Yureiという拡張子が追加され、被害者はTorベースの連絡チャネルが記載された_README_Yurei.txtという身代金要求メモを受け取ります。
技術的な詳細と手口
CYFIRMAが観測したこの新しいランサムウェアは、Go言語で開発されており、複数のマルウェアリポジトリで流通しています。Yureiは、ペイロードを一時ディレクトリにステージングし、バックアップとログを無効化します。さらに、SMB共有とリムーバブルメディアを介して拡散し、フォレンジック分析と回復作業を妨害するために自己クリーンアップルーチンを実行します。
暗号化メカニズム
Yureiの主要なルーチンである「EncryptAllDrivesAndNetwork」は、アクセス可能なすべてのローカル、ネットワーク、およびリムーバブルドライブ上のデータを迅速に暗号化します。暗号化には、ファイルごとにChaCha20キーが使用され、攻撃者のECIES公開鍵でラップされます。ファイルは、高いメモリ使用量を避けるために2 MiBのチャンクで処理され、回復の可能性を減らすためにアトミックに置き換えられます。暗号化されたアイテムには.Yurei拡張子が付けられ、各ディレクトリに専門的にフォーマットされた身代金要求メモがドロップされます。
回復妨害策
回復を阻止するため、Yureiの「disableBackups」機能は、PowerShellコマンド(例: vssadmin Delete Shadows /All /Quiet、wbadmin Delete Catalog -Quiet)を呼び出し、ボリュームシャドウコピーとバックアップカタログを削除します。同時に、マルウェアはPowerShellのGet-ChildItem -Recurse | Remove-Item -Forceパイプラインを介してWindowsイベントログとシステムログを消去し、ファイルタイムスタンプを隠蔽するためにメタデータを変更します。
拡散と横展開
横展開のために、Yureiは資格情報ベースの技術を利用します。PSCredentialオブジェクトを構築し、CIMセッションを確立し、net useおよびPsExecスタイルのリモート実行を使用してネットワークホストに感染させます。その「stealthPropagation」ルーチンは、書き込み可能なSMB共有を継続的に列挙し、自身をSystem32_Backup.exeとして共有ルートにコピーします。リムーバブルドライブは、その名前のファイルが存在しない場合にペイロードをWindowsUpdate.exeとしてコピーすることで標的とされ、疑いを持たないユーザーによる手動実行の可能性を高めます。
フォレンジック対策
フォレンジック対策は、自己クリーンアップによってさらに強化されています。暗号化と拡散後、Yureiは「secureDelete」、「cleanTraces」、「wipeMemory」ルーチンを実行します。これらの機能は、暗号学的に安全なランダムデータを使用してランサムウェアバイナリに複数回の書き込みを行い、ファイルを名前変更して削除し、ファイルメタデータを消去し、強制的なガベージコレクション後にメモリ内のアーティファクトを上書きします。コンソール履歴はClear-Hostによって消去され、残存するヒープデータはメモリフォレンジックを妨害するために上書きされます。
分析とコード再利用
Goバイナリの静的分析により、オープンソースのPrince-Ransomwareプロジェクトとの類似性が明らかになりました。Yureiは、関数名とモジュール名(例: InitPrinceKeys()がInitYureiKeys()にブランド変更)を保持し、ChaCha20 + ECIES暗号化スキーム、ファイルヘッダーレイアウト(ラップされたキーとノンスが||で区切られる)、および再帰的なドライブ列挙ロジックを共有しています。しかし、YureiはGoゴルーチンを介した並列暗号化を導入し、Princeのシングルスレッド設計よりも速度を向上させています。注目すべきは、Yureiが特定のエッジ条件下でVSS削除を無効にできないというPrinceの欠陥を受け継いでおり、一部の回復ポイントが手つかずのまま残される可能性がある点です。コンパイル時のメタデータからは、Windowsユーザー名(intellocker)と「satanlockv2」プロジェクトを参照するファイルパスが露呈しており、他のランサムウェア開発環境との関連性を示唆しています。
被害状況と起源
2025年9月5日に初めて確認されたYureiの最初の被害者は、スリランダの食品メーカーでした。モロッコ、ドイツ、トルコからのマルウェア提出は、その開発者の起源を不明瞭にしていますが、「Yūrei」(幽霊)という日本語の名前が付けられています。
結論と推奨事項
Yureiランサムウェアは、迅速なチャンク暗号化、SMBおよびUSB伝播、二重恐喝メッセージング、堅牢なフォレンジック対策を備えたプロフェッショナルグレードの脅威です。その洗練された身代金要求メモ、Torベースの通信チャネル、自動化された自己削除ルーチンは、速度とステルスに最適化された成熟した運用を反映しています。コードがPrince-Ransomwareコンポーネントを再利用していることは、脅威アクターがオープンソースキットを適応させ、並行処理と自己クリーンアップの強化を追加する傾向を浮き彫りにしています。組織は、この洗練された二重恐喝対応マルウェアに対抗するために、不正なPowerShell実行に対するエンドポイント監視、SMB共有アクティビティの監査、厳格なUSBデバイス制御、およびオフラインバックアップの維持を優先すべきです。
侵害の痕跡 (IOCs)
- Sha256: 1263280c916464c2aa755a81b0f947e769c8a735a74a172157257fca340e1cf4 (3dec9093b6da575c8700a9eb.ps1)
- Sha256: 4f88d3977a24fb160fc3ba69821287a197ae9b04493d705dc2fe939442ba6461 (YureiRansomware.exe)
- URL (BLOG LINK): hXXp[:]//fewcriet5rhoy66k6c4cyvb2pqrblxtx4mekj3s5l4jjt4t4kn4vheyd[.]onion
- URL (CHAT LINK): hXXp[:]//fewcriet5rhoy66k6c4cyvb2pqrblxtx4mekj3s5l4jjt4t4kn4vheyd[.]onion/chat/777676f8-2313-425f-873a-65c4df8d5def/chat[.]php