ビジネスパーソンが押さえておくべきランサムウェア最新動向 第15回 FF7の『神羅カンパニー』を想起させるShinraランサムウェアに注意

暗号化されたファイルのアイコンを、以下のように変更する亜種もあります。

さらに、「ブートステータスポリシー」の設定をブート時にエラーが発生しても正常起動するように変更し、コマンドを使ってWindowsの回復と修復機能を無効化します。その後、ランサムウェアが管理者権限で実行されるように、「runas admin」を使って自身を再起動させます。

最後に、以下のランサムノート（身代金メモ）を残し、Eメールで攻撃者に連絡するよう、被害者に要求します。

もちろん身代金を支払ったからといって、データが復旧できるとは限りません。また身代金の支払いは、反社会的組織への資金供与として違法行為の助長とみなされる危険性もあるため、絶対に避けるべきです。

Limpopoランサムウェア

FortiGuard Labsは2024年3月に、アジアの法執行機関から「Socotra」と名付けられたランサムウェアに関する問い合わせを受けました。2024年6月の時点でもまだSocortaランサムウェアのサンプルは見つかっていませんが、この調査の過程で、Socortaと関連性のあるランサムウェアとして浮上してきたのがこの「Limpopoランサムウェア」です。

ちなみに、これらの名称との関連性は不明ですが、Socortaは中東にあるイエメン共和国の島（ソコトラ島）、Limpopoは南アフリカ共和国の州（リンポポ州）の名称でもあります。

Limpopoランサムウェアは、公開されているファイルスキャンサービスに2024年2月に提出されたもので、VMwareのESXi環境をターゲットにしています。またLimpopoランサムウェアの亜種と考えられるものとしては、Socortaの他にもAkgum、Aktakyr、Bulanyk、Formosa、Hatartam、Monjukly、Sakgar、Sazandaなどがあります。

このランサムウェアの挙動は、比較的単純です。実行されるとまず、データやログなどを格納している複数のファイルを暗号化し、「.LIMPOPO」という拡張子を追加します。その後、以下のように、攻撃者のURLと簡単なメッセージを記載したランサムノートを残します。

（引用）
Hi. We have your data. If you don't cooperate it will be made public. Go to hxxps://getsession[.]org/