お問い合わせ
Devman(.yAGRTb)ランサムウェアはマルウェアの一種であり、データを暗号化し、復号化のために身代金を要求するよう動作します。
Devman(.yAGRTb)ランサムウェアは2025年5月頃から確認されはじめています。本記事では、Devman(.yAGRTb)ランサムウェアについて詳しく解説していきます。
もし被害に遭った場合は、すぐに専門のフォレンジック調査会社に、早急な対処や今後の対策を相談しましょう。
\サイバーセキュリィ専門家へ24時間365日無料相談/
目次
Devmanランサムウェア(.yAGRTb)の特徴
Devman(.yAGRTb)ランサムウェアの特徴について詳しく解説していきます。
暗号化されると「.yAGRTb」拡張子がファイルに追加される
Devmanランサムウェアに感染すると、主に「.yAGRTb」という拡張子がファイル名の末尾に付け加えられ、元のファイルが識別できなくなります。
出典:pcrisk
「実際に暗号化されたファイル」画像出典:pcrisk
なお、「.yAGRTb」以外にも「.DEVMAN」、「.devman1」といった拡張子が追記されることもあります。
「README.yAGRTb.txt」ランサムノートが表示される
DEVMAN
Hello!Your files have been stolen from your network and encrypted with a strong algorithm. We work for money and are not associated with politics. All you need to do is contact us and pay.
— Our communication process:
1. You contact us.
2. We send you a list of files that were stolen.
3. We decrypt 1 file to confirm that our decryptor works.
4. We agree on the amount, which must be paid using BTC.
5. We delete your files, we give you a decryptor.
6. We give you a detailed report on how we compromised your company, and recommendations on how to avoid such situations in the future.— Client area (hxxps://tox.chat):
>>> Contact this ID:
* If you prefer email – devman@cyberfear.com
— Recommendations:
DO NOT RESET OR SHUTDOWN – files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.— Important:
If you refuse to pay or do not get in touch with us, we start publishing your files.
Еhe decryptor will be destroyed and the files will be published on our blog.
「ランサムノートの内容」出典:pcrisk
Devman(.yAGRTb)ランサムウェアによる暗号化後、「README.yAGRTb.txt」というタイトルのランサムノートが生成されます。この画像は、ランサムウェアによる脅迫メッセージの一例です。内容を要約すると以下の通りです。
- ファイルが暗号化され、同時に窃取されたことの宣言。
- 攻撃者が金銭目的であり、政治的な意図はないという主張。
- 連絡先としてTOXチャットのIDとメールアドレス(例:
devman@cyberfear.com)の提示。 - 連絡後のプロセス(盗難ファイルリストの提示、1ファイルの無料復号、身代金額の交渉など)の説明。
- 支払いを拒否した場合、盗んだデータをブログで公開し、復号ツールを破棄するという脅迫。
- PCの再起動やファイルの移動などを禁じる警告。
出典:pcrisk
Windows OSを標的としている
理由として、以下の2つが考えられます。
- バックアップ機能の破壊: Windowsの復元機能(ボリュームシャドウコピー)をvssadmin.exeという正規コマンドを悪用して削除し、OS標準機能による安易な復旧を妨害します。
- ネットワーク内での自己拡散: Windowsのファイル共有機能(SMB)を悪用して、ネットワークに接続されている他のPCやサーバーへと感染を広げます。
Windowsのシステム管理ツールやネットワーク機能の弱点を突くことで高い攻撃効果が期待できるため、Devmanランサムウェアは主にWindows OSを標的としている可能性があります。
出典:ANY.RUN
リークサイト上にデータが漏えいする(二重恐喝)
Devmanランサムウェアは、被害者が支払いを拒否、あるいは連絡に応じない場合、窃取した機密データを自身のリークサイト(Devman’s Place)上で公開すると脅迫します。
もしランサムウェアに感染した疑いがある場合や、リークサイトやダークウェブに情報を公開された場合は、素早く対処することが重要です。感染経路の調査やダークウェブへの情報漏えい調査などに対応しているフォレンジック調査会社へ速やかに相談しましょう。
出典:pcrisk
\サイバーセキュリィ専門家へ24時間365日無料相談/
ランサムウェア感染時の対応
ランサムウェアに感染した場合は、以下のフローで被害を最小限に抑える必要があります。
感染時は慌てずに、過不足のないフローで適切な対応を取りましょう。 ランサムウェアに感染した場合の対応は次のとおりです。
端末をオフラインにする
まずは、ネットワークから感染した端末を切り離す必要があります。これにより感染が広がることを防ぐことができます。
リストアする(バックアップから感染前のデータを復旧する)
さらに、感染したサーバーのバックアップを確認し、最新のバックアップからデータを復元することができます(これをリストアと言います)。これにより、被害を回復することができます。
ただし、ランサムウェア感染時は、復旧だけではなく、攻撃経路の特定や、再発防止策の検討が必要となります。攻撃に遭った場合は「フォレンジック調査」を検討しておきましょう。
ランサムウェア感染調査に対応した専門業者を利用する
ランサムウェア感染時は、感染経路を特定し、再発防止策を講じる必要があります。
たとえば「脆弱性」を悪用した攻撃を受けた場合、再攻撃を受けないよう、適切な対応を行うとともに、どの端末の、どのデータが被害に遭ったのかを確認する必要があります。
特に法人の場合、個人情報の漏えいが疑われる際は、関係各所に向けた「被害報告」が必要ですが、自社調査だけでは客観性や正確性が担保できないことがあります。セキュリティツールはマルウェアを検知・駆除できますが、感染経路や情報漏えいの有無を適切に調査することはできないからです。
したがって、ランサムウェア感染時は、感染経路調査に対応した「フォレンジック調査」を利用することが有効です。
◎フォレンジック調査を考えている方へ (お見積りまで完全無料)
フォレンジック調査は、DDF(デジタルデータフォレンジック)までご相談ください。
累計39,451件のご相談実績(※1)があり、他社にはないデータ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術を駆使してお客様の問題解決をサポートします。
✔不正アクセスの形跡があると報告された
✔ランサムウェアやマルウェア感染の原因がわからない
✔データが漏えいしているかもしれない
上記のようなご相談から調査項目/作業内容のご提案、お見積りまでは完全無料。安心してご相談ください。
\24時間365日 相談受付/
※1 累計ご相談件数39,451件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
ランサムウェアの主な感染経路
他の多くのランサムウェアと同様に、Devmanランサムウェアはユーザーの警戒心の隙やシステムの弱点を突く、多様な手口で侵入してきます。主な感染経路は以下の通りです。
出典:CYCLONIS
Eメール(フィッシング・スパム)
請求書、荷物の配達通知、業務連絡などを装ったメールを送り付け、悪意のあるマクロが仕込まれたOfficeファイル(Word, Excel)や、パスワード付きZIPファイルなどの添付ファイルを開かせたり、本文中の不正なリンクをクリックさせたりすることで感染させることがあります。
不正なソフトウェアとダウンロード
P2Pネットワークや違法ダウンロードサイトで配布されている海賊版ソフトウェアや、そのライセンス認証を回避するクラックツールにマルウェアを同梱させる手口です。
Webサイト経由の感染
正規のWebサイトを閲覧しているだけで感染するリスクもあります。サイト上の広告枠にマルウェアを仕込んだ広告(マルバタイジング)を配信したり、セキュリティの甘いWebサイトを改ざんし、閲覧者のPCの脆弱性を利用して自動的にマルウェアを送り込んだりします(ドライブバイダウンロード攻撃)。
Devman(.yAGRTb)ランサムウェア感染時、感染経路調査を行うメリット
ランサムウェアに感染した場合、感染経路を調査することで、攻撃者の侵入方法を特定し、将来の攻撃から身を守るために対策を講じることができます。
ランサムウェア感染の調査を行う方法として「フォレンジック調査」を挙げることができます。フォレンジック調査とは、電子機器から証拠を収集・分析して、インシデントの詳細を解明する手法で、たとえば攻撃者がどのようにランサムウェアを侵入させたか、どのような手法や脆弱性が悪用されたかなど、感染経路や情報漏えいの特定に役立ちます。
ランサムウェア感染時の対処におけるフォレンジック調査のメリットは次のとおりです。
- 被害範囲を特定できる
- 感染経路や攻撃手法の解析・証拠が確保できる
- 専門エンジニアの詳細な調査結果が得られる
- セキュリティの脆弱性を発見し、再発を防止できる
①被害範囲を特定できる
フォレンジック調査は、感染したシステムやネットワーク内での攻撃の拡散範囲を特定するのに役立ちます。これにより、被害を受けたシステムやデータ、ネットワークの一部を迅速に特定し、対処を開始することができます。
②感染経路や攻撃手法の解析・証拠が確保できる
フォレンジック調査では、ランサムウェアの攻撃手法や感染経路を解析し、証拠を確保できます。また、証拠の確保は、法的な措置や法執行機関との連携に役立つだけでなく、被害の評価や保険請求のためにも重要な要素となります。
③専門エンジニアの詳細な調査結果が得られる
フォレンジック調査の専門会社には、正確にハッキング被害の実態を確認するために必要な高度な技術を持つ専門エンジニアがいます。
自社調査だけでは不適切な場合がありますが、フォレンジックの専門業者と提携することで、調査結果をまとめた報告書が作成でき、公的機関や法廷に提出することができます。
④セキュリティの脆弱性を発見し、再発を防止できる
フォレンジック調査では、マルウェアによる被害の程度や感染経路を特定することで、今後のリスクマネジメントに貢献することが出来ます。弊社では、解析調査と報告書作成の他に、お客様のセキュリティを強化するためのサポートも提供しています。
私たちデジタルデータフォレンジックは官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があります。お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたしますので、まずはお気軽にご相談ください。
\フォレンジック調査の専門家へ24時間365日無料相談/
Devman(.yAGRTb)ランサムウェアによる被害の調査は専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも行っておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\サイバーセキュリィ専門家へ24時間365日無料相談/
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
