お問い合わせ
babuk2(.babuk2)は、Babuk Lockerランサムウェアによって暗号化されたファイルに付与される拡張子の一つです。
Babuk Lockerは、感染したシステム内のファイルを暗号化し、復号ツールの購入と引き換えに身代金を要求するランサムウェアとして知られています。
本記事では、Babuk Lockerに関連して言及される「babuk2」の特徴や挙動について、公開されている情報をもとに整理して解説します。
目次
babuk2 ランサムウェア(.babuk2)とは
babuk2(.babuk2)は、Babuk Lockerランサムウェアによって暗号化されたファイルに付与される拡張子の一つです。Babuk Lockerは、感染したシステム内のファイルを暗号化し、復号のための身代金を要求するランサムウェアとして知られています。
このランサムウェアに感染すると、ファイル名に「.babuk」や「.babuk2」などの拡張子が追加され、ファイルにアクセスできなくなります。また、各フォルダには「How To Restore Your Files.txt」といった身代金要求メッセージが作成され、攻撃者へ連絡するよう指示されます。
被害者はTorネットワークなどを通じて攻撃者へ連絡するよう求められ、復号ツールと引き換えに身代金の支払いを要求されるケースが報告されています。
出典:PCrisk
babuk2 ランサムウェア(.babuk2)の特徴
babuk2 ランサムウェアは、仮想環境やWindowsサーバーを狙い、強力な暗号化技術を駆使して重要データを人質にとる高度な脅威です。感染すると業務停止や経済的損失を招きますが、専用の復号ツールによって被害の軽減も可能です。
以下に、babuk2 ランサムウェアの主な特徴をまとめました。
出典:PCrisk
「.babuk2」拡張子がファイルに追加される
感染後、暗号化されたファイルの末尾に「.babuk2」という拡張子が付与されます。これにより通常のアプリケーションでは開くことができなくなります。
出典:PCrisk
ランサムノート「Restore_Your_Files.txt」が生成される
Babukでは暗号化後に身代金支払いを要求するランサムノートが生成されることが報告されています。ノート内では、支払い方法や連絡手段が提示される構造となっています。
Babukコードを利用したESXiサーバーへの攻撃
Babukランサムウェアのソースコードには、Windows・NAS・VMware ESXi向けの暗号化プログラムが含まれていたことが報告されています。
その後、このコードを利用して作成された複数のランサムウェアグループが、VMware ESXiサーバーを標的とした攻撃を行っていることが確認されています。
ESXiは仮想マシンを管理するハイパーバイザーであり、1台のホスト上で複数の仮想マシンを稼働させることができるため、攻撃者にとっては多くのシステムに影響を与えられる標的となる場合があります。
Babukランサムウェアのソースコード流出
Babukランサムウェアは、過去にそのソースコードがハッカーフォーラムで公開されたことが報告されています。
公開されたソースコードには、Windows・NAS・VMware ESXi向けの暗号化プログラムが含まれており、ランサムウェアの実行プログラムを作成できる内容であったとされています。
このようなソースコードの公開により、第三者がランサムウェアを作成できる状況になった可能性が指摘されています。
データ公開を伴う二重脅迫型
暗号化に加えて、窃取データの公開をちらつかせることで支払いを迫る二重脅迫型手法が確認されています。支払いを拒否した場合、リークサイトに企業名やデータが掲載されるリスクがあります。
babuk2 ランサムウェア(.babuk2)の主な感染経路
ランサムウェアは、主に不正メールの添付ファイル、悪意のあるダウンロード、脆弱性の悪用などを通じてシステムへ侵入するとされています。
代表的な感染経路として、以下のような手口が報告されています。
- フィッシングメールの添付ファイルやリンク
- 不正サイトからのマルウェアダウンロード
- ソフトウェアの脆弱性を悪用した侵入
- 不正なリモートアクセス(RDPなど)の悪用
これらの手口により攻撃者がネットワーク内部へ侵入すると、組織内の複数の端末やサーバーへ拡散し、大規模な暗号化被害につながる可能性があります。
また、ランサムウェアに感染した場合、どこから侵入されたのか、どの範囲まで被害が広がっているのかを正確に把握することが、被害拡大の防止や早期復旧のために重要です。
専門家によるフォレンジック調査(デジタル機器やログを解析し、侵入経路や被害範囲を特定する調査)を行うことで、原因の特定や再発防止につながる対策を検討することが可能です。
babuk2 ランサムウェア(.babuk2)による被害の調査を行う場合、専門業者に相談する
ハッキング、不正アクセス、乗っ取り、情報漏えいのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当者が対応させていただきます。
ランサムウェア感染時の対応
ランサムウェアに感染した場合は、以下のフローで被害を最小限に抑える必要があります。
感染時は慌てずに、過不足のないフローで適切な対応を取りましょう。 ランサムウェアに感染した場合の対応は次のとおりです。
端末をオフラインにする
まずは、ネットワークから感染した端末を切り離す必要があります。これにより感染が広がることを防ぐことができます。
リストアする(バックアップから感染前のデータを復旧する)
さらに、感染したサーバーのバックアップを確認し、最新のバックアップからデータを復元することができます(これをリストアと言います)。これにより、被害を回復することができます。
ただし、ランサムウェア感染時は、復旧だけではなく、攻撃経路の特定や、再発防止策の検討が必要となります。攻撃に遭った場合は「フォレンジック調査」を検討しておきましょう。
ランサムウェア感染調査に対応した専門業者を利用する
ランサムウェア感染時は、感染経路を特定し、再発防止策を講じる必要があります。
たとえば「脆弱性」を悪用した攻撃を受けた場合、再攻撃を受けないよう、適切な対応を行うとともに、どの端末の、どのデータが被害に遭ったのかを確認する必要があります。
特に法人の場合、個人情報の漏えいが疑われる際は、関係各所に向けた「被害報告」が必要ですが、自社調査だけでは客観性や正確性が担保できないことがあります。セキュリティツールはマルウェアを検知・駆除できますが、感染経路や情報漏えいの有無を適切に調査することはできないからです。
したがって、ランサムウェア感染時は、感染経路調査に対応した「フォレンジック調査」を利用することが有効です。
◎フォレンジック調査を考えている方へ (お見積りまで完全無料)
フォレンジック調査は、DDF(デジタルデータフォレンジック)までご相談ください。
累計47,431件のご相談実績(※1)があり、他社にはないデータ復旧業者17年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術を駆使してお客様の問題解決をサポートします。
✔不正アクセスの形跡があると報告された
✔ランサムウェアやマルウェア感染の原因がわからない
✔データが漏えいしているかもしれない
上記のようなご相談から調査項目/作業内容のご提案、お見積りまでは完全無料。安心してご相談ください。
\24時間365日 相談受付/
※1 累計ご相談件数47.431件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2023年)
