別名	AKO Doxware、AKO Ransomware、BabyLockerKZ、Hazard、MedusaReborn
活動開始時期	2019年
プラットフォーム	Windows
カテゴリ	ランサムウェア

概要

MedusaLockerは2019年9月に登場したランサムウェアです。2020年1月に登場したAKO Ransomwareをはじめとして、さまざまな派生バージョンが存在します。データベース関連ファイルを確実に暗号化するためにプロセスやサービスを終了することや、復旧を困難にするために各種バックアップを削除することが特徴的です。

MedusaLockerのタイムライン

機能

2024年7月頃に確認されたMedusaLocker亜種の主な機能を紹介します。

ファイルの暗号化

ローカルディスクドライブおよびネットワークドライブのファイルを暗号化します。その際、ファイルの拡張子を変更します。

プロセスの終了

sqlbrowset.exeなどデータベース関連のプロセスを終了します。

サービスの終了

MSSQLServerADHelperなどデータベース関連のサービスを終了します。

ランサムノート（脅迫文書）の作成

デスクトップ上にhtml形式のランサムノートを作成します。ランサムノートには身代金の支払い方法について記載されています。

ごみ箱を空にする

ごみ箱に存在するファイルを完全に削除します。

シャドウコピーの削除

vssadminやwmicでボリュームのシャドウコピーを削除します。

システム状態バックアップの削除

wbadminですべてのシステム状態バックアップを削除します。

自動修復の無効化

bcdeditでWindowsの自動修復（回復オプション）を無効に設定します。

感染の永続化

レジストリのRunキーに自分自身あるいは自分自身のコピーを登録し、PCが再起動された場合も感染を維持します。

MedusaLocker亜種のランサムノート