Devman (.yAGRTb)ランサムウェアの脅威とは？技術的に徹底解説

2025年に確認されたDevman（デヴマン）ランサムウェアは、ファイルを「.yAGRTb」などの拡張子に書き換えて開けなくし、高額な身代金を要求する悪質な脅威です。

Devmanは、単にデータを暗号化するだけでなく、盗んだデータを公開すると脅す「二重恐喝」を特徴とするので、企業の信用に深刻な影響を与える可能性があります。被害が発覚した場合は、感染経路や漏えい状況を正確に把握するため、速やかにフォレンジック調査の専門機関に相談することが極めて重要です。

本記事では、Devmanの特徴や攻撃手法、技術的背景、感染時の対応策について解説します。

Devmanランサムウェアとは？

MalwareGuideによると、DevmanランサムウェアはWindowsOSを標的としてファイルを暗号化し、アクセス不能にするサイバー脅威です。主にファイルへのアクセス権を回復するための復号鍵を持ち、被害者から金銭を奪い取ることを目的としています。

さらにDevmanは、ファイルを暗号化するだけでなく、そのデータを窃取して「暴露する」と脅す、悪質な手口を用います。Devmanはデータの暗号化と同時に、情報の暴露による信用失墜も引き起こすことを狙った戦術を採用しており、その脅威は単なる金銭要求にとどまりません。

出典：pcrisk

Devmanランサムウェアの被害規模

ANY.RUNの分析によると、Devmanランサムウェアの被害地域はアジアやアフリカを中心に、ヨーロッパやラテンアメリカにも広がっており、国境を問わず企業や個人が被害に遭っています。

被害に遭った組織の情報は、ダークウェブ上のリークサイトに掲載され、支払いに応じなかった場合は、窃取された機密データが公開されると予告されます。攻撃者は約40件の被害を主張していますが、実際の件数はさらに多いと推定されます。

Devmanの脅威は、一時的なシステム障害ではなく、顧客情報や個人情報の漏えい、基幹業務の停止による経済的損失、そして企業としての信用の失墜など、複数の側面から組織の存続を脅かす、極めて深刻な脅威なのです。

もしランサムウェア被害が発覚した場合は、攻撃の経路、被害範囲、情報の流出有無を明確に把握するための詳細な調査が必要です。安易に社内対応のみで完結させず、速やかにフォレンジック調査の専門機関に相談することが極めて重要です。

出典：ANY.RUN

Devmanランサムウェアの技術的特徴

Devmanランサムウェアの技術的特徴について解説します。

• 「.yAGRTb」拡張子が追加される
• ランサムノート「README.yAGRTb.txt」を作成する
• 追跡を困難にするためにファイルを操作する

出典：pcrisk

「.yAGRTb」拡張子が追加される

Devmanランサムウェアに暗号化されたファイルは、主に「.yAGRTb」という拡張子が元のファイル名の末尾に追記されます。

この拡張子はDevmanによる被害を識別する明確な指標（インジケーター）となります。例えば、「Report.pdf」は「Report.pdf.yAGRTb」となります。

「実際に暗号化されたファイル」画像出典：pcrisk

なお、「.yAGRTb」以外にも「.DEVMAN」、「.devman1」といった拡張子が追記されることもあります。

出典：cyble、ANY.RUN

ランサムノート「README.yAGRTb.txt」を作成する

攻撃者は、暗号化したフォルダのほぼ全てに「README.yAGRTb.txt」という名前のテキストファイル（ランサムノート）を配置します。このノートには、被害者へのメッセージが英語で記載されています。

DEVMAN
Hello!

Your files have been stolen from your network and encrypted with a strong algorithm. We work for money and are not associated with politics. All you need to do is contact us and pay.

— Our communication process:

1. You contact us.
2. We send you a list of files that were stolen.
3. We decrypt 1 file to confirm that our decryptor works.
4. We agree on the amount, which must be paid using BTC.
5. We delete your files, we give you a decryptor.
6. We give you a detailed report on how we compromised your company, and recommendations on how to avoid such situations in the future.

— Client area (hxxps://tox.chat):

>>> Contact this ID:

* If you prefer email – devman@cyberfear.com

— Recommendations:

DO NOT RESET OR SHUTDOWN – files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.

— Important:
If you refuse to pay or do not get in touch with us, we start publishing your files.
Еhe decryptor will be destroyed and the files will be published on our blog.

「ランサムノートの内容」出典：pcrisk

主な内容は以下の通りです。

• ファイルが暗号化され、同時に窃取されたことの宣言。
• 攻撃者が金銭目的であり、政治的な意図はないという主張。
• 連絡先としてTOXチャットのIDとメールアドレス（例：`devman@cyberfear.com`）の提示。
• 連絡後のプロセス（盗難ファイルリストの提示、1ファイルの無料復号、身代金額の交渉など）の説明。
• 支払いを拒否した場合、盗んだデータをブログで公開し、復号ツールを破棄するという脅迫。
• PCの再起動やファイルの移動などを禁じる警告。

追跡を困難にするためにファイルを操作する

攻撃者は、単純にファイルを暗号化するだけではありません。攻撃を効率化し、追跡を困難にするためのファイル操作を行います。

ボリュームシャドウコピーの削除

ボリュームシャドウコピー（VSS）はWindows の機能で、パソコンの中のボリュームを自動的にコビーして過去の状態を保存する仕組みです。

Windowsの復元機能の根幹であるボリュームシャドウコピーを、`vssadmin.exe Delete Shadows /All /Quiet` というコマンドを実行して完全に削除します。

これにより、OSの標準機能を使った安易な復旧を不可能にします。

HOSTSファイルの改ざん

C:\Windows\System32\drivers\etc\hosts ファイルを書き換え、主要なセキュリティベンダーやマルウェア情報サイトのドメイン名を`127.0.0.1`（ローカルホスト）に紐付けます。

これにより、被害者がブラウザから対策情報を収集したり、駆除ツールをダウンロードしたりするのを妨害します。

ランサムウェアの主な感染経路

他の多くのランサムウェアと同様に、Devmanランサムウェアの感染には主に以下の経路を考えられます。

• Eメール（フィッシング・スパム）
• 不正なソフトウェアとダウンロード
• Webサイト（マルバタイジング・改ざん）

出典：CYCLONIS

Eメール（フィッシング・スパム）

依然として最も多く利用される感染経路です。攻撃者は、人間の心理を巧みに操り、メールを開封させようとします。

具体例:

• 業務連絡偽装: 「請求書」「注文書」「見積依頼」などを件名とし、マクロを仕込んだWordやExcelファイル、あるいはパスワード付きZIPファイルを添付。
• 公的機関偽装: 税務署や裁判所などをかたり、不安を煽る内容でファイルを開かせようとする。
• 運送会社偽装: 「荷物のお届け」を口実に、偽の荷物追跡サイトへのリンクをクリックさせる。

これらのメール内のリンクをクリックしたり、添付ファイルを開いて「コンテンツの有効化」をクリックしたりすることで、マルウェアが実行されます。

不正なソフトウェアとダウンロード

コストをかけずに有料のソフトウェアやコンテンツを利用したいという心理を悪用する可能性があります。

具体例:

• 海賊版・クラックツール: P2Pソフトや違法ダウンロードサイトで配布されている有料ソフトの海賊版や、そのライセンス認証を回避するツールにマルウェアが同梱されています。
• 偽のアップデート: Webサイト閲覧中に「お使いのブラウザは古いです」などの偽警告を表示し、不正なインストーラーを実行させます。

これらは、自らマルウェアをインストールする行為に他なりません。

Webサイト（マルバタイジング・改ざん）

Webサイトを閲覧するだけで感染する可能性があります。

具体例:

• マルバタイジング: 正規サイトの広告枠に、マルウェアを仕込んだ悪意のある広告が配信され、クリックまたは表示しただけで感染する。
• Webサイトの改ざん: セキュリティが脆弱なサイトが攻撃者によって改ざんされ、閲覧者のPCの脆弱性を突いてマルウェアを送り込む（ドライブバイダウンロード攻撃）。

Devmanランサムウェアに感染したら

万が一、Devmanランサムウェアへの感染が疑われる事態に直面した場合、その後の対応が被害の明暗を分けます。

以下にDevmanランサムウェアに感染した時の初動対応について解説します。

【最優先】初動対応：ネットワークからの隔離

感染の兆候を察知したら、直ちにそのPCをネットワークから物理的に切り離してください。これが被害拡大を防ぐための絶対的な最優先事項です。

これにより、ランサムウェアが他のPCやサーバーへ拡散するのを防ぎます。

【厳禁】やってはいけないこと：身代金の支払と安易な再起動

ランサムウェア被害時には混乱から誤った対応を取りがちですが、状況を悪化させないためにも注意が必要です。

まず、身代金の支払いは絶対に避けるべきで、データが戻る保証はなく、犯罪組織への資金提供や再攻撃のリスクを高めることになります。また、安易なシャットダウンや再起動は、メモリ上の重要な証拠を消してしまう恐れがあるため慎重に対応する必要があります。

さらに、暗号化されたファイルの拡張子を変更したり、脅迫状ファイルを削除したりすると、データの復旧や調査に支障をきたす可能性があるため控えましょう。

被害調査とフォレンジック調査の重要性

ファイルの復旧だけでなく、法人は「何が起きたのか」を正確に把握し、説明する責任があります。

Devmanランサムウェアはデータ窃取を伴うため、単なるシステム障害ではなく、重大な情報漏えいインシデントです。万が一感染が疑われた場合、まずネットワークからの隔離と、フォレンジック専門家への連絡をしてください。

警察などの法執行機関とも連携し、証拠保全と被害範囲の正確な把握を進めることが重要です。また、感染経路の特定・隔離や、今後の再発防止策（パッチ管理・セキュリティ教育・多層防御の実装など）も不可欠です。

このような高度なサイバー攻撃には、社内リソースだけでは限界があります。 被害を最小限に抑えるためにも、信頼できる外部フォレンジック調査会社との連携を進めましょう。

編集部おすすめ調査会社：デジタルデータフォレンジック(おすすめ度)

情報漏洩やサイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。

こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。

まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。

デジタルデータフォレンジック

デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。

ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です

相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。