DeathRansom:暗号化により感染したPC上のファイルを強制終了するランサムウェアヘルベント

deathransom

ランサムウェアはコンピューターユーザーや企業にとってこのような世界的な問題になりました。最近の脅威の犠牲者は、要求された身代金を支払い、遅滞なくコンピューターを正常な状態に戻すために、攻撃の予算を立てるようになりました。 DeathRansomなどのランサムウェアの脅威は、被害者から金銭を強要しようとする探求においてより洗練され、容赦なく、多くの選択肢を残しません。

DeathRansomは、データを暗号化し、それを回復するために身代金を要求するランサムウェアの脅威です。犠牲者は、彼らが特定の時間枠で暗号通貨で支払う必要があると報告します。これが満たされない場合、完全なデータ損失になります。ただし、これらの要求を実行することは効果的ではない可能性が高いため、これらの要求を実行することはお勧めできません。

DeathRansomの機能

この特定のランサムウェアの脅威について不思議なのは、被害者のファイルを暗号化していないことです...少なくとも、最初はそうではありません。 DeathRansomランサムウェアの初期バージョンはデータを暗号化するふりをしていただけで、影響を受けたユーザーはファイルを再び使用できるようにしたことがわかりました。完璧な世界では、被害を受けたコンピューターユーザーは、各ファイルの.wctc拡張子を削除するだけで済みました。このようなエンコードされたファイルの例は、「1.docx.wctc」です。

悲しいことに、DeathRansomの影響を受けるファイルのファイル拡張子を変更するだけでは、もはや解決策ではありません。 DeathRansomの被害者の数が増えて以来、この脅威は戦術を変え、被害者の個人ファイルを暗号化できるようになりましたが、.wctc拡張子は含まれていません。これまで、DeathRansomランサムウェアがデータを暗号化したかどうかを確認する唯一の方法は、影響を受けるファイルを開き、暗号化の最後にマーカーをチェックすることです。報告によると、ファイルマーカーには「AB EF CD AB」と表示されるはずです。

この悪意のあるDeathRansomの脅威は、Microsoft Windowsユーザーを対象としています。侵入直後、この脅威は被害者のデバイス上のすべてのファイルを暗号化します。ただし、フルパス名に次の文字列が含まれるファイルを除きます。

  • プログラムデータ
  • $ recycle.bin
  • プログラムファイル
  • すべてのユーザー
  • アプリデータ
  • read_me.txt
  • autoexec.bat
  • desktop.ini
  • autorun.inf
  • ntuser.dat
  • iconcache.db
  • bootsect.bak
  • boot.ini
  • ntuser.dat.log
  • thumbs.db

ファイルの暗号化プロセスの後、ランサムウェアは、暗号化されたデータがあるすべてのフォルダーにテキストファイル(read_me.txt)を作成するため、被害者は簡単にそれを見ることができます。

身代金メモ

read_me.txtファイルは、DeathRansomの作成者が残した身代金メモです。既に述べたように、ランサムウェアの「更新された」バージョンは、拡張機能を追加することなくデータを暗号化できるようになりました。身代金メモにもわずかな変更が加えられたようです。このメッセージは、ファイルが暗号化されたことをユーザーに通知します。ファイルを完全に削除したくない場合は、指定された指示に従って暗号通貨で支払います。

デスランサムノート

メモには、個人のLOCK-IDと、0.1 BTCを送信する必要があるビットコインウォレットの番号が含まれています。被害者は、指定されたアドレスに電子メールを書き、LOCK-IDと支払い時刻を含めるように指示されます。

興味深いことに、彼らはあなたが選んだ1つのファイルを無料で解読し、解読ツールを持っていることを証明し、あなたの信頼を獲得することを提案します。指定された時間枠と支払わなければならない金額以外に、身代金メモで新しくなったことは、送信する「テストファイル」の指定された仕様です。次のようにする必要があります。

  • 1MB以下
  • .txtまたは.lnkファイルのいずれか、データベースなし

最後に、身代金メモは、ビットコインを購入できるソースを提供します。

ランサムウェアの拡散方法>

これまでのところ、 GrujaRSなどのマルウェアコンピューターセキュリティの専門家の調査で見つかったこの脅威で使用される特定の配布方法は見つかりませんでした。他のランサムウェアの寄生虫と同じように広がります。そのような方法は次のとおりです。

  • 不正なスパムメール
  • トレントファイル
  • 悪意のある広告
  • 偽の更新メッセージ
  • 信頼できないサードパーティのインストール
  • トロイの木馬ウイルス

従来、コンピューターユーザーにとっては、魅力的な見出しの付いた電子メールに惑わされるのは非常に簡単です。このようなスパムキャンペーンは、「あなたの銀行口座は解約されます!!!」のようなタイトルでユーザーを怖がらせようとするかもしれません。通常、コンピューターセキュリティの専門家は、表示されるすべての電子メールや、魅力的な件名を含む電子メールや、銀行やお気に入りのソーシャルメディアサイトから送信された電子メールを開かないようにコンピューターに警告します。場合によっては、有名な会社や、FacebookやTwitterなどの最大のソーシャルメディアネットワークからのメッセージのふりをすることもあります。送信者のメールを確認し、実際の会社の公式アドレスと比較するのが最善です。そうすれば、メールが正当かどうかを確実に知ることができます。

マルウェアの研究者は、一般に、怪しいリンクをたどってほしいランダムなポップアップをクリックするのではなく、信頼できるソースからのみソフトウェアアップデートを取得することを推奨しています。

ユーザーは、インストールプロセス中に重要な詳細を見落とすことがわかっています。コンピューターユーザーが誤ってマルウェアを目的のプログラムと一緒にインストールしないようにするには、インストーラーに含まれている追加のソフトウェアを探すことをお勧めします。マルウェアは、自身をオプションのプログラムとして偽装することが知られているため、このようななじみのないインストールはオプトアウトするのが最善です。

DeathRansomの削除とデータ復旧

DeathRansomの作成者が連絡を取り、復号化サービスの料金を支払うことを求めたとしても、要求に応じないようにするのが最善です。代わりに、専門家は脅威を完全に取り除くことを推奨します。この目的のために、DeathRansomを安全に検出および削除できる信頼性の高いソフトウェアの使用が推奨されます。

データリカバリに関しては、クラウドデータベースまたは外部デバイスに保存されているファイルバックアップに依存することが最善の選択肢です。それ以外に、信頼できるソースから高度な復号化ツールが見つかる可能性があり、特にこのランサムウェアで機能します。主なことは、DeathRansomの開発者が説明するものとは別のオプションがあることです。ランサムウェアの要求を順守することを選択した場合、すべての暗号化されたファイルが復元される保証はないため、何をすべきかを決定する前に十分に検討することをお勧めします。

December 19, 2019
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.