ELDER ランサムウェアはシステムを揺るがす
ランサムウェアは進化を止めず、サイバー犯罪者は被害と利益を最大化するために戦術を洗練させています。そのような脅威の 1 つが、 Beast ランサムウェア ファミリーに基づく悪意のあるプログラムであるELDER ランサムウェアです。この系統は、感染したシステム上のファイルを暗号化し、復号化のために身代金を要求するように設計されており、攻撃者のキーがなければ被害者がデータに再びアクセスすることはほぼ不可能になります。
ELDER ランサムウェアがどのように動作するか、何を達成しようとしているのか、そしてどのように防御するのかを理解することは、個人にとっても組織にとっても重要です。この記事では、その影響、配布方法、システムを安全に保つための予防策について説明します。
Table of Contents
ELDER ランサムウェアとは何ですか?
ELDER ランサムウェアは、感染したシステム上のファイルを暗号化し、各ファイル名に一意のランダム文字列を追加し、その後に「.ELDER」拡張子を付加することで機能します。たとえば、元々 「document.pdf」という名前だったファイルは、「document.pdf.{ランダム文字列}.ELDER」に変更される可能性があります。
暗号化プロセスが完了すると、マルウェアは「README.txt」というタイトルの身代金要求メモをドロップし、被害者のデータベース、ドキュメント、および個人ファイルがロックされたことを通知します。メモには、攻撃者が保持する復号キーのみがアクセスを復元できることを警告し、被害者に身代金要求に応じるよう促しています。
身代金要求書には次のように書かれています。
YOUR FILES ARE ENCRYPTED
Your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.To be sure we have the decryptor and it works you can send an email: pbs@criptext.com and decrypt one file for free.
But this file should be of not valuable!Do you really want to restore your files?
Write to email: pbs@criptext.com
Reserved email: pbs24h@tutanota.deAttention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
* You have 24 hours to contact us.
* Otherwise, your data will be sold or made public.
ELDER ランサムウェアはどのように機能しますか?
ランサムウェアの作成者は、ファイルのロックを解除できることを証明するために、小規模なテスト用の復号を提供しています。ただし、24 時間の厳格な期限を設けており、被害者が指定された期間内に支払いを行わない場合、盗んだデータを販売または漏洩すると脅しています。さらに、暗号化されたファイルの名前を変更したり変更したりすると、永久にアクセスできなくなる可能性があるため、注意を促しています。
身代金を支払えばファイルを復元できると約束されているにもかかわらず、セキュリティ専門家は被害者に身代金を支払わないよう強く勧めています。多くのサイバー犯罪者は身代金を受け取った後でも復号キーを提供しません。さらに、身代金を支払うことはさらなる攻撃を助長するだけで、犯罪者が活動を続けることを奨励することになります。
ELDER ランサムウェアは何を望んでいるのか?
ほとんどのランサムウェアと同様に、ELDER の主な目的は金銭の脅迫です。このマルウェアの背後にいるサイバー犯罪者は、恐怖と切迫感を利用して被害者に圧力をかけ、追跡を避けるために通常は暗号通貨の形で資金をすぐに送金させます。
金銭的利益を得る以外にも、ランサムウェアの運営者は被害者を脅迫するために機密データを盗むこともあります。この「二重の脅迫」戦術により、組織は機密情報の公開を恐れ、金銭の支払いを受ける可能性が高まります。
ランサムウェアはどのように拡散するのでしょうか?
ELDER のようなランサムウェアは、通常、フィッシング キャンペーンや偽のダウンロードを通じて配布されます。サイバー犯罪者はソーシャル エンジニアリング戦術を使用して、ユーザーを騙し、感染した電子メールの添付ファイルを開かせたり、悪意のあるリンクをクリックさせたり、未検証のソースから侵害されたファイルをダウンロードさせたりします。
その他の一般的な配布方法は次のとおりです。
- ドライブバイダウンロード- ユーザーが侵害された Web サイトにアクセスすると、マルウェアが静かにインストールされます。
- トロイの木馬感染– 攻撃者は、ソフトウェア インストーラーやメディア ダウンロードなどの正当に見えるファイル内にランサムウェアを隠します。
- マルバタイジング- 不正なオンライン広告がユーザーを感染した Web サイトに誘導します。
- 侵害されたネットワークと USB デバイス– ランサムウェアの亜種の中には、ローカル ネットワークやリムーバブル ストレージを通じて自動的に拡散するものもあります。
暗号化されたファイルは復元できますか?
残念ながら、ELDER ランサムウェアがシステムを暗号化すると、攻撃者のキーがなければ復号化は通常不可能です。唯一の例外は、セキュリティ研究者がランサムウェアの暗号化アルゴリズムに欠陥を発見し、潜在的な復号化ツールの開発が可能になった場合です。
現時点では、被害者にとって最善の解決策は、バックアップが存在し、別の安全なシステムに保存されている場合、バックアップからファイルを復元することです。ランサムウェア自体を削除すると、それ以上の暗号化は防止されますが、すでに影響を受けたファイルは復元されません。
ELDER ランサムウェアから身を守る方法
ランサムウェア攻撃に対する最善の防御は予防です。セキュリティ専門家は、感染のリスクを軽減するために強力なサイバーセキュリティ対策を実施することを推奨しています。
1. 安全なバックアップを維持する
- 外部ストレージデバイスまたはクラウド サービス上のファイルを定期的にバックアップします。
- ランサムウェアによるバックアップの暗号化を防ぐために、バックアップがメイン システムに接続されていないことを確認してください。
2. メールやリンクには注意する
- 不明な送信者からの添付ファイルを開かないようにしてください。
- たとえ正当に見えても、疑わしいリンクをクリックしないでください。
3. 信頼できるソースからソフトウェアをダウンロードする
- 公式ウェブサイトおよび検証済みの開発者からのアプリケーションのみをインストールしてください。
- 海賊版ソフトウェアや「クラックされた」プログラムにはマルウェアが含まれていることが多いため、使用は避けてください。
4. システムとセキュリティソフトウェアを最新の状態に保つ
- オペレーティング システム、ウイルス対策プログラム、セキュリティ パッチを定期的に更新します。
- 自動更新を有効にして、修正プログラムが利用可能になったらすぐに脆弱性を修正します。
5. 強力なネットワークセキュリティを実装する
- ファイアウォールとエンドポイント保護を使用して、ネットワーク トラフィックを監視し、疑わしいアクティビティを検出します。
- 管理アクセスを制限し、多要素認証 (MFA)を有効にします。
全体像: ランサムウェアは絶え間ない脅威
ELDER ランサムウェアは、企業や個人に大混乱をもたらしている多くの亜種の 1 つにすぎません。Tianrui 、 Hush 、 MoneyIsTimeなどの類似のマルウェア ファミリーは、ファイルを暗号化して身代金を要求するという同じ基本原理に基づいて動作します。
セキュリティ研究者は、新しいランサムウェアの系統を追跡し続け、攻撃者がその手法をどのように改良しているかを特定しています。各キャンペーンは、異なる暗号化アルゴリズム (対称または非対称) を使用し、身代金の要求も異なるため、それぞれが異なります。
最後に
ELDER ランサムウェアは、サイバーセキュリティ意識の重要性を改めて思い起こさせるものです。システムが感染すると、攻撃者のキーがなければファイルを復元することはほぼ不可能です。そのため、被害者にならないためには、積極的な防御策が不可欠です。
定期的なデータ バックアップ、メールの慎重な精査、信頼できるソースからのみソフトウェアをダウンロードするなどのベスト プラクティスに従うことで、個人や組織はランサムウェア攻撃の被害に遭うリスクを大幅に減らすことができます。情報を入手し、強力なサイバー セキュリティ習慣を維持することが、サイバー犯罪者より一歩先を行き、貴重なデータを保護するための最善の方法です。
