HUNTER ランサムウェアはシステムコンテンツを暗号化します
マルウェア サンプルの調査中に、Phobos ファミリに属するランサムウェアの亜種である HUNTER を発見しました。このマルウェアはファイルを暗号化し、ファイル名を変更し、「info.txt」と「info.hta」というラベルの付いた 2 つの身代金メモを提示します。さらに、HUNTER ランサムウェアは、被害者の ID、電子メール アドレス、および「.HUNTER」拡張子をファイル名に追加します。
たとえば、「1.jpg」を「1.jpg.id[9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER」に変換し、「2.png」を「2.png.id[ 9ECFA84E-3335].[Hunter-X@tuta.io].HUNTER」など。身代金メモには、PC のセキュリティ問題によるファイルの暗号化について被害者に通知されます。攻撃者との通信用に電子メール アドレス (hunter-x@tuta.io) を提供し、電子メールの件名に特定の ID を含めるようアドバイスします。 24 時間以内に応答がない場合、被害者は Telegram アカウント (@Online7_365) を通じて攻撃者に連絡するよう指示されます。
このメモは、復号化のためにビットコインでの支払いを要求しており、金額は被害者が攻撃者にどれだけ早く連絡するかによって異なります。保証として、ファイルが 4 MB 未満で貴重な情報が欠けている場合に限り、最大 3 つのファイルを無料で復号化できます。
さらに、被害者には、永久的なデータ損失や詐欺の餌食になることを避けるために、暗号化されたファイルの名前を変更したり、サードパーティのソフトウェアを使用して復号化を試みたりしないよう警告されます。
ハンター身代金メモ全文
ポップアップ ウィンドウと info.hta ファイルで HUNTER によって生成された身代金メモの完全なテキストは次のとおりです。
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Hunter-X@tuta.io
Write this ID in the title of your message -
If you do not receive a response within 24 hours, please contact us by Telegram.org account: @Online7_365
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
HUNTER に似たランサムウェアはどのようにシステムに感染しますか?
HUNTER に似たランサムウェアは、次のようなさまざまな方法でシステムに感染します。
フィッシングメール:一般的な方法の 1 つは、悪意のある添付ファイルまたはリンクを含むフィッシングメールによるものです。これらの電子メールは正規のものに見える場合があり、多くの場合、ソーシャル エンジニアリング戦術を使用してユーザーをだまして添付ファイルを開いたりリンクをクリックさせたりして、ランサムウェアをシステムにダウンロードして実行します。
悪意のある Web サイト:侵害された Web サイトや悪意のある Web サイトにアクセスすると、ランサムウェア感染につながる可能性があります。これらの Web サイトは、Web ブラウザやプラグインの脆弱性を悪用して、被害者の認識や同意なしに、被害者のシステムにランサムウェアをサイレントにダウンロードしてインストールする可能性があります。
ソフトウェアの脆弱性の悪用:ランサムウェアは、オペレーティング システム、Web ブラウザ、プラグインなどのソフトウェアの脆弱性を悪用して、システムへの不正アクセスを取得する可能性があります。攻撃者はパッチやアップデートが適用されていない既知の脆弱性を悪用し、ランサムウェアがシステムに侵入する可能性があります。
リモート デスクトップ プロトコル (RDP) 攻撃:ランサムウェア攻撃者は、リモート デスクトップ プロトコル (RDP) 接続が公開されているか、セキュリティが脆弱なシステムを標的にする可能性があります。ブルートフォース攻撃を使用したり、盗まれた認証情報を取得したりして、システムに不正アクセスし、ランサムウェアを展開する可能性があります。
悪意のあるダウンロード:ユーザーは、悪意のある広告をクリックしたり、信頼できないソースから海賊版ソフトウェアやコンテンツをダウンロードしたり、疑わしい Web サイトから偽のソフトウェア アップデートやアプリケーションをインストールしたりすることにより、誤ってランサムウェアをダウンロードする可能性があります。
マルバタイジング:悪意のある広告、つまりマルバタイジングは、ランサムウェア ペイロードを配信するエクスプロイト キットをホストする Web サイトにユーザーをリダイレクトする可能性があります。これらの広告は正規の Web サイトに表示される可能性があり、ユーザーの操作や知識なしにユーザーのシステムに感染する可能性があります。
ドライブバイ ダウンロード:ランサムウェアは、ドライブバイ ダウンロードを通じて配信されることもあります。ドライブバイ ダウンロードでは、ユーザーが侵害された Web サイトにアクセスしたり、Web ページに埋め込まれた悪意のあるコンテンツを操作したりすると、マルウェアが自動的にダウンロードされて実行されます。
