Lucky (MedusaLocker) ランサムウェアがデータの整合性を狙う

Lucky (MedusaLocker) ランサムウェアの出現

Lucky (MedusaLocker) ランサムウェアは、 MedusaLocker ランサムウェア ファミリーの亜種であり、ファイルを暗号化し、その復元と引き換えに支払いを要求するという、確立されたパターンに従います。

システム上で実行されると、Lucky ランサムウェアは暗号化されたファイルに「.lucky777」という拡張子を追加します。たとえば、「document.pdf」という名前のファイルは「document.pdf.lucky777」になります。暗号化後、ランサムウェアはデスクトップの壁紙を変更し、「READ_NOTE.html」というタイトルの HTML ファイルに身代金要求メッセージを生成します。

身代金要求を理解する

身代金要求メッセージは、被害者、特に企業に対し、ファイルが RSA および AES 暗号化アルゴリズムを使用してロックされていることを警告しています。暗号化されたファイルの名前を変更したり変更したりしないよう明確にアドバイスし、サードパーティの復号ツールの使用を控えるよう推奨しています。そのような行為は永久的なデータ損失につながる可能性があると主張しています。

さらに、顧客情報を含む企業の機密データが盗まれたと書かれています。アクセスを回復するには、被害者は身代金を支払うよう指示されます。攻撃者は、復号化が可能であることを証明するために、2 つまたは 3 つのファイルを無料で復号化することを申し出ます。ただし、72 時間の期限を設けており、期限を過ぎると身代金の額が増額されます。要求を無視すると、犯人は盗んだデータを漏洩または販売すると脅します。

身代金要求書には次のように書かれています。

YOUR PERSONAL ID:
-

Hello dear management,
All your important files have been encrypted!

Your files are safe! Only modified. (RSA+AES)

ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.

No software available on internet can help you. We are the only ones able to
solve your problem.

From your file storage, we have downloaded a large amount of confidential data of your company and personal data of your clients.
Data leakage will entail great reputational risks for you, we would not like that.
In case you do not contact us, we will initiate an auction for the sale of personal and confidential data.

After the auction is over, we will place the data in public access on our blog.
The link is left at the bottom of the note.

This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..

We only seek money and our goal is not to damage your reputation or prevent
your business from running.

You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.

Contact us for price and get decryption software.

email:
paul_letterman@zohomailcloud.ca
thomas_went@gmx.com

* To contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.

* Tor-chat to always be in touch:

ランサムウェア暗号化の背後にある現実

Lucky (MedusaLocker) のようなランサムウェアは、攻撃者の介入なしにファイルを復元することをほぼ不可能にするように設計されています。暗号化に欠陥があるまれなケースでのみ、身代金を支払わずにファイルを復号化できます。

しかし、被害者が身代金要求に応じることにしたとしても、攻撃者が復号ツールを提供してくれるという保証はありません。サイバー犯罪者は支払い後の被害者を無視することで知られており、身代金の支払いはリスクが高く、信頼できない解決策となります。さらに、彼らの要求に応じることはさらなる攻撃を助長するだけです。

データ損失とランサムウェア感染の防止

感染したシステムから Lucky ランサムウェアを削除することは、さらなる暗号化を防ぐために不可欠です。ただし、ランサムウェアを削除しても、ロックされたファイルは復元されません。最善の対策は、データのバックアップに頼ることです (バックアップが存在し、外部デバイスまたはクラウド サービスに安全に保存されている場合)。

ランサムウェアによるリスクを軽減するには、組織や個人は複数の場所にバックアップ コピーを保存する必要があります。これには、プライマリ システムに直接接続されていないオフライン ストレージ デバイスやクラウド サービスも含まれ、ランサムウェアによる破損を防ぎます。

ランサムウェアの拡散方法

Lucky (MedusaLocker) ランサムウェアは、同種の他の脅威と同様に、さまざまな配布方法を利用して被害者に到達します。フィッシング メールと欺瞞的なソーシャル エンジニアリング戦術が、依然として感染の主な手段となっています。

脅威アクターは、ランサムウェアを正規のソフトウェアに偽装し、実行可能ファイル (.exe)、ドキュメント ファイル (.docx、.pdf)、アーカイブ ファイル (.zip、.rar) などの一般的なファイル形式にバンドルすることがよくあります。これらの悪意のあるファイルは、スパム メール、侵害された Web サイト、偽のソフトウェア更新、違法なソフトウェア アクティベーション ツールを通じて拡散されます。

ランサムウェア攻撃に対する警戒を怠らない

感染の可能性を減らすには、ユーザーは Web を閲覧したり電子メールを扱ったりする際に注意する必要があります。疑わしい添付ファイルや埋め込まれたリンクは、信頼性が確認されない限り、決して開かないでください。

さらに、信頼できるソースからのみソフトウェアをダウンロードし、不正なソフトウェアの変更を避けることで、ランサムウェアの被害を大幅に減らすことができます。公式チャネルを通じてソフトウェアとオペレーティング システムを最新の状態に保つことで、ランサムウェアが悪用するセキュリティの抜け穴をさらに塞ぐことができます。

最後に

Lucky (MedusaLocker) ランサムウェアは、現代の暗号化ベースの脅威がもたらす危険性を象徴しています。重要なファイルへのアクセスを乗っ取り、データ漏洩の脅威にさらされることで、個人や組織は金銭的および運用上のリスクにさらされます。ただし、このような脅威の影響は、データのバックアップ、安全なブラウジング習慣、警戒の強化によって軽減できます。身代金要求に屈するのではなく、ユーザーは将来の攻撃からデータを保護するために、積極的なサイバーセキュリティ対策に重点を置く必要があります。