Presランサムウェア:ダルマファミリーからの危険な脅威
Table of Contents
Presランサムウェアを理解する
Presランサムウェアは、 Dharmaランサムウェアファミリーに新たに加わった脅威的なランサムウェアです。以前のランサムウェアと同様に、Presは被害者のファイルを暗号化し、復元と引き換えに身代金を要求します。この亜種が特に識別しやすいのは、暗号化されたファイルの名前を変更する方法です。各ファイル名に、被害者の固有ID、連絡先メールアドレス、そして「.pres」拡張子が追加されます。例えば、元々「document.pdf」というファイル名だったファイルは、暗号化後「document.pdf.id-9ECFA84E.[helpreserve@onionmail.org].pres」という名前になります。
Presはファイルを暗号化すると同時に、ポップアップの身代金要求メッセージを表示し、感染ディレクトリに「info.txt」というテキストファイルを配置します。このメッセージは、ファイルが暗号化されたことを被害者に伝え、メールで攻撃者に連絡するための手順を示します。被害者は、helpreserve@onionmail.org または helpreserve@cyberfear.com のいずれかのメールアドレスに、自分の固有IDを送信する必要があります。
攻撃者が望むもの
身代金要求のメッセージは、一見有益で安心感を与える内容になっています。被害者のファイルは復元可能であると主張し、証拠として最大3つの小さな非機密ファイルを無料で復号することを申し出ています。ただし、これらのサンプルファイルは合計3MBを超えてはならず、バックアップ、データベース、または大きなスプレッドシートを含めることはできません。また、ファイル名の変更やサードパーティ製の復元ツールの使用は、回復不能な損害を引き起こす可能性があると警告しています。
典型的な心理操作戦術として、攻撃者は身代金の額が上がる可能性があるとして、第三者を介さないよう勧めます。これは、被害者を孤立させ、身代金を支払っても復号ツールを受け取れないリスクが高いにもかかわらず、攻撃者の約束への信頼を高めることを目的としています。
身代金要求書には次のように記載されています。
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: helpreserve@onionmail.org YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:helpreserve@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Presやその他のランサムウェアプログラムの仕組み
Presのようなランサムウェアは、強力なアルゴリズムでユーザーのデータを暗号化し、人質に取るように設計されています。暗号化されると、攻撃者だけが持つ固有の鍵で復号しない限り、ファイルは使用できなくなります。被害者は通常、身代金を支払って攻撃者が約束を守ることを期待するか、他の手段で復旧を試みるという難しい選択を迫られます。
Presランサムウェアは、ファイルの暗号化だけにとどまりません。Windowsのバックアップに使用されるボリュームシャドウコピーを削除し、検出を回避するためにファイアウォールを無効化し、システム内の隠し場所に自身をコピーしてWindowsレジストリを改変することで、ランサムウェアの持続性を維持しようとします。これらの戦術は、システムの再起動後もランサムウェアが動作し、削除を阻止することを目的としています。
身代金を支払うことのリスク
身代金を支払うことが復旧への最速の道のように思えるかもしれませんが、それは確実な見返りのないギャンブルです。攻撃者は身代金を受け取った後、姿を消したり、不完全な、あるいは不完全な復号鍵を提供したりする可能性があります。さらに、身代金を支払うことは、さらなるサイバー犯罪活動を助長し、ランサムウェアの収益性を高め、攻撃者にとって魅力的なものにしてしまうのです。
ほとんどの場合、バックアップや公式の復号ツールなしでの復旧は非常に困難です。残念ながら、接続されたデバイスや感染したデバイスに保存されたバックアップも侵害される可能性があります。そのため、コピーを電源から取り外した外付けドライブや安全なクラウドサービスに保存するなど、効果的なバックアップ対策が不可欠です。
Presランサムウェアの拡散方法
Presランサムウェア感染は、 リモートデスクトッププロトコル(RDP)のセキュリティが脆弱なことが原因であることが一般的です。サイバー犯罪者は、保護が不十分なRDPサービスを悪用し、ブルートフォース攻撃や辞書攻撃を用いて不正アクセスを試みます。侵入後、ランサムウェアを手動で展開します。
その他の感染方法としては、悪意のある添付ファイルやリンクを含むフィッシングメール、信頼できないサイトからのドライブバイダウンロード、マルウェアがバンドルされた海賊版ソフトウェア、欺瞞的な広告などが挙げられます。また、P2Pネットワークや偽のソフトウェア更新プロンプトを通じてランサムウェアに遭遇する可能性もあります。マルウェアは通常、正規のプログラムや文書を装い、ユーザーを騙して感染させます。
保護を維持する方法
Presのようなランサムウェアの被害を防ぐには、賢明なオンライン行動と堅実なサイバーセキュリティ対策が不可欠です。非公式ウェブサイトからのソフトウェアのダウンロードは避け、海賊版プログラムやキージェネレーターは使用せず、見慣れないOfficeドキュメントではマクロを有効化しないでください。特に、不明なソースからのメールの添付ファイルやリンクには、緊急性や重要性が高そうに見えても、十分に注意しましょう。
既知の脆弱性を修正するため、オペレーティングシステムとソフトウェアを定期的にアップデートしてください。リアルタイム保護機能を備えた信頼できるウイルス対策ツールを使用してください。重要なデータは頻繁にバックアップし、安全なネットワークから隔離された場所に保管してください。
最後に
Presランサムウェアは、現代のランサムウェアの脅威がいかに巧妙で破壊的になっているかを示すもう一つの例です。技術的なステルス性とソーシャル操作を組み合わせ、被害者に身代金を支払わせようとしますが、ファイルの復元すら不可能な場合もあります。常に警戒を怠らず、サイバーセキュリティのベストプラクティスを遵守し、安全なバックアップを維持することで、ユーザーや組織は、こうしたデジタル恐喝スキームに巻き込まれるリスクを大幅に軽減できます。
