Alock ランサムウェアがシステムをロックする
私たちの研究グループは、提出された新しいファイル サンプルの定期的な評価中に、Alock として知られる一種のランサムウェアを発見しました。このランサムウェアの亜種は、MedusaLocker ランサムウェア ファミリにリンクされています。
私たちのテスト環境では、Alock ランサムウェアはファイルを暗号化し、ファイル名を「.alock」拡張子で変更することで動作しました。たとえば、最初は「1.jpg」というラベルが付けられていたファイルは、暗号化後は「1.jpg.alock」になり、このパターンはロックされたすべてのファイルに拡張されました。
暗号化手順の完了後、「HOW_TO_BACK_FILES.html」という名前の身代金メモが生成されました。このメッセージの内容から、Alock が個人ユーザーではなく主に組織をターゲットにしていることが明らかになりました。さらに、このランサムウェアは二重の恐喝を伴う戦略を採用しています。
身代金メモ (「HOW_TO_BACK_FILES.html」) は、企業ネットワークが侵害されたことを被害者に伝えました。重要なファイルが暗号化され、機密データや個人データが盗まれていました。
ファイルの暗号化には RSA や AES などの暗号アルゴリズムが使用されており、攻撃者の介入なしにファイルを復号化することは不可能でした。被害者には、暗号化されたデータを変更したり名前を変更したり、サードパーティのソフトウェアを使用してデータを回復しようとすると、永久的な復号化が失敗する可能性があると警告されました。
このメモでは、復号化を開始するには身代金を支払う必要があり、72 時間以内にサイバー犯罪者に連絡できなかった場合、要求額が増加する可能性があることが明確にされています。身代金の要求に応じる前に、被害者にはいくつかのファイルの復号化をテストするオプションがありました。被害者が支払いを拒否した場合、侵害された情報は暴露されるか、売りに出されます。
Alock身代金メモ、3日以内に身代金要求を引き上げる
Alockの身代金メモの全文は次のとおりです。
あなたの個人ID:
あなたの会社のネットワークが侵入されました
重要なファイルはすべて暗号化されています。ファイルは安全です!改造のみ。 (RSA+AES)
サードパーティ製ソフトウェアを使用してファイルを復元しようとする試み
それを永久に破壊します。
暗号化されたファイルは変更しないでください。
暗号化されたファイルの名前は変更しないでください。インターネット上で入手できるソフトウェアは役に立ちません。それができるのは私たちだけです
あなたの問題を解決してください。私たちは機密性の高い個人データを収集しました。これらのデータは現在、次の場所に保存されています。
プライベートサーバー。このサーバーは支払い後すぐに破棄されます。
あなたが支払いをしないことに決めた場合、私たちはあなたのデータを一般公開または再販者に公開します。
したがって、近い将来、データが一般公開されることが期待できます。私たちは金銭のみを求めており、お客様の評判を傷つけたり、妨害したりすることが目標ではありません。
ビジネスの運営を妨げます。重要でないファイルを 2 ~ 3 個送っていただければ、無料で復号化します。
ファイルを返却できることを証明するためです。価格や復号化ソフトウェアについては、お問い合わせください。
qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
このサーバーは Tor ブラウザ経由でのみ利用できることに注意してください
指示に従ってリンクを開きます。
- インターネット ブラウザにアドレス「hxxps://www.torproject.org」を入力します。 Tor サイトが開きます。
- 「Download Tor」を押してから、「Download Tor Browser Bundle」を押して、インストールして実行します。
- これで Tor ブラウザができました。 Tor ブラウザで qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion を開きます。
- チャットを開始し、以降の指示に従います。
上記のリンクを使用できない場合は、次の電子メールを使用してください。
ithelp02@securitymy.name
ithelp02@yousheltered.com私たちに連絡するには、サイト protonmail.com で新しい無料メール アカウントを作成してください。
72時間以内にご連絡がない場合、価格は高くなります。
Alock のようなランサムウェアはどのようにしてコンピュータに侵入するのでしょうか?
Alock のようなランサムウェアは、さまざまな方法や攻撃ベクトルを通じてコンピュータに侵入する可能性があります。ランサムウェアがシステムにアクセスする一般的な方法は次のとおりです。
- フィッシングメール: 最も一般的な手法の 1 つは、フィッシングメールによるものです。攻撃者は、信頼できるエンティティを装ったり、魅力的な件名や添付ファイルを含む、正規のように見える電子メールを送信します。これらの添付ファイルには、クリックされるとランサムウェアをダウンロードして実行する悪意のあるペイロードまたはリンクが含まれている可能性があります。
- 悪意のある Web サイトとダウンロード: 侵害された Web サイトや悪意のある Web サイトにアクセスすると、ランサムウェアに感染する可能性があります。場合によっては、攻撃者はブラウザやプラグインの脆弱性を利用するエクスプロイト キットを使用して、ユーザーの知らないうちにランサムウェアを配布することがあります。
- マルバタイジング: 攻撃者は正規のオンライン広告に悪意のあるコードを挿入し、ランサムウェアをホストする Web サイトにユーザーをリダイレクトする可能性があります。侵害された広告をクリックするだけで、ランサムウェアのダウンロードと実行が引き起こされる可能性があります。
- 感染したソフトウェア インストーラー: 犯罪者は、正規のソフトウェア インストーラーを侵害し、ランサムウェア ペイロードをバンドルする可能性があります。ユーザーがこれらの感染したアプリケーションをダウンロードしてインストールすると、ランサムウェアがアクティブ化されます。
- リモート デスクトップ プロトコル (RDP) 攻撃: コンピューターで RDP が有効になっており、セキュリティが不十分な場合、攻撃者は弱いパスワードや脆弱性を悪用してリモート アクセスを取得し、ランサムウェアをインストールする可能性があります。
- ソフトウェアの脆弱性: ランサムウェアは、オペレーティング システム、ソフトウェア、またはアプリケーションの既知の脆弱性を悪用する可能性があります。最新のセキュリティ パッチを適用してソフトウェアを最新の状態に保つことで、このリスクを軽減できます。
- ソーシャル エンジニアリング: 攻撃者はユーザーを操作して、ランサムウェアを自発的にダウンロードして実行させる可能性があります。これには、正規のソフトウェア アップデートまたはファイルのように見えるものをインストールさせるよう騙すことが含まれる可能性があります。
- 悪意のある電子メールの添付ファイル: 電子メールの添付ファイルには、添付ファイルを開いたときにランサムウェアを実行するマクロまたはスクリプトが含まれている可能性があります。これはランサムウェアを配布する一般的な方法です。
