Buhti ランサムウェアは Windows と Linux の両方を実行している被害者を狙う
Buhti は、Windows と Linux システムの両方をターゲットとするランサムウェアの一種です。 Buhti ランサムウェア ペイロードは主に Windows コンピュータに焦点を当てており、以前に漏洩した LockBit 3.0 ランサムウェアに若干の調整を加えた亜種ですが、漏洩した Babuk ランサムウェアを利用して Linux システムを攻撃するように特別に設計された修正バージョンもあります。
Buhti がシステムに感染すると、ファイルが暗号化され、元のファイル名がランダムな文字列に置き換えられます。さらに、被害者の ID が暗号化された各ファイルの新しい拡張子として追加されます。たとえば、元々「1.jpg」という名前のファイルは「4G8of7O.fxkJts2wg」に変換され、「2.png」は「HePwiFM.fxkJts2wg」などに変換されます。この暗号化プロセスと並行して、Buhti は「[victim's_ID].README.txt」という名前の身代金メモも投下します。
身代金メモには、被害者のファイルは堅牢な暗号化アルゴリズムを使用して暗号化されており、被害者が独自にデータを復号化することは事実上不可能であると説明されています。ただし、このメモでは、被害者がファイルを回復するために利用できる解決策があると主張しています。それは、復号化プログラムとして知られる特別なプログラムを購入することです。身代金要求者は、この復号化ソフトウェアが徹底的なテストを受けており、データを正常に復元できることを被害者に安心させます。
このメモでは、暗号化されたファイルへのアクセスを取り戻すために、Web ブラウザを使用して特定の Web サイトにアクセスするよう被害者に指示しています。次に、有効な電子メール アドレスを入力するように求められます。このアドレスは、支払い後に復号化ツールのダウンロード リンクを受け取るために使用されます。身代金の支払いはビットコインで要求され、被害者には取引用の特定のビットコイン アドレスが提供されます。
支払いが完了すると、被害者はダウンロード ページへのリンクを含む電子メールを受け取ります。このページには、復号化プログラムを使用してファイルを復元する方法に関する詳細な手順が含まれています。身代金メモでは、ファイルを独自に変更したり回復を試みたりすることの潜在的なリスクを強調し、そのような行為では暗号化されたデータを正常に復元できないと主張しています。
Buhti の身代金メモがビットコインの支払いを要求
Buhti の身代金メモの全文は次のとおりです。
buhtiRansom へようこそ
何が起こった?
ファイルは暗号化されています。当社では強力な暗号化アルゴリズムを使用しているため、データを復号化することはできません。
ただし、特別なプログラムであるユニバーサル復号化プログラムを購入することで、すべてを復元できます。このプログラムはすべてのファイルを復元します。
以下の手順に従ってください。すべてのデータを復元できます。何を保証しますか?
私たちは評判を大切にしています。私たちが仕事と責任を果たさなければ、誰も私たちにお金を払ってくれません。これは私たちの利益にはなりません。
当社のすべての復号化ソフトウェアは完全にテストされており、データを復号化します。アクセスするにはどうすればよいですか?
ブラウザの使用:
1) ウェブサイトを開きます: hxxps://Satoshidisk.com/pay/CIGsph
2) 支払い後にダウンロードリンクを受け取るための有効なメールアドレスを入力してください。
3) ビットコインアドレスに金額を支払います。
4) ダウンロード ページへのリンクを電子メールで受け取ります。
5) 復号化命令が含まれています。!!!危険 !!!
自分でファイルを変更したり、回復しようとしたりしないでください。復元することはできません。
!!!危険 !!!
Buhti のようなランサムウェアはどのようにオンラインで配布されるのでしょうか?
Buhti のようなランサムウェアは通常、脆弱性を悪用したり、ソーシャル エンジニアリング戦術を採用したりするさまざまな方法でオンラインで配布されます。 Buhti のようなランサムウェアで使用される一般的な配布チャネルと手法をいくつか示します。
- フィッシングメール: 一般的な手法の 1 つは、フィッシングメールによるものです。攻撃者は、信頼できる組織や個人になりすまし、正規のように見せかけた詐欺メールを送信します。これらの電子メールには、悪意のある実行可能ファイルやマクロ マルウェアが埋め込まれたドキュメントなど、感染した添付ファイルが含まれている可能性があります。これらの添付ファイルを開くと、ランサムウェアのインストール プロセスがトリガーされます。
- 悪意のある Web サイトとドライブバイ ダウンロード: サイバー犯罪者は、ランサムウェアを配布するために悪意のある Web サイトを作成したり、正規の Web サイトを侵害したりする可能性があります。疑いを持たないユーザーは、これらのサイトにアクセスしたり、侵害されたリンクをクリックしたりすることで、知らずにランサムウェアをダウンロードしてしまう可能性があります。ドライブバイ ダウンロードは、ユーザーの同意や知識なしにマルウェアが自動的にダウンロードされるときに発生します。
- エクスプロイト キット: ランサムウェアは、ソフトウェアまたは Web ブラウザーの脆弱性を利用するツールキットであるエクスプロイト キットを使用して配信されます。ユーザーが侵害された Web サイトにアクセスするか、悪意のある広告をクリックすると、エクスプロイト キットが脆弱性をスキャンし、ランサムウェア ペイロードを配信します。
- リモート デスクトップ プロトコル (RDP) 攻撃: 攻撃者は、リモート デスクトップ プロトコル接続が公開されているか、セキュリティが脆弱なシステムをターゲットにします。彼らはブルートフォース攻撃を利用してシステムに不正アクセスし、ランサムウェアをインストールします。
- 悪意のある広告 (マルバタイジング): 悪意のある広告、つまりマルバタイジングは、正規の Web サイトや広告ネットワークで見つかることがあります。これらの広告には、ランサムウェアをホストする Web サイトにユーザーをリダイレクトしたり、自動ダウンロードをトリガーしたりする隠しスクリプトが含まれています。
- ファイル共有ネットワークと海賊版ソフトウェア: ファイル共有ネットワークからダウンロードされた違法またはクラックされたソフトウェアには、ランサムウェアまたはその他のマルウェアがバンドルされていることがよくあります。料金を支払わずにソフトウェアやメディアを入手しようとするユーザーは、誤ってランサムウェアをインストールしてしまう危険があります。
- ソフトウェアの脆弱性の悪用: ランサムウェアの作成者は、オペレーティング システム、アプリケーション、またはネットワーク サービスの脆弱性を悪用します。パッチが適用されていないソフトウェアや古いソフトウェアをターゲットにすることで、不正アクセスを取得し、ランサムウェア ペイロードを展開する可能性があります。
ランサムウェア攻撃の被害に遭うリスクを最小限に抑えるためには、セキュリティ ソフトウェアを最新の状態に維持し、ソフトウェアのパッチとアップデートを定期的に適用し、電子メールの添付ファイルを開いたり不審なリンクをクリックするときに注意し、強力で固有のパスワードを使用することが重要です。