BuSaveLock ランサムウェアはファイルを暗号化します

私たちの研究チームは最近、MedusaLocker ファミリに属する BuSaveLock と呼ばれるランサムウェアの亜種を発見しました。その主な目的は、ファイルを暗号化し、復号化と引き換えに支払いを要求することです。さらに、BuSaveLock には身代金メモ (「How_to_back_files.html」) が組み込まれ、ファイル名が変更されます。

ファイルの名前を変更するには、BuSaveLock は元のファイル名に「.busavelock」拡張子とともに特定の番号を追加します。拡張機能内の番号は、BuSaveLock の特定のバリアントによって異なります。たとえば、元々「1.jpg」という名前のファイルは「1.jpg.busavelock53」に変更され、「2.png」は「2.png.busavelock53」というようになります。

付随する身代金メモは、すべての重要なファイルが RSA および AES 暗号化方式を使用して暗号化されていることを被害者に通知します。サードパーティのソフトウェアを使用してファイルを復元しようとすると、ファイルが永久に破損する可能性があるため、そのような試みを行わないことを強く推奨しています。さらに、このメモでは、暗号化されたファイルを変更したり名前を変更したりしないよう被害者に指示しています。

身代金メモでは、インターネット上で入手可能なソフトウェアは問題の解決に役立つものではないと大胆に主張し、攻撃者がファイルを復号化する独占的な能力を持っていることを強調しています。さらに、攻撃者は現在プライベートサーバーに保存されている非常に機密性の高い個人データにアクセスしたと述べています。被害者が支払いを拒否した場合、攻撃者はデータを公開するか、他の当事者に販売すると脅迫します。

このメモでは、暗号化されたファイルを復元する能力を実証するために、サイバー犯罪者が 2 ～ 3 個の重要でないファイルを無料で復号化すると申し出ていると述べています。このメモには、ithelp11@securitymy.name と ithelp11@yousheltered.com の 2 つの電子メール アドレスを含む、連絡先の詳細が記載されています。

身代金メモは、72 時間以内に攻撃者に連絡できなかった場合、復号ソフトウェアの価格が上昇するという警告で結ばれています。

BuSaveLock 身代金メモは盗難情報の漏洩を脅かす

BuSaveLock 身代金メモの全文は次のとおりです。

あなたの個人ID:

あなたの会社のネットワークが侵入されました
重要なファイルはすべて暗号化されています。

ファイルは安全です!改造のみ。 (RSA+AES)

サードパーティ製ソフトウェアを使用してファイルを復元しようとする試み
それを永久に破壊します。
暗号化されたファイルは変更しないでください。
暗号化されたファイルの名前を変更しないでください。

インターネット上で入手できるソフトウェアは役に立ちません。それができるのは私たちだけです
あなたの問題を解決してください。

私たちは機密性の高い個人データを収集しました。これらのデータは現在、次の場所に保存されています。
プライベートサーバー。このサーバーは支払い後すぐに破棄されます。
あなたが支払いをしないことに決めた場合、私たちはあなたのデータを一般公開または再販者に公開します。
したがって、近い将来、データが一般公開されることが期待できます。

私たちは金銭のみを求めており、お客様の評判を傷つけたり、妨害したりすることが目標ではありません。
ビジネスの運営を妨げます。

重要でないファイルを 2 ～ 3 個送っていただければ、無料で復号化します。
ファイルを返却できることを証明するためです。

価格や復号化ソフトウェアについては、お問い合わせください。

Eメール：
ithelp11@securitymy.name
ithelp11@yousheltered.com

• 私たちに連絡するには、サイト protonmail.com で新しい無料メール アカウントを作成してください。
  72時間以内にご連絡がない場合、価格は高くなります。

BuSaveLock のようなランサムウェアはどのようにしてシステムに侵入するのでしょうか?

BuSaveLock のようなランサムウェアは、次のようなさまざまな方法でシステムに侵入します。

電子メールの添付ファイル:一般的な方法の 1 つは、悪意のある電子メールの添付ファイルによるものです。ハッカーはランサムウェアを文書や PDF などの一見無害なファイルに偽装し、電子メールの添付ファイルとして送信します。知らずに添付ファイルを開いてダウンロードすると、システム上でランサムウェアが実行されます。

悪意のあるリンク:ランサムウェアは、感染した Web サイトへのリンクを含むフィッシングメールやメッセージを通じて配布されることもあります。これらのリンクをクリックすると、システム上にランサムウェアがダウンロードされ、実行される可能性があります。

エクスプロイト キット:サイバー犯罪者は、古いソフトウェアやオペレーティング システムの脆弱性を悪用する可能性があります。エクスプロイト キットを使用すると、侵害された Web サイトにアクセスしたり、悪意のある広告をクリックしたりしたときに、システムにランサムウェアが自動的に配信されます。

悪意のあるダウンロード:ランサムウェアは、信頼できない Web サイトまたは侵害された Web サイトからの一見無害なダウンロードの中に隠れている可能性があります。これには、ソフトウェア クラック、キー ジェネレーター、または意図したダウンロードにランサムウェア ペイロードがバンドルされている海賊版コンテンツが含まれる場合があります。

リモート デスクトップ プロトコル (RDP) の脆弱性:システムでリモート デスクトップ プロトコルが有効になっており、脆弱な資格情報または侵害された資格情報でインターネット経由でアクセスできる場合、攻撃者はこれらの脆弱性を悪用して不正アクセスを取得し、ランサムウェアをインストールする可能性があります。

マルバタイジング:マルバタイジングとも呼ばれる悪意のある広告が、正規の Web サイトに表示されることがあります。これらの広告には、クリックするとランサムウェアのダウンロードとインストールを引き起こす可能性のある悪意のあるコードが含まれている可能性があります。

ドライブバイ ダウンロード:ランサムウェアは、ドライブバイ ダウンロードを通じて配布されることもあります。ドライブバイ ダウンロードは、侵害された Web サイトにアクセスすると、ユーザーの知らないうちに、またはユーザーの操作なしに自動的にランサムウェアをダウンロードして実行します。