現金ランサムウェアを阻止および削除する方法

サイバー脅威の状況に、Cash Ransomware と呼ばれる新たな脅威が加わりました。この悪意のあるプログラムは、Cash RAT (リモート アクセス トロイの木馬) や MintStealer と同じ脅威アクターによって開発され、データを暗号化して復号化のために支払いを要求するように設計されています。Cash Ransomware は、暗号化されたファイルのファイル名に「.CashRansomware」拡張子を追加し、「1.jpg」を「1.jpg.CashRansomware」に、「2.png」を「2.png.CashRansomware」に変換します。

身代金要求書の詳細

Cash Ransomware は、デスクトップの壁紙、ポップアップ ウィンドウ、および「Cash Ransomware.html」という名前の HTML ファイルという 3 つの身代金要求メッセージを作成します。これらのメッセージは、見た目は異なりますが、同じ重要な情報を伝えます。

• ファイルが暗号化されたことを通知します。
• データを復号化するために身代金の支払いを要求します。
• データの回復を妨げる可能性のある行為に対する警告。

メッセージには、ファイルが XChaCha20、Poly1305、および AES-256-GCM 暗号化アルゴリズムを使用して暗号化されたことが明記されています。被害者は、復号化のために 80 ドルの Monero (XMR) 暗号通貨を支払うよう指示されています。さらに、デバイスを再起動したり、ウイルス対策プログラムを実行したりしないよう警告されています。これらの操作を行うと、ファイルが永久に復号化できなくなる可能性があります。また、交渉や復旧作業の妨げになる可能性があるため、ネットワークから切断することも推奨されません。

Cash Ransomware のメモは次のようになります。

Cash RANSOMWARE

YOUR FILES
ARE ENCRYPTED
BY CASH RANSOMWARE

What happend?

Dear -, We regret to inform you that your files have been compromised by the insidious Cash Ransomware program. This ruthless malware has infiltrated your system, encrypting your precious data and holding it hostage until its demands are met. Below are the chilling details of this dire situation:

Rapid scanning of your storage drives has been executed, leaving no corner untouched by the malicious claws of Cash Ransomware.
Utilizing the advanced XChaCha20 encryption algorithm, your files have been ensnared with unbreakable tags and a deadly combination of Poly1305 or AES-256-GCM, meticulously chosen by the ransomware's constructors to ensure maximum devastation.
To further fortify its grip on your data, Cash Ransomware employs a hybrid bulletproof encryption technique, rendering any attempts at decryption futile against its impenetrable defenses.
Files bearing specific extensions have been singled out for priority encryption, ensuring that your most critical data is held captive, intensifying the fear and desperation of your predicament.
As a final blow to any hopes of recovery, Cash Ransomware deploys a double-key encryption mechanism, thwarting any attempts at deception or circumvention, leaving you no recourse but to comply with its demands.
In light of this harrowing situation, we implore you to refrain from taking any actions that may exacerbate the damage and worsen your plight:

Do not download antivirus software: Any attempts to combat Cash Ransomware with conventional means will only serve to alert its creators, potentially triggering further encryption or irreversible data loss.
Do not disconnect from the network: Isolation will not shield you from the relentless reach of Cash Ransomware; instead, it may hinder potential avenues of negotiation or resolution.
Do not reboot your systems: Restarting your devices could disrupt ongoing encryption processes, rendering your files irretrievable and sealing your fate in the clutches of this merciless malware.
We understand the gravity of your situation and stand ready to assist you in navigating this crisis. However, time is of the essence, and decisive action is imperative to mitigate the extent of the damage inflicted by Cash Ransomware.

How to decrypt my files?

Your files are heavily encrypted, and none can be decrypted without the decryption key.
To obtain the decryption key, you need to make a payment to the specified amount to the XMR / Monero wallet.
Once you've made the payment, you should contact the attackers via email or Telegram to receive the decryption key.
After receiving the decryption key, you need to input it into the decryption panel in Cash.
Once you hit the decryption button, your files will be decrypted.

現金ランサムウェア分析

ランサムウェア感染の広範な調査経験から、攻撃者の関与なしに復号化することはほとんど不可能であることが明らかです。身代金を支払ってもデータの回復が保証されるわけではありません。サイバー犯罪者は要求が満たされた後でも復号化キーを提供しないことが多いからです。したがって、身代金要求に応じることは犯罪行為を助長するだけなので、強くお勧めしません。

興味深いことに、Cash Ransomware が要求する身代金の額は比較的低く、これは疑わしいものです。ランサムウェアは通常、家庭ユーザーに対して 3 桁から 4 桁の金額 (米ドル) を要求します。身代金が異常に低い場合、攻撃者は被害者に復旧ツールを送信しない可能性があり、これはランサムウェアが収益の創出や新しいソフトウェア/技術のテストに使用されている可能性があることを示唆しています。

緩和と予防

さらなる暗号化を防ぐには、Cash Ransomware をオペレーティング システムから削除する必要があります。ただし、これではすでに影響を受けたファイルは復元されません。復元はバックアップからのみ可能です。複数の場所 (リモート サーバー、接続されていないストレージ デバイスなど) にバックアップを維持することが重要です。

注目すべきランサムウェアの例

LockBit 5、Risen、Cronus、Lynx、HorrorDead は最近のランサムウェアの例で、いずれもデータを暗号化し、復号化のために金銭を要求するという点で同じように機能します。ランサムウェア プログラムは、主に、使用される暗号化アルゴリズム (対称または非対称) と身代金の額が異なり、身代金の額はターゲット (個人ユーザーと企業や組織などの大規模な組織) によって異なります。

感染ベクター

Cash Ransomware は RaaS (Ransomware-as-a-Service) として提供されており、開発者がサイバー犯罪者に販売しています。そのため、拡散方法はさまざまです。一般的に、マルウェアはフィッシングやソーシャル エンジニアリングの手法で拡散され、正規のコンテンツに偽装したり、正規のコンテンツとバンドルされたりします。悪意のあるファイルは実行ファイル、アーカイブ、ドキュメント、JavaScript などであり、感染したファイルを開くとダウンロード/インストール チェーンがトリガーされます。

一般的なマルウェア配布手法には次のようなものがあります。

• ローダー/バックドア型のトロイの木馬。
• ドライブバイダウンロード。
• 疑わしいダウンロードソース (例: フリーウェア サイト、P2P ネットワーク)。
• スパムメール内の悪意のある添付ファイル/リンク。
• オンライン詐欺。
• 違法なソフトウェアアクティベーション（「クラッキング」）ツール。
• 偽のアップデート。

さらに、一部のマルウェアは、ローカル ネットワークやリムーバブル ストレージ デバイスを介して自己拡散する可能性があります。

保護対策

ランサムウェア感染から保護するには:

• 公式かつ検証済みのチャネルからのみダウンロードしてください。
• 正規の機能/ツールを使用してプログラムをアクティブ化および更新します。
• 受信した電子メールやメッセージは慎重に扱ってください。
• 疑わしい添付ファイルやリンクを開かないようにしてください。
• 詐欺的なコンテンツを避けるために、閲覧中は注意を払ってください。
• 信頼できるウイルス対策ソフトウェアをインストールし、定期的に更新してください。
• 定期的にシステムスキャンを実行して脅威を検出し、削除します。

コンピュータが Cash Ransomware に感染している場合は、マルウェア対策プログラムでスキャンを実行して、脅威を自動的に除去することをお勧めします。これらのベスト プラクティスに従って、安全を確保し、データを保護してください。