DARKKUR ランサムウェアは被害者のシステムを暗号化する
DARKKUR は、データを暗号化し、復号化プロセスと引き換えに身代金を要求するランサムウェアの一種です。この特定の種類のマルウェアは、暗号化されたファイルに被害者固有の一意の ID、サイバー犯罪者の電子メール アドレス、および拡張子を付加することにより、そのファイル名を変更します。
使用される拡張子はランサムウェアの亜種によって異なり、「.timecrystal1」、「.DARKKUR1」、「.DarkCrypt」などの拡張子が含まれる場合があります。たとえば、私たちのマシンでのテスト中、拡張子「.timecrystal1」を持つ亜種は、「1.jpg」という名前のファイルを「1.jpg.[AE3419DE[TimeCrystal@zohomail.eu].timecrystal1」に変換しました。
暗号化手順が完了すると、DARKKUR は身代金メモを 2 つの形式で生成して表示します。「info.hta」というラベルのポップアップ ウィンドウと「ReadMe.txt」という名前のテキスト ファイルです。これらの身代金メモは同じ情報を伝えますが、表現が異なります。彼らは、ファイルが暗号化されており、ロックされたデータへのアクセスを取り戻す唯一の方法は、攻撃者から必要な復号化キー/ツールを購入することであることを被害者に通知します。
どちらのメッセージでも身代金の額は明記されていないが、どちらも暗号通貨ビットコインを使って支払わなければならないことを強調している。被害者は、支払いを行う前に、特定の仕様に従って 2 つの暗号化ファイルをサイバー犯罪者に送信し、復号プロセスをテストするオプションを選択できます。
さらに、身代金には、影響を受けるファイルを変更したり、サードパーティの復号ツールを使用したりすることは、永久的なデータ損失につながる可能性があるため、行わないよう注意する旨が記載されています。
DARKKURの身代金メモは2つのファイルの復号を約束
DARKKUR 身代金メモの全文は次のとおりです。
あなたのファイルはすべて DARKKUR によって暗号化されています。
PC のセキュリティ上の問題が原因です。それらを復元したい場合は、電子メール TimeCrystal@skiff.com までご連絡ください。
メッセージのタイトルにこの ID を記入してください:-
24 時間以内に応答がない場合は、次の電子メールにご連絡ください:TimeCrystal@zohomail.eu
復号化にはビットコインで支払う必要があります。価格は、どれだけ早く私たちに書いていただくかによって決まります。お支払い後、すべてのファイルを復号化するツールをお送りします。無料の復号化を保証
支払いの前に、無料の復号化のために最大 2 つのファイルを送信してください。ファイルの合計サイズは 4Mb 未満 (非アーカイブ) である必要があり、ファイルには貴重な情報が含まれていてはなりません。 (データベース、バックアップ、大きな Excel シートなど)ビットコインの入手方法
ビットコインを購入する最も簡単な方法は、LocalBitcoins サイトです。登録して「ビットコインを購入」をクリックし、支払い方法と価格で販売者を選択する必要があります。
hxxps://localbitcoins.com/buy_bitcoins
また、ビットコインを購入できる他の場所や初心者ガイドもここで見つけることができます。
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/注意!
暗号化されたファイルの名前を変更しないでください。
サードパーティのソフトウェアを使用してデータを復号化しようとしないでください。データが永久に失われる可能性があります。
サードパーティの助けを借りてファイルを復号化すると、料金が上昇したり(サードパーティの料金が当社の料金に追加されたり)、詐欺の被害者になる可能性があります。
DARKKUR のようなランサムウェア ペイロードは通常どのように配布されますか?
DARKKUR のようなランサムウェア ペイロードは通常、さまざまな方法で配布され、サイバー犯罪者は到達範囲を最大化し、多数のシステムに感染する戦術を採用します。一般的な配布方法には次のようなものがあります。
- フィッシングメール: サイバー犯罪者は、評判の高い組織や個人からの正規のメッセージを装ったフィッシングメールを送信することがよくあります。これらの電子メールには、感染したドキュメントや実行可能ファイルなどの悪意のある添付ファイルが含まれている場合や、ランサムウェア ペイロードのダウンロードにつながる悪意のあるリンクが含まれている場合があります。
- 悪意のあるダウンロード: ランサムウェアは、侵害された Web サイトまたは悪意のある Web サイトからの悪意のあるダウンロードを通じて配布される可能性があります。これには、偽のソフトウェア アップデート、クラックされたソフトウェア、海賊版コンテンツ、または信頼できないソースからのダウンロードが含まれる可能性があります。
- エクスプロイト キット: サイバー犯罪者は、Web ブラウザなどの一般的なアプリケーションのソフトウェアの脆弱性を利用して、ランサムウェア ペイロードを配布します。彼らは、これらの脆弱性を特定して悪用する自動ツールであるエクスプロイト キットを使用し、被害者の知らないうちにマルウェアをダウンロードして被害者のシステムに実行できるようにします。
- リモート デスクトップ プロトコル (RDP) 攻撃: ランサムウェア攻撃者は、リモート デスクトップ プロトコル (RDP) 接続が弱いか、設定が不十分なシステムを標的にする可能性があります。システムへの不正アクセスを取得すると、ランサムウェア ペイロードを手動でインストールして実行できます。
- マルバタイジング: サイバー犯罪者は、悪意のある広告 (マルバタイジング) を利用してランサムウェアを配布します。これらは正規のオンライン広告に悪意のあるコードを挿入し、クリックするとランサムウェア ペイロードをホストする Web サイトにユーザーをリダイレクトします。
- ドライブバイ ダウンロード: この方法では、侵害された Web サイトを通じてランサムウェアが配信されます。ユーザーが感染した Web サイトにアクセスすると、ユーザーが操作したり認識したりすることなく、ランサムウェア ペイロードが自動的にダウンロードされ、システム上で実行されます。
これらはランサムウェアの配布に使用される一般的な方法の一部にすぎないことに注意することが重要です。攻撃者は常に技術を進化させ、ランサムウェアを配布し、脆弱なシステムに感染する可能性を最大限に高めるための新しい手段を模索しています。したがって、ランサムウェア攻撃の被害に遭うリスクを最小限に抑えるために、注意を払い、最新のセキュリティ ソフトウェアを維持し、適切なサイバーセキュリティ衛生を実践することが重要です。
