ディープ ランサムウェアがシステムをロックする
当社の研究者は、最近提出されたファイルを確認しているときに、Phobos ランサムウェア ファミリに属する Deep として知られるランサムウェア プログラムを発見しました。 Deep (Phobos) は、データを暗号化し、復号化キーと引き換えに支払いを要求することで機能します。
私たちのテスト システムでは、このランサムウェアはファイルを暗号化し、その名前を変更しました。元のファイル名は、被害者に割り当てられた一意の識別子、サイバー犯罪者の電子メール アドレス、および「.deep」拡張子で拡張されました。たとえば、最初に「1.jpg」という名前だったファイルは、「1.jpg.id[9ECFA84E-3352].[captain-america@tuta.io].deep」と表示されます。
暗号化プロセスが完了すると、身代金メモが作成され、「info.hta」というラベルの付いたポップアップ ウィンドウと「info.txt」という名前のテキスト ファイルの両方に表示されました。
Deep (Phobos) ランサムウェアに関連付けられたテキスト ファイルには、被害者のファイルが暗号化されていることが記載されており、復号化の支援が必要な場合は攻撃者に連絡するよう促しています。
ポップアップ ウィンドウには、ランサムウェア感染に関する追加情報が表示され、ビットコイン暗号通貨で身代金を支払うことによってのみデータを回復できることが説明されます。被害者は、支払いを行う前に、特定の仕様に従って最大 3 つの暗号化されたファイルをサイバー犯罪者に送信して、復号化プロセスをテストするオプションを選択できます。
このメモの最後には、暗号化されたファイルの名前を変更したり、サードパーティの回復ソフトウェアを使用しようとすると、データが永久に失われる可能性があるため、警告が行われています。さらに、第三者に援助を求めると、経済的損失が増大する可能性があります。
ディープ ランサムウェアのメモでは Phobos テンプレートが使用されています
Deep ランサムウェアによって生成された身代金メモの全文は次のとおりです。
すべてのファイルが暗号化されました!
PC のセキュリティ上の問題により、すべてのファイルが暗号化されました。復元したい場合は、captain-america@tuta.io まで電子メールでご連絡ください。
この ID をメッセージのタイトルに記入してください -
24 時間以内に応答が届かない場合は、Telegram.org アカウント: @HostUppp でご連絡ください。
復号化にはビットコインで支払う必要があります。価格は、どれだけ早く私たちに書いていただくかによって決まります。お支払い後、すべてのファイルを復号化するツールをお送りします。無料の復号化を保証
支払いの前に、無料の復号化のために最大 3 つのファイルを送信してください。ファイルの合計サイズは 4Mb 未満 (非アーカイブ) である必要があり、ファイルには貴重な情報が含まれていてはなりません。 (データベース、バックアップ、大きな Excel シートなど)ビットコインの入手方法
ビットコインを購入する最も簡単な方法は、LocalBitcoins サイトです。登録して「ビットコインを購入」をクリックし、支払い方法と価格で販売者を選択する必要があります。
hxxps://localbitcoins.com/buy_bitcoins
また、ビットコインを購入できる他の場所や初心者ガイドもここで見つけることができます。
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/注意!
暗号化されたファイルの名前を変更しないでください。
サードパーティのソフトウェアを使用してデータを復号化しようとしないでください。データが永久に失われる可能性があります。
サードパーティの助けを借りてファイルを復号化すると、料金が上昇したり(サードパーティの料金が当社の料金に追加されたり)、詐欺の被害者になる可能性があります。
Deep のようなランサムウェアはどのようにしてシステムに侵入するのでしょうか?
Deep のようなランサムウェアは、脆弱性を悪用したり、ソーシャル エンジニアリング戦術を使用したりするさまざまな手段を通じてシステムに侵入する可能性があります。ランサムウェアがシステムに侵入する一般的な経路をいくつか示します。
- フィッシングメール: サイバー犯罪者は、信頼できる送信元から送信されたように見える、説得力があるが悪意のあるメールを送信します。これらの電子メールには、開くとシステム上でランサムウェア コードを実行する添付ファイルやリンクが含まれている場合があります。
- 悪意のある Web サイト: 侵害された Web サイトまたは悪意のある Web サイトにアクセスすると、ドライブバイ ダウンロードがトリガーされる可能性があります。これにより、ランサムウェアが自動的にダウンロードされ、知らないうちにシステム上で実行されます。
- 感染したソフトウェアまたはファイル: 信頼できないソースからソフトウェアまたはファイル、特に海賊版またはクラックされたソフトウェアをダウンロードすると、ランサムウェアに感染するリスクが高まります。これらのファイルには隠れたマルウェアが含まれている可能性があります。
- 脆弱性の悪用: ランサムウェアは、オペレーティング システムまたはアプリケーションのソフトウェアの脆弱性を悪用する可能性があります。ソフトウェアを更新せず、セキュリティ パッチを適用しないと、システムがそのような攻撃を受けやすくなります。
- リモート デスクトップ プロトコル (RDP) 攻撃: RDP が有効になっており、脆弱なパスワードまたは簡単に推測できるパスワードを使用している場合、攻撃者はリモートからシステムにアクセスし、ランサムウェアをインストールする可能性があります。
- マルバタイジング: サイバー犯罪者は、正規の Web サイトに悪意のある広告を掲載する可能性があります。これらの広告をクリックしたり、侵害されたサイトにアクセスしただけでも、ランサムウェアに感染する可能性があります。
- ソーシャル エンジニアリング: 攻撃者は、テクニカル サポート担当者またはその他の信頼できる個人になりすまして、ユーザーを騙してランサムウェアをダウンロードまたは実行させる可能性があります。
- USB とリムーバブル メディア: マルウェアは、感染した USB ドライブやその他のリムーバブル メディアを介して拡散する可能性があります。感染したデバイスを接続すると、システムにランサムウェアが侵入する可能性があります。