EXISC ランサムウェアは企業や企業をターゲットに
VirusTotal サイトへの新しい投稿の調査中に、EXISC と呼ばれるランサムウェア プログラムを発見しました。その主な目的は、データを暗号化し、復号化と引き換えに支払いを要求することです。
テスト システムで EXISC のサンプルを実行すると、ファイルが正常に暗号化され、元のファイル名に「.EXISC」拡張子が追加されることが確認されました。たとえば、「1.jpg」という名前のファイルは「1.jpg.EXISC」に変換され、「2.png」は「2.png.EXISC」に変換されます。
暗号化プロセスの後、EXISC は「Please Contact Us To Restore.txt」というタイトルの身代金メモを生成しました。このメッセージの内容から、ランサムウェアは主に個人の家庭ユーザーではなく大規模な組織をターゲットにしていることが明らかになりました。
身代金メモは、会社のネットワークが侵害されたことを被害者に伝えます。被害の程度は次のように概説されています。ファイルが暗号化され、機密データが盗まれました。
このメモによると、被害者はファイルへのアクセスを回復し、持ち出されたコンテンツの漏洩を防ぐために身代金を支払わなければなりません。身代金の正確な金額は指定されていませんが、支払いはビットコインまたはモネロ暗号通貨で行われなければならないことが明示されています。
さらに、このメモは、テスト復号化のために一定数のファイルを送信できることを示唆しています。これは、被害者にとってデータ復旧が実際に可能であるという証拠として機能します。
EXISC 身代金メモは Tox 経由の連絡を想定している
EXISC 身代金メモの全文は次のとおりです。
こんにちは、あなたの会社のコンピュータは私によって暗号化されており、データベースとデータがダウンロードされています。これらの資料を私に開示したくない場合は、私に身代金を支払わなければなりません。身代金を受け取ったら、ダウンロードしたすべてのファイルを削除し、コンピューターの復号化をお手伝いします。そうでない場合、これらの資料が公開され、貴社は前例のない影響に直面することになります。
私たちはお金のためだけに働いており、お客様のネットワークを破壊することはありません。また、私たちは非常に誠実です。身代金を受け取った後、再攻撃を避けるために脆弱性を修正するのに役立つシステムの脆弱性に関する情報も提供します。
ファイルを復号化する当社の能力に疑問がある場合は、暗号化されたファイルをいくつか送っていただければ、それを証明するために復号化します。
身代金はビットコインまたはモネロでお支払いください。
TOXを使用して私に連絡するか、電子メールを送ってください。
電子メール:HonestEcoZ@dnmx.org
TOX ID:(英数字の文字列)
TOX ダウンロード:hxxps://tox.chat/download.html
EXISC のようなランサムウェアの最も一般的な感染経路は何ですか?
EXISC のようなランサムウェアは、さまざまな感染ベクトルを使用してシステムやネットワークに侵入します。以下は、ランサムウェアによって利用される最も一般的な感染ベクトルの一部です。
- フィッシングメール: フィッシングメールは、依然としてランサムウェアを配布する一般的な方法です。サイバー犯罪者は、正当であるかのように見せかける説得力のある電子メールを作成し、多くの場合、信頼できる組織や個人になりすまします。これらの電子メールには、クリックまたは開くとランサムウェア感染プロセスを開始する悪意のある添付ファイルまたは埋め込みリンクが含まれています。
- 悪意のあるダウンロードと添付ファイル: ランサムウェアは、悪意のある Web サイトから、または感染した添付ファイルを通じて誤ってダウンロードされる可能性があります。これは、ユーザーが侵害された Web サイトにアクセスしたり、実行可能ファイル、マクロ、またはスクリプトベースのペイロードを含む電子メールの添付ファイルを開いたときに発生する可能性があります。
- エクスプロイト キット: エクスプロイト キットは、Web ブラウザ、プラグイン、またはオペレーティング システムに存在するソフトウェアの脆弱性を利用する悪意のあるツールです。これらの脆弱性を悪用すると、侵害された Web サイトにアクセスしたり、悪意のある広告をクリックしたりしたときに、被害者のシステムにランサムウェアがサイレントに配信される可能性があります。
- リモート デスクトップ プロトコル (RDP) 攻撃: ランサムウェア オペレーターは、リモート デスクトップ プロトコル接続が公開されているか、セキュリティが脆弱なシステムをターゲットにすることがよくあります。彼らはブルートフォース手法を使用して不正アクセスを取得し、ランサムウェアをインストールします。
- ソフトウェアの脆弱性: ランサムウェアは、パッチが適用されていない、または古いソフトウェアの脆弱性を悪用してシステムに侵入する可能性があります。これには、ランサムウェアが不正アクセスを取得してペイロードを実行できるようにする、オペレーティング システム、アプリケーション、またはネットワーク サービスの脆弱性が含まれます。
- マルバタイジング: 悪意のある広告、つまりマルバタイジングは、正規の Web サイトや広告ネットワークで見つかることがあります。これらの広告には、ランサムウェアをホストする悪意のある Web サイトにユーザーをリダイレクトしたり、ランサムウェア ペイロードの自動ダウンロードをトリガーしたりする隠しスクリプトが含まれています。
- ドライブバイ ダウンロード: ドライブバイ ダウンロードは、通常は侵害された Web サイトから、ユーザーの同意や操作なしにランサムウェアが自動的にダウンロードされるときに発生します。これらの Web サイトには、ユーザーの Web ブラウザまたはプラグインの脆弱性を悪用する悪意のあるコードが含まれており、ランサムウェアがサイレントに配信される可能性があります。