GhostLocker ランサムウェアは被害者のファイルを暗号化する
GhostLocker は、サイバー犯罪グループ GhostSec によって作成されたランサムウェア プログラムを表します。ランサムウェアに分類されるこのタイプのマルウェアは、データを暗号化し、復号化に対する支払いを要求するように設計されています。
私たちのテスト環境では、GhostLocker はファイルを暗号化し、ファイル名に「.ghost」拡張子を追加しました。たとえば、「1.jpg」という名前の元のファイルは「1.jpg.ghost」に変換され、「2.png」は「2.png.ghost」になり、このパターンが影響を受けるすべてのファイルに適用されます。
暗号化プロセスが完了すると、通常「lmao.html」というタイトルの身代金メモが預けられました。 HTML ドキュメントの名前は異なる場合があることに注意してください。
GhostLocker のメッセージは、ファイルが RSA-2048 および AES-12 暗号化アルゴリズムを使用して暗号化され、機密データが盗まれたことを被害者に通知します。
ファイルを復号化するには、身代金を支払う必要があります。被害者には攻撃者に連絡するための猶予期間が 48 時間与えられており、この期限を守れない場合は身代金の額が増加します。サイバー犯罪者の要求に応じることを拒否すると、データの破壊につながります。
このメモでは、暗号化されたファイルの名前を変更したり、サードパーティの回復ツールを利用したりすることは、永久的なデータ損失を引き起こす可能性があるため、行わないよう警告しています。また、被害者には、第三者や当局に支援を求めると、データが失われ、盗まれたコンテンツが漏洩する可能性があることも警告されます。
GhostLocker の身代金メモは賢く聞こえるように試みる
「lmao.html」ファイル内に生成された身代金メモの全文は次のとおりです。
ゴーストロッカー
私たちはできるから実行します重要なファイルはすべて盗まれ、暗号化されます
あなたの個人暗号化 ID: - (これを保存)重要なファイルはすべて盗まれ、RSA-2048 および AES-128 軍事グレードの暗号で暗号化されています。つまり、どれだけ努力しても、ファイルを取り戻す唯一の方法は、私たちと協力して私たちの要求に従うことです。
48 時間 (2 日) 以内にご連絡ください。期限内に連絡を行わなかった場合、身代金の額が増加します。
身代金を支払わない場合、ファイルは永久に破壊されます。
以下でお問い合わせいただけます
注意
そこに記載されている最上位の連絡先情報以外には身代金を支払わないでください。
暗号化されたファイルの名前を変更しないでください
サードパーティのソフトウェアを使用してデータを復号化しようとしないでください。データが永久に失われる可能性があります。
法執行機関、データ回復チーム、サードパーティのセキュリティ ベンダーが関与すると、データは永久に失われ、データはただちに公開されます。
ランサムウェアはどのようにしてシステムに侵入するのでしょうか?
ランサムウェアはさまざまな方法でシステムに侵入する可能性があり、そのような攻撃を防ぐにはこれらの侵入ポイントを理解することが重要です。ランサムウェアがシステムにアクセスする一般的な方法をいくつか示します。
- フィッシングメール: 最も一般的な方法はフィッシングメールによるものです。正当な送信元から送信されたように見える電子メールを受信する場合がありますが、その中には悪意のある添付ファイルやリンクが含まれています。これらの添付ファイルを開いたり、リンクをクリックすると、コンピュータ上でランサムウェアがダウンロードされ、実行される可能性があります。
- 悪意のある Web サイト: 悪意のある Web サイトまたは侵害された Web サイトにアクセスすると、システムがランサムウェアにさらされる可能性があります。これらの Web サイトは、Web ブラウザまたはプラグインの脆弱性を悪用して、ランサムウェアをダウンロードして実行する可能性があります。
- マルバタイジング: オンライン広告はランサムウェアの配布に使用される可能性があります。サイバー犯罪者は正規の Web サイトに悪意のある広告を掲載する可能性があり、それらをクリックすると誤ってランサムウェアをダウンロードする可能性があります。
- ドライブバイ ダウンロード: 一部の Web サイトは、ユーザーの同意なしにファイルをコンピューターに自動的にダウンロードするように設計されています。システムが適切に保護されていない場合、これらのドライブバイ ダウンロードによってランサムウェアがインストールされる可能性があります。
- ソフトウェアの脆弱性: 古いソフトウェアやパッチが適用されていないソフトウェアには、ランサムウェアが悪用できるセキュリティ上の脆弱性がある可能性があります。オペレーティング システム、アプリケーション、セキュリティ ソフトウェアを最新の状態に保つことが重要です。
- リモート デスクトップ プロトコル (RDP) 攻撃: サイバー犯罪者は、脆弱な RDP 資格情報またはデフォルトの RDP 資格情報を悪用して、コンピューターにリモートからアクセスする可能性があります。侵入すると、ランサムウェアが展開される可能性があります。
- 悪意のある添付ファイル: ランサムウェアは、感染した Microsoft Office ドキュメントや実行可能ファイルなどの悪意のある電子メールの添付ファイルを通じて配信される可能性があります。これらの添付ファイルはソフトウェアの脆弱性を悪用したり、ユーザーをだまして実行させたりする可能性があります。