Hgjzitlxe ランサムウェアは企業をターゲットに
マルウェア サンプルの分析中に、Snatch ファミリに関連するランサムウェアの一種である Hgjzitlxe を発見しました。私たちの調査により、Hgjzitlxe はファイルを暗号化し、元のファイル名に独自の拡張子 (「.hgjzitlxe」) を追加することが判明しました。被害者をさらに脅迫するために、「HOW TO RESTORE YOUR HGJZITLXE FILES.TXT」という身代金メモを作成します。
ファイル変更動作の例として、Hgjzitlxe は「1.jpg」を「1.jpg.hgjzitlxe」に、「2.png」を「2.png.hgjzitlxe」に置き換えます。
身代金メモは、ネットワークが侵入テストを受け、ファイルが暗号化されたことを被害者に通知します。攻撃者は、個人情報、マーケティング データ、機密文書、会計記録、SQL データベース、電子メール アーカイブのコピーを含む 100 GB を超えるデータをダウンロードしたと主張しています。
このメモでは、特定の復号化ツールのみがファイルを効果的に復元できると強調しているため、被害者は自分でファイルを復号化しようとしたり、サードパーティのツールを使用したりすることを強くお勧めしません。仲介者による潜在的な欺瞞を防ぐために、このメモでは、脅威アクターと直接通信することを推奨しています。
証拠を収集し、潜在的な解決策を検討し、復号化ツールをリクエストするには、被害者は提供された電子メール アドレス (candice.wood@post.cz または candice.wood@swisscows.email) を通じてサイバー犯罪者に連絡するよう指示されます。別のコミュニケーション方法として、Tox チャットを使用することが提案されています。
身代金メモの最後には、3 日以内に応答がなければサイバー犯罪者が暗号化されたファイルを公開するという警告が書かれています。
Hgjzitlxe の身代金メモは、ハッカーが企業をターゲットにしていることを示しています
身代金メモの全文は次のとおりです。
ネットワーク全体が暗号化されているため、ビジネスは損失を被っています。
親愛なる管理者様!お客様のネットワークが侵入テストを受け、その間に暗号化されたことをお知らせします。
ファイルと 100GB を超えるデータをダウンロードしました個人データ
マーケティングデータ
機密文書
会計
SQLデータベース
一部のメールボックスのコピー重要!自分でファイルを復号化しようとしたり、サードパーティのユーティリティを使用したりしないでください。
それらを復号できる唯一のプログラムは、以下の連絡先からリクエストできる当社の復号プログラムです。
他のプログラムは、ファイルを復元できなくなるような損傷を与えるだけです。
仲介業者に頼らずに直接私たちに手紙を書いてください。仲介業者はあなたをだまします。必要な証拠をすべて入手し、この問題に対する考えられる解決策について話し合って、復号化ツールをリクエストすることができます。
以下の連絡先を使用してください。
3 日以内に返信がない場合、ファイルを一般に公開する権利を留保しますので、ご了承ください。お問い合わせ:
candice.wood@post.cz または candice.wood@swisscows.emailtox チャットで通信するための追加の方法
毒物ID:
(英数字の文字列)
Hgjzitlxe のようなランサムウェアはどのようにしてシステムに侵入するのでしょうか?
Hgjzitlxe のようなランサムウェアは、さまざまな方法でシステムに侵入する可能性があります。ランサムウェアがシステムに侵入する一般的な方法をいくつか示します。
- フィッシングメール: 最も一般的な手法の 1 つは、フィッシングメールによるものです。正規の電子メールのように見えても、悪意のある添付ファイルまたはクリックするとランサムウェアをシステムにダウンロードするリンクが含まれている電子メールを受信する場合があります。
- 悪意のあるダウンロード: 侵害された Web サイトにアクセスしたり、悪意のある広告をクリックしたりすると、ランサムウェアが知らずにダウンロードされる可能性もあります。これらのダウンロードは、正規のソフトウェアまたはファイルを装って、ユーザーをだまして実行させ、システムに感染させる可能性があります。
- 脆弱性の悪用: ランサムウェアは、オペレーティング システム、ソフトウェア、またはアプリケーションの脆弱性を悪用する可能性があります。サイバー犯罪者は、不正アクセスを取得してシステムにランサムウェアを展開するために悪用できるセキュリティの弱点を積極的に探します。
- 悪意のある Web サイトとマルバタイジング: 侵害された Web サイトまたは悪意のある Web サイトにアクセスすると、知らないうちにランサムウェアが自動的にダウンロードされ、インストールされる可能性があります。同様に、マルバタイジング (悪意のある広告) では、オンライン広告にランサムウェアを埋め込むことでランサムウェアを配布する可能性があります。
- リモート デスクトップ プロトコル (RDP) 攻撃: リモート デスクトップ プロトコルが有効になっており、設定が不十分な場合、攻撃者は脆弱な資格情報またはデフォルトの資格情報を悪用して、システムへのリモート アクセスを取得し、ランサムウェアを展開する可能性があります。
- ドライブバイ ダウンロード: 悪意のあるコードが挿入された侵害された Web サイトにアクセスすると、ランサムウェアがサイレントにダウンロードされ、インストールされる可能性があります。これは、ユーザーの操作や知識がなくても発生します。
- ネットワークの脆弱性の悪用: ランサムウェアは、ネットワーク プロトコルやパッチが適用されていないシステムの脆弱性を悪用してネットワーク内に拡散する可能性があります。ネットワークに入ると急速に伝播し、他のデバイスに感染する可能性があります。
