感染した (MedusaLocker) ランサムウェアは被害者のシステムをロックします
研究者らは、新しいマルウェアのサンプルを分析しているときに、MedusaLocker ファミリのランサムウェアの亜種を発見し、これを「Infected」と名付けました。このランサムウェアは、ファイルを暗号化し、ファイル名に「.infected」拡張子を追加することによって動作します。さらに、「HOW_TO_BACK_FILES.html」というタイトルの身代金メモを残します。
Infected が暗号化するときにファイル名をどのように変更するかを説明すると、たとえば、「1.jpg」は「1.jpg.infected」に、「2.png」は「2.png.infected」に変換されます。
身代金メモは、被害者の重要なファイルが暗号化されていることを伝えます。これらのファイルはロックされていても安全であり、RSA と AES 方式の組み合わせを使用して暗号化されていることが強調されています。このメモでは、サードパーティのソフトウェアを使用してこれらのファイルを回復しようとする試みに対して、明示的に警告しています。そのような試みは永久的な破損につながる可能性があります。また、暗号化されたファイルを変更したり名前を変更したりしないようアドバイスしています。
このメモでは、この問題を解決できるのはランサムウェアのオペレーターのみであると主張し、サードパーティのソフトウェアはこの問題を支援できないと述べています。さらに、プライベートサーバーに保存される機密性の高い個人データの収集についても言及されています。被害者が身代金を支払わないことを選択した場合、このデータは公開されるか再販業者に販売され、一般にアクセスできるようになります。
このメモには、通信用の Tor ベースの URL など、オペレーターに連絡するための連絡先の詳細が記載されています。 Tor ネットワークにアクセスしてチャットする方法について説明します。さらに、通信用の電子メール アドレス (ithelp02@securitymy.name および ithelp02@yousheltered.com) も提供されます。
被害者が 72 時間以内にオペレーターとの連絡を確立しない場合、身代金の額が増額される可能性があり、状況に一刻を争う側面が加わります。
感染者、3日以内に身代金を増額すると脅迫
感染者の身代金メモの全文は次のとおりです。
あなたの個人ID:
あなたの会社のネットワークが侵入されました
重要なファイルはすべて暗号化されています。ファイルは安全です!改造のみ。 (RSA+AES)
サードパーティ製ソフトウェアを使用してファイルを復元しようとする試み
それを永久に破壊します。
暗号化されたファイルは変更しないでください。
暗号化されたファイルの名前を変更しないでください。インターネット上で入手できるソフトウェアは役に立ちません。それができるのは私たちだけです
あなたの問題を解決してください。私たちは機密性の高い個人データを収集しました。これらのデータは現在、次の場所に保存されています。
プライベートサーバー。このサーバーは支払い後すぐに破棄されます。
あなたが支払いをしないことに決めた場合、私たちはあなたのデータを一般公開または再販者に公開します。
したがって、近い将来、データが一般公開されることが期待できます。私たちは金銭のみを求めており、お客様の評判を傷つけたり、妨害したりすることが目標ではありません。
ビジネスの運営を妨げます。重要でないファイルを 2 ~ 3 個送っていただければ、無料で復号化します。
ファイルを返却できることを証明するためです。価格や復号化ソフトウェアについては、お問い合わせください。
qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
このサーバーは Tor ブラウザ経由でのみ利用できることに注意してください指示に従ってリンクを開きます。
- インターネット ブラウザにアドレス「hxxps://www.torproject.org」を入力します。 Tor サイトが開きます。
- 「Download Tor」を押してから、「Download Tor Browser Bundle」を押して、インストールして実行します。
- これで Tor ブラウザができました。 Tor ブラウザで qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion を開きます。
- チャットを開始し、以降の指示に従います。
上記のリンクを使用できない場合は、次の電子メールを使用してください。
ithelp02@securitymy.name
ithelp02@yousheltered.com私たちに連絡するには、サイト protonmail.com で新しい無料メール アカウントを作成してください。
72時間以内にご連絡がない場合、価格は高くなります。
感染したようなランサムウェアはどのようにしてシステムに侵入するのでしょうか?
Infected のようなランサムウェアは、さまざまな手段を通じてシステムに侵入する可能性があります。ランサムウェアがコンピュータに侵入する一般的な方法は次のとおりです。
- フィッシングメール: フィッシングメールは、ランサムウェアの最も一般的な配信方法の 1 つです。サイバー犯罪者は、正当な送信元からのもののように見える詐欺メールを送信しますが、そのメールには悪意のある添付ファイルやリンクが含まれています。添付ファイルを開くかリンクをクリックすると、システムにランサムウェアがダウンロードされて実行される可能性があります。
- 悪意のある Web サイト: 悪意のある Web サイトまたは侵害された Web サイトにアクセスすると、ランサムウェア感染につながる可能性があります。これらの Web サイトは、Web ブラウザまたはプラグインの脆弱性を悪用して、ユーザーの知らないうちに、または同意なしにランサムウェアをダウンロードし、インストールする可能性があります。
- ドライブバイ ダウンロード: ランサムウェアは、侵害された Web サイトまたは悪意のある Web サイトにアクセスしたときにマルウェアが自動的にダウンロードされ、システムにインストールされる「ドライブバイ ダウンロード」を通じて配信される可能性があります。これは通常、ユーザーの操作なしで行われます。
- マルバタイジング: サイバー犯罪者は、ランサムウェアを配布するために正規の Web サイト上で悪意のある広告 (マルバタイジング) を使用する可能性があります。これらの広告をクリックすると、ランサムウェアのダウンロードとインストールが引き起こされる可能性があります。
- ソフトウェアの脆弱性: 古いソフトウェアやパッチが適用されていないソフトウェアは、ランサムウェアによって悪用される可能性があります。オペレーティング システムまたはアプリケーションにパッチが適用されていない既知の脆弱性がある場合、攻撃者はそれを悪用してシステムにアクセスし、ランサムウェアを展開する可能性があります。
- 信頼できないダウンロード: 信頼できないまたは非公式のソースからソフトウェア、ファイル、または torrent をダウンロードすることは危険を伴う可能性があります。一部のダウンロードにはランサムウェアまたはその他のマルウェアがバンドルされている場合があるため、信頼できるソースからのみダウンロードすることが重要です。
- USB ドライブと外部デバイス: ランサムウェアは、感染した USB ドライブや外部デバイスを介して拡散する可能性があります。ランサムウェアを含むデバイスをコンピュータに接続すると、システムが急速に感染する可能性があります。