Kmrox ランサムウェアは Phobos ファミリーのメンバーです
提出された新しいファイル サンプルの検査中に、当社の研究者は Kmrox と呼ばれる Phobos ランサムウェアの別の亜種を発見しました。このタイプのマルウェアは、データを暗号化し、復号化に対する支払いを要求するように設計されたランサムウェアのカテゴリに分類されます。
私たちのテスト システムでは、Kmrox がファイルをエンコードし、その名前を変更しました。元のファイル名は、被害者に関連付けられた一意の ID、サイバー犯罪者の電子メール アドレス、および「.kmrox」拡張子で拡張されました。たとえば、最初は「1.jpg」というラベルが付けられていたファイルは、「1.jpg.id[9ECFA84E-3489].[exezez@blaze420.it].kmrox」などのように表示されます。これに続いて、ポップアップ ウィンドウ (「info.hta」) とテキスト ファイル (「info.txt」) を通じて身代金メモが生成されました。
Kmrox からの身代金メッセージには、暗号化が原因でファイルにアクセスできないことが記載されています。メモには、ファイルを回復する唯一の方法は、サイバー犯罪者から復号キーとソフトウェアを購入することであることが示されています。支払いはビットコイン暗号通貨の形式で要求されますが、これらのメッセージには正確な金額は記載されていません。支払いが連絡が確立されるまでの速さによって影響を受ける可能性があることが示唆されているだけです。
被害者には、(特定のパラメータ内で)無料の復号化テストのオプションも与えられます。このメモは、暗号化されたデータを変更したり、第三者に支援を求めたりすることに対する警告で締めくくられています。
Kmrox が長文の身代金メモを使用
Kmrox 身代金メモの全文は次のとおりです。
すべてのファイルが暗号化されました。
現時点では、すべてのデータを回復するための復号化ツールとキーを当社に要求する以外に、データを復号化する方法はありません。
それらを復元したい場合は、電子メールで当社までご連絡ください: exezez@blaze420.it
この ID をメッセージのタイトルに記入してください -
迅速で便利なフィードバックが必要な場合は、Telegram メッセンジャーでオンライン オペレーターにメールしてください: @exezaz
(Telegram アカウント名を入力するときは注意してください。上記とまったく同じである必要があります。偽のアカウントに注意してください。)
また、一部のメール サービスでは、あなたの手紙が届かなかったり、スパムに混入したりする可能性があるため、迅速な返答を受け取る可能性を高めるために、予備の電子メール アドレス (helze@cyberfear.com および exezaz@msgden.com) にも手紙をコピーしてください。
復号化の支払いはビットコインで行われます。価格を確認するには、上記の連絡先にご連絡ください。早めにご連絡いただければ、価格は安くなります。お支払い後、すべてのファイルを復号化するツールをお送りします。無料の復号化を保証
支払いの前に、無料の復号化のために最大 3 つのファイルを送信してください。ファイルの合計サイズは 4Mb 未満 (非アーカイブ) である必要があり、ファイルには貴重な情報が含まれていてはなりません。 (データベース、バックアップ、大きな Excel シートなど)ビットコインの入手方法
ビットコインは都合の良い場所で購入できます。初心者向けガイドはこちらです。
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/注意!
ファイルの復号化に関して確実なサポートを受けるには、このメモに記載されている連絡先にのみご連絡ください。現時点では、次のような詐欺師が多数存在します。
彼らはあなたのデータを復号化できるという口実で、私たちを通じて無料の復号化をリクエストし、あなたのファイルを復号化できるというデモンストレーションとしてそれを偽装します。
ファイルを復号化するためのキーは個別のケースごとに異なるため、サードパーティのソフトウェアを使用して自分でファイルを復号化することはできず、ファイルが破損するだけであることに注意してください。
仲介業者を介して通信する場合は、仲介業者が実際の価格を決定することが多いため、事前にオペレーターに価格を確認してください。 !!!第三者に連絡する場合、
ファイルの復号化は保証しません。
また、復号化の問題を避けるために、ファイルの名前を変更しないでください。
Phobos ランサムウェア クローン ファミリとは何ですか?
Phobos ランサムウェア ファミリは、同様の特性と操作方法を共有するランサムウェアの亜種のグループで構成されています。これらの亜種は、同じ元のソース コードから派生しているか、共通のフレームワークを共有していると考えられているため、多くの場合「クローン」と呼ばれます。 Phobos ランサムウェア ファミリは、被害者のファイルを暗号化し、復号化のために身代金を要求することで知られています。
Phobos ランサムウェアの亜種は通常、次の特徴を示します。
- ファイル暗号化: ほとんどのランサムウェアと同様、Phobos の亜種は強力な暗号化アルゴリズムを使用して被害者のファイルを暗号化し、復号化キーがなければファイルにアクセスできなくなります。
- 身代金メモ: Phobos ランサムウェアは、被害者に暗号化について通知し、復号キーを取得するために身代金を支払う方法についての指示を提供する身代金メモを作成します。
- 電子メール連絡先: 身代金メモには通常、被害者が支払いと復号化に関する詳細な指示を得るために攻撃者に連絡するために使用できる電子メール アドレスが含まれています。
- 固有の拡張子: Phobos の亜種は、暗号化されたファイルに固有の拡張子を追加することが多く、ファイルを簡単に識別できるようにします。これらの拡張子は通常、ランダムな文字または識別子の組み合わせです。
- ビットコインの支払い: 身代金の要求は通常、暗号通貨、特にビットコインで要求されます。これは、その匿名性により追跡が困難であるためです。
- 身代金の額の変動: Phobos ランサムウェアの亜種によって身代金の額は異なる場合があり、多くの場合、被害者のプロフィールや攻撃者との接触の速さなどの要因に応じて異なります。
- 標的を絞った配布: Phobos ランサムウェアは、通常、フィッシングメール、悪意のある添付ファイル、エクスプロイト キット、およびサイバー犯罪者がマルウェアを拡散するために使用するその他の方法を通じて配布されます。
- 類似したコードベース: Phobos の亜種はコードと動作に類似点があり、攻撃者が異なるバージョンを作成するために変更した共通のソースまたはフレームワークを示唆しています。
フォボスの亜種には類似点がありますが、時間の経過とともに新しい機能、戦術、テクニックが進化する可能性があることに注意することが重要です。他のランサムウェアと同様、Phobos とその亜種に対する最善の防御策は、強力なサイバーセキュリティの実践、定期的なデータのバックアップ、ソフトウェアを最新の状態に保つこと、電子メールの添付ファイルやリンクに対する慎重なアプローチを維持することです。
