Meduza (MedusaLocker) ランサムウェア
MedusaLocker ファミリのランサムウェアの一種である Meduza は、マルウェア サンプルの分析中に特定されました。その主な機能はファイルを暗号化することであり、ファイル名に特定の拡張子 (「.meduza24」など) を追加すると同時に、「How_to_back_files.html」という名前の身代金メモも生成します。
たとえば、Meduza はファイルを暗号化するときに、ファイルの名前を次のように変更します。「1.jpg」は「1.jpg.meduza24」に、「2.png」は「2.png.meduza24」に変更されます。
身代金メモは、重要なファイルが RSA および AES 暗号化方式を使用して暗号化されていることを被害者に通知します。永続的な破損につながる可能性があるため、サードパーティ製ソフトウェアを使用してこれらのファイルを回復しようとする試みは強くお勧めしません。暗号化されたファイルを変更したり名前を変更したりすることもお勧めしません。
身代金メモによると、オンラインで入手可能なソフトウェアは復号化を支援できず、唯一の解決策は攻撃者にあります。彼らは、機密性の高い個人データを収集し、プライベートサーバーに保存し、支払いを受け取ると削除すると主張しています。支払いを怠った場合、データが公開または販売されることになります。
このメモでは、攻撃者は金銭的利益のみを目的としており、受信者の評判や事業運営に損害を与える意図はないことを強調している。ファイルを復号化する能力を実証するために、要求に応じて、重要性の低い 2 ~ 3 個のファイルを無料で復号化することを申し出ています。
身代金の交渉と復号化ソフトウェアの入手に関する連絡先情報は、2 つの電子メール アドレス (ithelp01@securitymy.name と ithelp01@yousheltered.com) を通じて提供されます。このメモでは、連絡先を確立するために protonmail.com で新しい無料電子メール アカウントを作成することも推奨しています。
72 時間の期限を過ぎても、被害者が攻撃者に連絡できなかった場合、身代金の額は増加します。さらに、継続的なコミュニケーションのための Tor-chat への言及もあります。
メドゥーザの身代金メモ全文
Meduza の身代金メモの全文は次のとおりです。
あなたの個人ID:
あなたの会社のネットワークが侵入されました
重要なファイルはすべて暗号化されています。ファイルは安全です!改造のみ。 (RSA+AES)
サードパーティ製ソフトウェアを使用してファイルを復元しようとする試み
それを永久に破壊します。
暗号化されたファイルは変更しないでください。
暗号化されたファイルの名前は変更しないでください。インターネット上で入手できるソフトウェアは役に立ちません。それができるのは私たちだけです
あなたの問題を解決してください。私たちは機密性の高い個人データを収集しました。これらのデータは現在、次の場所に保存されています。
プライベートサーバー。このサーバーは支払い後すぐに破棄されます。
あなたが支払いをしないことに決めた場合、私たちはあなたのデータを一般公開または再販者に公開します。
したがって、近い将来、データが一般公開されることが期待できます。私たちは金銭のみを求めており、お客様の評判を傷つけたり、妨害したりすることが目標ではありません。
ビジネスの運営を妨げます。重要でないファイルを 2 ~ 3 個送っていただければ、無料で復号化します。
ファイルを返却できることを証明するためです。価格や復号化ソフトウェアについては、お問い合わせください。
Eメール:
ithelp01@securitymy.name
ithelp01@yousheltered.com
私たちに連絡するには、サイト protonmail.com で新しい無料メール アカウントを作成してください。
72時間以内にご連絡がない場合、価格は高くなります。Tor-chat でいつでも連絡を取り合いましょう:
ランサムウェアはどのようにしてコンピュータに感染するのでしょうか?
ランサムウェアはさまざまな方法でコンピュータに感染する可能性があり、多くの場合、ソーシャル エンジニアリング戦術に依存してユーザーをだまして感染を開始させます。ランサムウェアがコンピュータに感染する一般的な方法は次のとおりです。
- 悪意のある電子メールの添付ファイル: 最も一般的な方法の 1 つは、フィッシング電子メールによるものです。攻撃者は、正当に見える電子メールを送信し、悪意のあるコードが埋め込まれた PDF や Office ドキュメントなどの添付ファイルが含まれる可能性があります。添付ファイルを開くと、ランサムウェアが実行されます。
- 悪意のあるリンク: フィッシングメールには、悪意のある Web サイトへのリンクが含まれる場合もあります。これらのリンクをクリックすると、知らないうちにランサムウェアが自動的にダウンロードされ、実行されるドライブバイ ダウンロードが行われる可能性があります。
- 偽のソフトウェア アップデート: 攻撃者は、オペレーティング システムやソフトウェアの正規のアップデートを模倣した偽のソフトウェア アップデート通知やポップアップを作成する可能性があります。これらの偽のアップデートをダウンロードしてインストールすると、知らないうちにランサムウェアがインストールされる可能性があります。
- 感染したソフトウェア: 場合によっては、攻撃者が正規のソフトウェア インストーラーを侵害し、ランサムウェアを注入することがあります。安全と思われるプログラムをダウンロードしてインストールすると、誤ってランサムウェアをインストールしてしまうことになります。
- マルバタイジング: 悪意のある広告、またはマルバタイジングには、サイバー犯罪者が感染した広告を正規の Web サイトに掲載することが含まれます。これらの広告をクリックすると、ランサムウェアを配布する Web サイトにリダイレクトされる可能性があります。
- リモート デスクトップ プロトコル (RDP) 攻撃: RDP が不適切に保護されている場合、攻撃者が脆弱性を悪用してコンピュータにリモート アクセスする可能性があります。侵入すると、ランサムウェアがインストールされる可能性があります。
- 脆弱性の悪用: ランサムウェアは、オペレーティング システムまたはアプリケーションのソフトウェアの脆弱性を悪用する可能性があります。最新のセキュリティ パッチを適用してソフトウェアを最新の状態に保つと、この方法から保護するのに役立ちます。
- ソーシャル エンジニアリング: 攻撃者は、テクニカル サポートや同僚などの信頼できる組織になりすまして、ユーザーをだましてランサムウェアを含むファイルをダウンロードして実行させる可能性があります。