Mynvhefutrx ランサムウェアはスナッチ クローンです
新しく提出されたファイル サンプルを調査しているときに、私たちの研究チームは、Mynvhefutrx という悪意のあるソフトウェアという重要な発見をしました。この特定のプログラムは、ファイルを暗号化し、その解放のために身代金を要求するように設計されたマルウェアのカテゴリである Snatch ランサムウェア ファミリに属しています。
テスト段階で、Mynvhefutrx が指定されたマシン上のファイルを正常に暗号化し、元のファイル名に拡張子「.mynvhefutrx」を追加したことを確認しました。たとえば、元々「1.jpg」という名前のファイルは「1.jpg.mynvhefutrx」に変換され、「2.png」は「2.png.mynvhefutrx」に変換されます。
暗号化プロセスの完了後、ランサムウェアは「MYNVHEFUTRX FILES.TXT を復元する方法」というタイトルの身代金メモを生成しました。このメモの内容から、ランサムウェアは主に個人の家庭ユーザーではなく法人をターゲットにしていることがわかります。これは、被害者にファイルの暗号化について明示的に通知するもので、100 GB を超えるデータがネットワークから抽出されたという悲惨な詳細も伴います。盗まれたデータには、財務記録、データベース、顧客の詳細、機密文書、個人データなどの機密情報が含まれます。
身代金メモでは、サードパーティの復号化ツールを利用しないよう被害者に明確に警告しており、そうすることで影響を受けたファイルが回復不能な損傷を受け、復号化できなくなる可能性があることを強調しています。さらに、3 日以内に攻撃者との通信を確立できなかった場合、サイバー犯罪者が盗んだデータを公に公開する可能性があると警告しています。
Mynvhefutrx の身代金メモがデータ漏洩を脅かす
Mynvhefutrx の身代金メモの全文は次のとおりです。
お客様のネットワークが侵入テストを受け、その間に暗号化されたことをお知らせします。
ファイルをダウンロードし、次のような 100 GB を超えるデータをダウンロードしました。会計
機密文書
個人データ
データベース
クライアントファイル重要!自分でファイルを復号化しようとしたり、サードパーティのユーティリティを使用したりしないでください。
これらを復号化できるプログラムは当社の復号化プログラムであり、以下の連絡先からリクエストできます。
他のプログラムはファイルに損傷を与えるだけです。3 日以内に返信がない場合、ファイルを公開する権利を留保しますのでご了承ください。
お問い合わせ:
Franklin1328@gmx.com または protec5@tutanota.com
Mynvhefutrx のようなランサムウェアはどのようにしてシステムに侵入するのでしょうか?
Mynvhefutrx のようなランサムウェアは、さまざまな方法を使用してコンピュータ システムに侵入します。ランサムウェアがアクセスを取得する一般的な方法は次のとおりです。
- 電子メールの添付ファイル: ランサムウェアは、悪意のある電子メールの添付ファイルを通じて拡散することがよくあります。攻撃者は正当に見える電子メールを送信しますが、添付ファイルには実行可能ファイルや悪意のあるマクロが埋め込まれた Office ドキュメントなどの感染ファイルが含まれています。ユーザーがこれらの添付ファイルを開くと、ランサムウェアが実行され、システムに感染します。
- フィッシング キャンペーン: サイバー犯罪者は、ユーザーをだまして悪意のあるリンクをクリックさせたり、機密情報を提供させたりするために、フィッシング キャンペーンを開始する場合があります。これらのフィッシングメールは正規の組織やサービスを模倣し、ユーザーを詐欺的な Web サイトに誘導します。このようなリンクをクリックすると、ユーザーは知らないうちにランサムウェアをシステムにダウンロードしてしまいます。
- 悪意のあるダウンロード: ランサムウェアは、インターネットからダウンロードできる正規のソフトウェアまたはファイルを装うことができます。ユーザーは、感染した Web サイト、トレント プラットフォーム、ピアツーピア ネットワークなど、信頼できないソースから感染したファイルを知らずにダウンロードして実行する可能性があります。ソフトウェア クラック、keygen、その他の非公式パッチもランサムウェアの一般的な媒体です。
- ソフトウェアの脆弱性の悪用: サイバー犯罪者は、オペレーティング システム、ソフトウェア、またはプラグインの脆弱性を積極的に検索します。彼らは、セキュリティ対策をバイパスし、最新のパッチやセキュリティ修正で更新されていないシステムにランサムウェアを注入できるエクスプロイトを開発します。この方法は、組織または個人が定期的なソフトウェア更新を怠っている場合に特に効果的です。
- リモート デスクトップ プロトコル (RDP) 攻撃: RDP を使用すると、ユーザーはネットワーク経由で別のコンピュータにリモート接続できます。攻撃者が脆弱な RDP 認証情報またはデフォルトの RDP 認証情報を発見すると、システムへの不正アクセスを取得し、ランサムウェアを展開する可能性があります。また、RDP の脆弱性を悪用してネットワークに侵入し、接続されているデバイスにランサムウェアを拡散する可能性もあります。
- ドライブバイ ダウンロード: ランサムウェアは、ユーザーが侵害された Web サイトにアクセスしたときに発生するドライブバイ ダウンロードを通じて配信される可能性があります。これらの Web サイトは、ユーザーのブラウザまたはそのプラグインの脆弱性を悪用し、ユーザーの操作や同意なしにシステムにランサムウェアを自動的にダウンロードして実行します。
- マルバタイジング: サイバー犯罪者は、悪意のある広告 (マルバタイジング) を利用してランサムウェアを配布することがあります。悪意のあるコードを正規の広告ネットワークに挿入したり、侵害された Web サイトに誤解を招く広告を表示したりします。ユーザーがこれらの広告をクリックすると、無意識のうちにランサムウェアのダウンロードと実行が引き起こされる可能性があります。
- ソーシャル エンジニアリングと水飲み場攻撃: 攻撃者は、感染したリンクをクリックさせたり、望ましいものや緊急を要するものに見せかけてファイルをダウンロードしたりするなど、ソーシャル エンジニアリング手法を通じてユーザーを操作する可能性があります。水飲み場型攻撃では、標的となるユーザーが頻繁にアクセスする正規の Web サイトを侵害し、それらの Web サイトにランサムウェアを注入することで、疑いを持たない訪問者が感染する可能性が高まります。
