OlSaveLock ランサムウェアは、MedusaLocker の新しい亜種です
新しい悪意のあるファイルの定期的な分析中に、当社の研究者チームは OlSaveLock ランサムウェアを発見しました。この悪意のあるソフトウェアは、データを暗号化し、復号化と引き換えに身代金を要求することによって動作します。特に、OlSaveLock は悪名高い MedusaLocker ランサムウェア ファミリのメンバーです。
私たちのテスト環境では、OlSaveLock はファイルを効果的に暗号化し、元のファイル名に個別の「.olsavelock31」拡張子を追加しました。たとえば、「1.jpg」という名前のファイルは「1.jpg.olsavelock31」として表示され、「2.png」は「2.png.olsavelock31」というように表示されます。拡張機能内の特定の番号はランサムウェアの亜種によって異なる場合があることに注意することが重要です。さらに、OlSaveLock は「How_to_back_files.html」という名前の身代金メモをデスクトップに置きました。
身代金メモの内容は、OlSaveLock が主に個人のホーム ユーザーではなく大規模組織をターゲットにしていることを明確に示しています。メッセージによると、被害者の企業ネットワークが侵害されています。被害の程度は、RSAおよびAES暗号アルゴリズムを利用した重要なファイルの暗号化と、機密データや個人データの不正抽出とされている。
このメモには、影響を受けるファイルを復号化し、盗まれた情報の暴露や販売を防ぐためには身代金の支払いが不可欠であると記載されています。被害者には、支払いを行う前に、貴重なデータが含まれていない 3 つのファイルの復号化プロセスをテストする機会が提供されます。
メモには身代金の具体的な金額は明記されていないが、被害者が72時間以内に攻撃者との連絡を確立できなかった場合、金額が増加することが示唆されている。さらに、被害者には、暗号化されたファイルの名前を変更したり変更したり、サードパーティの復号ツールを使用したりすると、永久的なデータ損失が発生することが明示的に警告されます。
OlSaveLock の身代金メモ、72 時間以内の身代金要求を脅かす
OlSaveLock 身代金メモの全文は次のとおりです。
あなたの個人ID:
あなたの会社のネットワークが侵入されました
重要なファイルはすべて暗号化されています。ファイルは安全です!改造のみ。 (RSA+AES)
サードパーティ製ソフトウェアを使用してファイルを復元しようとする試み
それを永久に破壊します。
暗号化されたファイルは変更しないでください。
暗号化されたファイルの名前を変更しないでください。インターネット上で入手できるソフトウェアは役に立ちません。それができるのは私たちだけです
あなたの問題を解決してください。私たちは機密性の高い個人データを収集しました。これらのデータは現在、次の場所に保存されています。
プライベートサーバー。このサーバーは支払い後すぐに破棄されます。
あなたが支払いをしないことに決めた場合、私たちはあなたのデータを一般公開または再販者に公開します。
したがって、近い将来、データが一般公開されることが期待できます。私たちは金銭のみを求めており、お客様の評判を傷つけたり、妨害したりすることが目標ではありません。
ビジネスの運営を妨げます。重要でないファイルを 2 ~ 3 個送っていただければ、無料で復号化します。
ファイルを返却できることを証明するためです。価格や復号化ソフトウェアについては、お問い合わせください。
Eメール:
ithelp10@securitymy.name
ithelp10@yousheltered.com
- 私たちに連絡するには、サイト protonmail.com で新しい無料メール アカウントを作成してください。
72時間以内にご連絡がない場合、価格は高くなります。
OlSaveLock のようなランサムウェアは通常、どのようにして被害者のシステムに配信されるのでしょうか?
OlSaveLock のようなランサムウェアを被害者のシステムに配信するには、通常、さまざまな方法と技術が必要です。ランサムウェアが一般的に配信される一般的な方法をいくつか示します。
- フィッシングメール: フィッシングメールは、依然としてランサムウェアを配信する一般的な方法です。攻撃者は、悪意のある添付ファイルやリンクを含む一見正当な電子メールを送信します。これらの電子メールは多くの場合、評判の高い組織になりすまし、受信者をだまして添付ファイルを開かせたり、ランサムウェアをシステムにダウンロードするリンクをクリックさせたりします。
- 悪意のあるダウンロード: ランサムウェアは、侵害された Web サイトや欺瞞的な広告 (マルバタイジング) からの悪意のあるダウンロードによって配信されることもあります。侵害された Web サイトにアクセスしたり、悪意のある広告をクリックすると、ランサムウェア ペイロードが自動的にダウンロードされ、実行される可能性があります。
- エクスプロイト キット: エクスプロイト キットは、ソフトウェアまたはオペレーティング システムの脆弱性を利用するツールキットです。セキュリティの弱点を悪用することで、ユーザーの介入なしに、脆弱なシステムにランサムウェアをサイレントに配信し、インストールすることができます。これらの脆弱性は、古いソフトウェアやパッチが適用されていないシステムで見つかる可能性があります。
- リモート デスクトップ プロトコル (RDP) 攻撃: 攻撃者は、リモート デスクトップ プロトコル (RDP) が有効になっているものの、ログイン資格情報が脆弱であるか、簡単に推測できるシステムをターゲットにする可能性があります。彼らはシステムへの不正アクセスを取得し、ランサムウェアを展開しようとします。
- 悪意のあるリンクと Web サイト: ランサムウェアは、ソーシャル メディア、インスタント メッセージング プラットフォーム、または侵害された Web サイトで共有された悪意のあるリンクを通じて配布される可能性があります。これらのリンクをクリックするか、感染した Web サイトにアクセスすると、ランサムウェアのダウンロードと実行が引き起こされる可能性があります。
- ドライブバイ ダウンロード: ドライブバイ ダウンロードは、侵害された Web サイトまたは悪意のある Web サイトにアクセスしているときに、ユーザーの知識や操作なしにランサムウェアが自動的にダウンロードおよびインストールされるときに発生します。ブラウザやプラグインの脆弱性を悪用して、ランサムウェアは密かに配信されます。
これらの配信方法は時間の経過とともに進化し、新しい技術が登場する可能性があることに注意することが重要です。ランサムウェア攻撃から保護するには、セキュリティ ソフトウェアを最新の状態に維持し、パッチとアップデートを定期的に適用し、電子メールの添付ファイルを開いたりリンクをクリックしたりするときに注意し、システムやネットワークに強力なアクセス制御とセキュリティ対策を実装することが重要です。定期的なデータのバックアップと、潜在的な脅威を認識して回避するためのユーザー教育も、ランサムウェア攻撃の影響を軽減する上で重要な役割を果たします。