Protect (MedusaLocker) ランサムウェアが企業データの暗号化を狙う

最近提出されたファイルを調査しているときに、私たちのチームはユニークな発見をしました。それは、MedusaLocker ランサムウェア ファミリに属する、Protect として知られるランサムウェアの亜種の出現です。他の種類のランサムウェアと同様、Protect の主な目的は、データを暗号化し、その復号化のために身代金を要求することです。

Protect の動作を調査するために、テスト マシンでサンプルを実行しました。その結果、ファイルが暗号化されました。特に、ランサムウェアは元のファイル名に「.protect3」拡張子を追加しました。たとえば、「1.jpg」という名前のファイルは「1.jpg.protect3」に変換され、「2.png」は「2.png.protect3」というように変換されます。拡張機能内の数値はランサムウェアの特定の亜種によって異なる可能性があることに注意してください。

暗号化プロセスが完了すると、Protect は「How_to_back_files.html」というタイトルの身代金メモを生成しました。メモの内容は、Protect (MedusaLocker) ランサムウェアが個人の家庭ユーザーではなく企業を特にターゲットにしていることを示しています。

身代金メモは、企業ネットワークが侵害され、すべての重要なファイルが RSA および AES 暗号化アルゴリズムを使用して暗号化されていることを被害者に伝えます。ロックされたデータの名前変更、変更、復号化の試行を行うと永久にアクセスできなくなるため、明示的に警告します。このメモでは、影響を受けたファイルを復元できるのは攻撃者だけであると強調しています。

さらに、身代金メモには、侵害されたネットワークから機密情報と個人情報が抽出されたことが宣言されています。被害者は 72 時間以内にサイバー犯罪者に連絡するよう指示され、復号化プロセスをテストする手段として 2 ～ 3 つの非必須ファイルを提出するよう指示されます。身代金の要求に従わない場合、加害者は盗んだデータをオンラインに漏洩することになります。

2 つのファイルの復号化を約束する身代金メモの保護

Protect 身代金メモの全文は次のとおりです。

あなたの個人ID:

あなたの会社のネットワークが侵入されました
重要なファイルはすべて暗号化されています。

ファイルは安全です!改造のみ。 (RSA+AES)

サードパーティ製ソフトウェアを使用してファイルを復元しようとする試み
それを永久に破壊します。
暗号化されたファイルは変更しないでください。
暗号化されたファイルの名前を変更しないでください。

インターネット上で入手できるソフトウェアは役に立ちません。それができるのは私たちだけです
あなたの問題を解決してください。

私たちは機密性の高い個人データを収集しました。これらのデータは現在、次の場所に保存されています。
プライベートサーバー。このサーバーは支払い後すぐに破棄されます。
あなたが支払いをしないことに決めた場合、私たちはあなたのデータを一般公開または再販者に公開します。
したがって、近い将来、データが一般公開されることが期待できます。

私たちは金銭のみを求めており、お客様の評判を傷つけたり、妨害したりすることが目標ではありません。
ビジネスの運営を妨げます。

重要でないファイルを 2 ～ 3 個送っていただければ、無料で復号化します。
ファイルを返却できることを証明するためです。

価格や復号化ソフトウェアについては、お問い合わせください。

Eメール：
ithelp01@securitymy.name
ithelp01@yousheltered.com

• 私たちに連絡するには、サイト protonmail.com で新しい無料メール アカウントを作成してください。
  72時間以内にご連絡がない場合、価格は高くなります。
• Tor-chat でいつでも連絡を取り合いましょう:

貴重なデータをランサムウェアから守るにはどうすればよいでしょうか?

貴重なデータをランサムウェアから保護するには、プロアクティブで多層的なアプローチが必要です。ランサムウェア攻撃に対する防御を強化するために実行できるいくつかの手順を次に示します。

• データのバックアップ: 重要なファイルとデータを外部デバイスまたはクラウド ストレージに定期的にバックアップします。バックアップが攻撃による侵害を防ぐために、バックアップがオフラインであるか、別のネットワークに保存されていることを確認してください。バックアップの整合性を検証し、復元プロセスをテストしてその有効性を確認します。
• ソフトウェアを最新の状態に保つ: オペレーティング システム、アプリケーション、セキュリティ ソフトウェアを最新の状態に保ちます。自動更新はランサムウェアが悪用する可能性のある脆弱性に対処することが多いため、最新のパッチとセキュリティ修正を確実に入手できるように、可能な限り自動更新を有効にしてください。
• 堅牢なセキュリティ ソフトウェアを使用する: 評判の良いウイルス対策ソフトウェアとマルウェア対策ソフトウェアをすべてのデバイスにインストールします。リアルタイム スキャンと自動更新を有効にして、ランサムウェアの脅威を検出してブロックします。疑わしいアクティビティを特定するために、動作ベースの検出を提供するソフトウェアの使用を検討してください。
• 電子メールとダウンロードには注意してください: 電子メールの添付ファイルを開いたり、リンクをクリックしたりするときは、特に不明な送信者または不審な電子メールからのものである場合は注意してください。信頼できないソースからファイルをダウンロードしたり、悪意のあるコンテンツをホストする可能性のある危険な Web サイトにアクセスしたりしないでください。電子メール フィルタリング ソリューションと Web フィルタリング ソリューションを実装して、既知の悪意のある添付ファイルや URL をブロックします。
• ファイアウォールと侵入検知システムを有効にする: ネットワークとデバイス上でファイアウォールを有効にして、悪意のあるネットワーク トラフィックを除外します。さらに、不正アクセスの試みを監視およびブロックするために、侵入検知および防御システム (IDPS) の導入を検討してください。
• マクロとアクティブ コンテンツを無効にする: 業務に必要でない限り、Microsoft Office などのオフィス生産性ソフトウェアのマクロを無効にします。ドキュメントや Web サイトでマクロや JavaScript などのアクティブ コンテンツを有効にする場合は、ランサムウェア ペイロードの配信に使用される可能性があるため注意してください。
• 強力で一意のパスワードを使用する: オペレーティング システム、アプリケーション、オンライン サービスを含むすべてのアカウントに強力で一意のパスワードを実装します。複雑なパスワードを安全に保存および生成するには、パスワード マネージャーの使用を検討してください。