ReadText ランサムウェアはドライブを暗号化します
私たちの研究チームは、新しい提出物の調査中に ReadText ランサムウェアに遭遇しました。この悪意のあるソフトウェアは、MedusaLocker ランサムウェア ファミリに属しています。
ReadText は、ランサムウェアに典型的な方法で機能します。テスト マシン上のファイルは暗号化され、元のファイル名に「.readtext4」拡張子が追加されました。細かい拡張機能の生成に使用される特定の番号は、ランサムウェアの亜種によって異なる場合があります。たとえば、元々「1.jpg」という名前のファイルは「1.jpg.readtext4」に変換され、「2.png」は「2.png.readtext4」に変換されます。
その後、「How_to_back_files.html」という名前の身代金メッセージを送信しました。このメッセージから、ReadText が企業をターゲットにし、二重恐喝戦術を採用していることは明らかです。
ReadText ランサムウェアに関するメモには、被害者の企業ネットワークが侵害されたと記載されています。重要なファイルが暗号化され、機密データや個人データが盗まれました。
このメッセージは、暗号化されたファイルのファイル名を変更したり、サードパーティの復号化ツールを使用して回復を試行したりしないようにアドバイスしています。そのような行為を行うと、データが回復不能になる可能性があります。
被害者は身代金を支払う必要があることを知らされます。遵守しない場合は、流出したデータが漏洩または販売される可能性があります。さらに、連絡が 72 時間以上遅れると、身代金の額が増加します。被害者は、支払いを行う前に、攻撃者に 2 ~ 3 個の暗号化ファイルを送信して、復号化プロセスをテストすることができます。
ReadText 身代金メモ、データ漏洩の脅威
ReadText 身代金メモの全文は次のとおりです。
あなたの個人ID:
あなたの会社のネットワークが侵入されました
重要なファイルはすべて暗号化されています。ファイルは安全です!改造のみ。 (RSA+AES)
サードパーティ製ソフトウェアを使用してファイルを復元しようとする試み
それを永久に破壊します。
暗号化されたファイルは変更しないでください。
暗号化されたファイルの名前は変更しないでください。インターネット上で入手できるソフトウェアは役に立ちません。それができるのは私たちだけです
あなたの問題を解決してください。私たちは機密性の高い個人データを収集しました。これらのデータは現在、次の場所に保存されています。
プライベートサーバー。このサーバーは支払い後すぐに破棄されます。
あなたが支払いをしないことに決めた場合、私たちはあなたのデータを一般公開または再販者に公開します。
したがって、近い将来、データが一般公開されることが期待できます。私たちは金銭のみを求めており、お客様の評判を傷つけたり、妨害したりすることが目標ではありません。
ビジネスの実行を妨げます。重要でないファイルを 2 ~ 3 個送っていただければ、無料で復号化します。
ファイルを返却できることを証明するためです。価格や復号化ソフトウェアについては、お問い合わせください。
Eメール:
ithelp15@securitymy.name
ithelp15@yousheltered.com私たちに連絡するには、サイト protonmail.com で新しい無料メール アカウントを作成してください。
72時間以内にご連絡がない場合、価格は高くなります。Tor-chat でいつでも連絡を取り合いましょう:
ランサムウェアはどのようにオンラインで配布されるのでしょうか?
ランサムウェアはさまざまな方法でオンラインで配布され、多くの場合、ソフトウェアの脆弱性、ソーシャル エンジニアリング技術、悪意のある添付ファイルやリンクを悪用します。ランサムウェアが配布される一般的な方法は次のとおりです。
フィッシングメール:
フィッシングメールは、ランサムウェアを拡散する一般的な方法です。攻撃者は、銀行、政府機関、信頼できる組織などの正当な送信元から送信されたように見える欺瞞的な電子メールを送信します。これらの電子メールには悪意のある添付ファイルまたはリンクが含まれており、クリックまたは開くと、被害者のコンピュータにランサムウェアをダウンロードして実行します。
マルバタイジング:
マルバタイジングには、サイバー犯罪者が正規の Web サイトに悪意のある広告を掲載する行為が含まれます。ユーザーがこれらの広告をクリックすると、無意識のうちにランサムウェアのダウンロードがトリガーされたり、エクスプロイト キットをホストする Web サイトにリダイレクトされ、そこからランサムウェア ペイロードが配信されたりする可能性があります。
ドライブバイダウンロード:
ドライブバイ ダウンロードは、ユーザーが侵害された Web サイトまたは悪意のある Web サイトにアクセスしたときに発生します。場合によっては、Web サイトはユーザーの Web ブラウザーまたはプラグインの脆弱性を悪用し、ユーザーの介入なしに訪問者のシステムにランサムウェアを自動的にダウンロードしてインストールします。
エクスプロイト キット:
エクスプロイト キットは、攻撃者が被害者のソフトウェアの脆弱性を特定して悪用するために使用するツールキットです。ユーザーが侵害された Web サイトにアクセスするか、悪意のあるリンクをクリックすると、エクスプロイト キットは脆弱性をスキャンし、脆弱性が見つかった場合はランサムウェア ペイロードを配信します。
リモート デスクトップ プロトコル (RDP) 攻撃:
攻撃者は公開された RDP ポートをターゲットにし、被害者のコンピュータまたはネットワークへの不正アクセスを試みます。侵入すると、ランサムウェアをシステムに直接展開します。
悪意のある添付ファイル:
ランサムウェアは、PDF、Word 文書、ZIP アーカイブなどの無害なファイルに偽装された電子メールの添付ファイルを通じて拡散する可能性があります。これらの添付ファイルを開くと、ランサムウェアのダウンロードを開始する悪意のあるスクリプトまたはマクロが実行されます。