修復ランサムウェアはMedusaLockerをベースにしている
新たに発見されたファイル サンプルを調べているときに、MedusaLocker ランサムウェア ファミリーに属する Repair という悪意のあるソフトウェアに遭遇しました。Repair は、データを暗号化するランサムウェアとして機能します。
分析中に、このプログラムがファイルを暗号化し、ファイル名に「.repair」拡張子を追加していることがわかりました。たとえば、元々「1.jpg」という名前だったファイルは「1.jpg.repair」に、「2.png」は「2.png.repair」のように表示されます。
暗号化プロセスが完了すると、ランサムウェアは身代金要求文を含んだ「How_to_back_files.html」というタイトルの HTML ファイルを生成しました。このランサムウェアは、復号化の対価を要求するだけでなく、被害者にデータ漏洩を脅迫する二重の恐喝戦術を採用しています。
身代金要求メッセージには、Repair が個人ユーザーではなく主に企業をターゲットにしていることが明確に示されています。企業ネットワーク上のファイルが暗号化され、機密データや個人データが抽出されたことが通知されています。
この注意書きでは、暗号化されたファイルを復元できるのは攻撃者だけであることを強調しています。ファイルの名前を変更したり、変更したり、手動で復号化しようとすると、回復不能なデータ破損が発生します。
ファイルを復号するには、被害者は身代金を支払う必要があり、それに従わない場合はコンテンツが漏洩または販売されるという警告が出されます。72 時間以内にサイバー犯罪者と連絡が取れない場合は、身代金の額が増額されます。これらの要求に応じる前に、被害者は最大 3 つの重要でないファイルで復号をテストすることが許可されます。
身代金要求書のコピーを修復する MedusaLocker テンプレート
Repair 身代金要求書の全文は次のとおりです。
YOUR PERSONAL ID: -
YOUR COMPANY NETWORK HAS BEEN PENETRATED
All your important files have been encrypted!Your files are safe! Only modified. (RSA+AES)
ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE
WILL PERMANENTLY CORRUPT IT.
DO NOT MODIFY ENCRYPTED FILES.
DO NOT RENAME ENCRYPTED FILES.No software available on internet can help you. We are the only ones able to
solve your problem.We gathered highly confidential/personal data. These data are currently stored on
a private server. This server will be immediately destroyed after your payment.
If you decide to not pay, we will release your data to public or re-seller.
So you can expect your data to be publicly available in the near future..We only seek money and our goal is not to damage your reputation or prevent
your business from running.You will can send us 2-3 non-important files and we will decrypt it for free
to prove we are able to give your files back.Contact us for price and get decryption software.
email:
suntorydots@tutanota.com
suntorydots@outlook.comTo contact us, create a new free email account on the site: protonmail.com
IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER.Tor-chat to always be in touch:
ランサムウェアの最も一般的な配布ベクトルは何ですか?
ランサムウェアはさまざまな配布ベクトルを通じてシステムに侵入しますが、最も一般的な配布ベクトルには次のようなものがあります。
フィッシング メール:フィッシング メールは、ランサムウェア配布の主な方法です。攻撃者は、悪意のある添付ファイルやリンクを含む偽のメールを送信し、正当な団体や組織を装うことがよくあります。これらの添付ファイルやリンクをクリックすると、ランサムウェアのダウンロードと実行がトリガーされる可能性があります。
悪意のある Web サイト:ランサムウェアは、侵害された Web サイトや悪意のある Web サイトを通じて配布される可能性があります。そのような Web サイトにアクセスしたり、悪意のある広告をクリックしたりすると、ランサムウェアが被害者のシステムに自動的にダウンロードされ、インストールされる可能性があります。
エクスプロイト キット:エクスプロイト キットは、ソフトウェアや Web ブラウザーの脆弱性を悪用するように設計された、事前に作成されたコードを含むツールキットです。サイバー犯罪者はエクスプロイト キットを使用して、システムの脆弱性を自動的に識別して悪用し、ユーザーの介入なしにランサムウェアのペイロードを配信します。
ソフトウェアの脆弱性:ランサムウェアの作成者は、多くの場合、オペレーティング システムやソフトウェア アプリケーションの既知の脆弱性を悪用して、システムに不正にアクセスします。セキュリティ パッチや更新プログラムをインストールしないと、システムはランサムウェアによる悪用を受けやすくなります。
ドライブバイ ダウンロード:ドライブバイ ダウンロードは、ランサムウェアが被害者の知らないうちに、または同意なしに被害者のシステムにダウンロードされ、インストールされるときに発生します。これは、侵害された Web サイトにアクセスしたり、悪意のあるリンクをクリックしたりするときによく発生します。
ソーシャル エンジニアリング戦術:ランサムウェアの配布者は、多くの場合、ソーシャル エンジニアリング戦術を使用して、ユーザーを騙して悪意のあるコードを実行させます。これには、欺瞞的な広告、偽のソフトウェア更新、または詐欺的なオファーを通じて、悪意のあるソフトウェアをダウンロードして実行するようにユーザーを誘導することが含まれます。
ランサムウェア感染のリスクを軽減するには、ユーザーと組織は、定期的なソフトウェア更新、フィッシングメールの識別に関する従業員のトレーニング、信頼できるウイルス対策ソフトウェアとファイアウォールの使用など、強力なサイバーセキュリティ対策を実施する必要があります。さらに、ランサムウェア攻撃が発生した場合に回復するには、重要なデータの定期的なバックアップを維持することが不可欠です。
