ランサムウェア全体がデータ漏洩の脅威となる
新しく提出されたマルウェア サンプルの調査中に、研究者は「Whole」という名前のランサムウェア プログラムを発見しました。私たちは、これが Keylock ランサムウェアから派生したものであると判断しました。この悪意のあるソフトウェアはデータを暗号化し、復号化と引き換えに身代金を要求します。
私たちのテストでは、「Whole」ランサムウェアはファイルを暗号化し、ファイル名に「.whole」拡張子を追加しました。たとえば、元々「1.jpg」という名前のファイルは「1.jpg.whole」として表示され、「2.png」は「2.png.whole」として表示されます。
暗号化プロセスが完了すると、デスクトップの壁紙が変更され、「README-ID-[victim's_ID].txt」というタイトルの身代金メモが生成されました。このメモの内容から、このランサムウェアが主に個人ユーザーではなく企業をターゲットにしていることは明らかです。
デスクトップの壁紙「全体」に表示されるメッセージは、被害者に関連するテキスト ファイル (「README-ID-[victim's_ID].txt」) を読むように指示します。この身代金メモでは、被害者のファイルが暗号化されていることを説明し、被害者の固有の復号キーが攻撃者のサーバーに安全に保存されていることを保証します。
いくつかの暗号化されたファイルをサイバー犯罪者に送信することで、無料で回復をテストできます (特定のガイドラインの範囲内で)。被害者が 3 日以内に攻撃者に連絡を取ろうとしなかった場合、ビジネス関連の機密データが漏洩または販売される可能性があります。
このメッセージには警告も含まれており、影響を受けるファイルの名前を変更したり変更したり、サードパーティの回復ツールやウイルス対策ソフトウェアを使用したりすると、データが回復できなくなる可能性があることを被害者に通知します。
ランサムウェア全体が長文のメモを投下
身代金メモ全体の全文は次のとおりです。
ファイルは暗号化されています
あなたのファイルは強力な暗号化アルゴリズムで暗号化され、変更されています。
独自の暗号化キーは当社のサーバーに安全に保存されており、データは迅速かつ安全に復号化できるのでご安心ください。すべてのデータを復号化できることを証明できます。重要ではない小さい (~2mb) 暗号化ファイル 3 つを送信してください。これらのファイルはサーバーにランダムに保存されます。また、当社が残したこのファイル README-ID-.txt をすべてのフォルダーに添付してください。
これらのファイルを復号化し、証拠としてお送りします。無料テスト復号化用のファイルには貴重な情報を含めないでください。72 時間以内に当社との対話を開始しない場合、当社はあなたのファイルをパブリック ドメインで公開することを強制されます。顧客とパートナーにはデータ漏洩について通知されます。
このままではあなたの評判は地に落ちてしまいます。あなたが反応しない場合、私たちは利益を上げるためにデータベースや個人データなどの最も重要な情報を利害関係者に販売することを余儀なくされます。この状況を解決したい場合は、このファイル README-ID-.txt を手紙に添付し、次の 2 つの電子メール アドレスすべてに書いてください。
pmmx@techmail.info
Wholekey@mailfence.com重要!
エージェントへの過剰な支払いを避けるために、直接お問い合わせいただくことをお勧めします。
さまざまな理由によりメールが届かない可能性があるため、2 つのメール アドレスすべてにメッセージを送信してください。
弊社からのメッセージが迷惑メールとして認識される場合がございますので、必ず迷惑メールフォルダーをご確認ください。
24 時間以内に返信がない場合は、別の電子メール アドレスからご連絡ください。
時間を無駄にしないでください。それはあなたの会社にさらなる損害をもたらすだけです。
自分でファイルの名前を変更したり復号化しようとしないでください。ファイルが変更される場合はサポートできません。
データの復元にサードパーティのソフトウェアやウイルス対策ソリューションを使用する場合は、すべての暗号化されたファイルのバックアップを作成してください。
現在のコンピュータから暗号化されたファイルを削除すると、それらを復号化できなくなる可能性があります。
ランサムウェアはどのようにしてシステムに侵入するのでしょうか?
ランサムウェアはさまざまな手段を通じてシステムに侵入する可能性があり、そのような攻撃からシステムを保護するには、これらの侵入ポイントを理解することが重要です。ランサムウェアがシステムに侵入する一般的な方法は次のとおりです。
- 電子メールの添付ファイル: フィッシングメールは、ランサムウェア配布の一般的な方法です。サイバー犯罪者は、感染した添付ファイル (PDF、Word 文書、ZIP ファイルなど) や悪意のある Web サイトへのリンクを含む一見正当な電子メールを送信します。ユーザーがこれらの添付ファイルを開くかリンクをクリックすると、ランサムウェアがダウンロードされ、システム上で実行されます。
- 悪意のあるリンク: ランサムウェアは、電子メール、インスタント メッセージ、または Web サイト上の欺瞞的または悪意のあるリンクを通じて配信されることもあります。これらのリンクをクリックすると、ランサムウェアがダウンロードされて実行される可能性があります。
- マルバタイジング: サイバー犯罪者は、ランサムウェアを配信するために正規の Web サイト上で悪意のある広告 (マルバタイジング) を使用する可能性があります。これらの広告が表示される侵害された Web サイトにアクセスするだけで、マルウェアの自動ダウンロードが引き起こされる可能性があります。
- 脆弱性の悪用: ランサムウェアの作成者は、オペレーティング システムまたはアプリケーションのソフトウェアの脆弱性を悪用する可能性があります。システムが最新のセキュリティ パッチを適用していない場合、エクスプロイト ベースの攻撃に対して脆弱になる可能性があります。
- ドライブバイ ダウンロード: ランサムウェアは、ユーザーが侵害された Web サイトまたは悪意のある Web サイトにアクセスしているときに、無意識のうちに悪意のあるコードをダウンロードする「ドライブバイ ダウンロード」を通じて配信される可能性があります。これらのダウンロードは、ユーザーの操作や同意なしに行われる場合があります。
- リモート デスクトップ プロトコル (RDP) 攻撃: 攻撃者は、弱い RDP 資格情報またはデフォルトの RDP 資格情報を悪用して、リモート システムにアクセスする可能性があります。侵入すると、ランサムウェアをインストールし、ファイルを暗号化する可能性があります。
- ソフトウェアのダウンロード: 信頼できないソースまたは海賊版のソースからソフトウェアやファイルをダウンロードすると、システムがランサムウェアにさらされる可能性があります。違法なソフトウェアやクラックされたバージョンには、隠されたマルウェア ペイロードが含まれていることがよくあります。