Wwza ランサムウェアが被害者のシステムをロック
マルウェア サンプルの分析中に、Djvu ランサムウェア ファミリの一部である Wwza ランサムウェアを発見しました。このランサムウェアがコンピュータに侵入すると、データが暗号化され、ファイル名に「.wwza」拡張子が追加されます。たとえば、元々「1.jpg」という名前のファイルは「1.jpg.wwza」に変更され、「2.png」は「2.png.wwza」に変更されます。
ファイルの暗号化に加えて、Wwza は「_readme.txt」という名前のテキスト文書の形式で身代金メモを生成します。 Wwza の配布には、情報を盗むように設計された他のさまざまな種類のマルウェアが関与する可能性があります。
身代金メモでは、ファイルの復号化は完全に専用の復号化ソフトウェアと一意のキーに依存していると強調しています。さらに詳細なガイダンスを受け取るには、提供された電子メール アドレス (support@freshmail.top または datarestorehelp@airmail.cc) を通じて攻撃者と連絡を取るよう被害者に指示します。
さらに、身代金メモには 2 つの金額 (980 ドルと 490 ドル) が記載されており、被害者が 72 時間以内に犯人と連絡を開始した場合、復号ツールの割引料金が適用される可能性があることを示唆しています。
Wwza は標準の Djvu ノート テンプレートを使用します
Wwza の身代金メモの全文は次のとおりです。
注意!
心配しないでください。すべてのファイルを返却できます。
写真、データベース、ドキュメント、その他の重要なファイルはすべて、最強の暗号化と一意のキーで暗号化されます。
ファイルを回復する唯一の方法は、復号化ツールと一意のキーを購入することです。
このソフトウェアはすべての暗号化されたファイルを復号化します。
どのような保証がありますか?
暗号化されたファイルの 1 つを PC から送信すると、無料で復号化されます。
ただし、無料で復号できるファイルは 1 つだけです。ファイルには貴重な情報が含まれていてはなりません。
ビデオ概要の復号化ツールを入手して見ることができます。
hxxps://we.tl/t-xoUXGr6cqT
秘密キーと復号化ソフトウェアの価格は 980 ドルです。
最初の 72 時間以内にご連絡いただければ 50% 割引が可能です。その価格は $490 です。
支払いがなければデータを復元することはできないことに注意してください。
6 時間以上応答がない場合は、電子メールの「スパム」または「迷惑メール」フォルダを確認してください。このソフトウェアを入手するには、電子メールに次のように記入する必要があります。
support@freshmail.top連絡用の電子メール アドレスを予約してください:
datarestorehelp@airmail.ccあなたの個人ID:
Wwza のようなランサムウェアはどのようにしてコンピュータに感染するのでしょうか?
Wwza のようなランサムウェアは、さまざまな手段でコンピュータに感染する可能性があり、多くの場合、欺瞞的な戦術やセキュリティの脆弱性を利用します。ランサムウェアがコンピュータに侵入する一般的な方法は次のとおりです。
- 悪意のある電子メールの添付ファイル: サイバー犯罪者は、フィッシング電子メールを介してランサムウェアを配布することがよくあります。彼らは、悪意のあるマクロやスクリプトを含む Word 文書や PDF など、一見無害な添付ファイルを含む電子メールを送信します。添付ファイルを開くと、ランサムウェアが起動します。
- 感染した電子メールのリンク: フィッシングメールには、悪意のある Web サイトへのリンクが含まれている場合もあります。これらのリンクをクリックすると、ドライブバイ ダウンロードが行われたり、ランサムウェアをダウンロードさせるサイトにリダイレクトされたりする可能性があります。
- マルバタイジング: ランサムウェアは、悪意のあるオンライン広告 (マルバタイジング) を通じて拡散する可能性があります。これらの広告をクリックすると、ドライブバイ ダウンロードがトリガーされ、知らないうちにシステムにランサムウェアがインストールされる可能性があります。
- ソフトウェアの脆弱性: ランサムウェアは、オペレーティング システム、ソフトウェア、またはブラウザの脆弱性を悪用する可能性があります。このため、最新のセキュリティ パッチを適用してソフトウェアを最新の状態に保つことが重要です。
- 侵害されたソフトウェアまたは偽のソフトウェア: 一部のランサムウェアは、クラックされたソフトウェアまたは海賊版ソフトウェアにバンドルされているか、正規のアプリケーションを装っています。このようなソフトウェアをダウンロードしてインストールすると、感染につながる可能性があります。
- リモート デスクトップ プロトコル (RDP) 攻撃: 攻撃者は、弱い RDP 接続または公開された RDP 接続を通じてコンピュータにアクセスする可能性があります。侵入すると、ランサムウェアを手動でインストールする可能性があります。
- 悪意のある Web サイト: 侵害された Web サイトまたは悪意のある Web サイトにアクセスすると、コンピュータがドライブバイ ダウンロードにさらされる可能性があります。信頼できる Web サイトのみにアクセスし、可能であればブラウザのセキュリティ拡張機能を使用するようにしてください。
- ソーシャル エンジニアリング: 攻撃者は、偽のテクニカル サポートへの電話などのソーシャル エンジニアリング戦術を使用して、ユーザーをだましてコンピューターへのアクセスを許可する可能性があります。侵入すると、ランサムウェアが展開される可能性があります。