Xrp ランサムウェアが被害者のドライブを暗号化
新しいマルウェア サンプルを調査しているときに、GlobeImposter ファミリに属する Xrp として知られるランサムウェアの亜種に遭遇しました。 Xrp の主な目的は、電子メール アドレスと「.xrp」拡張子をファイル名に追加してファイルを暗号化することです。さらに、身代金メモ (「Read_For_Restore_File.html」) も含まれています。
たとえば、Xrp は、「1.jpg」のようなファイル名を「1.jpg.[a.wyper@bejants.com].xrp」に、「2.png」を「2.png.[a.wyper@bejants.com]」に変更します。 com].xrp」など。
身代金メモは、ファイルが堅牢な RSA-2048 アルゴリズムを使用して暗号化されていることを被害者に通知します。攻撃者が保持する秘密鍵がなければファイルの復元は不可能であると主張しています。
データを回復するには、被害者は protonmail.com または Cock.li で電子メール アカウントを作成するよう指示されます。このメモでは、ブロックされる可能性があるため、標準の電子メール アドレスを使用しないよう警告しています。その後、被害者は、新しく設定されたアドレスから自分の ID を含む電子メールを a.wyper@bejants.com に送信するよう指示されます。
攻撃者は、ファイルの復号化に関するさらなる指示を返信することを約束します。 48 時間以内に応答がない場合は、代替電子メール アドレス a.wyper@worldtravelnotebook.com が提供されます。
Table of Contents
Xrp身代金メモは被害者に新しいメールアドレスを作るよう指示
Xrp身代金メモの全文は次のとおりです。
YOUR FILES ARE ENCRYPTED!
Your documents, photos, databases and all the rest files encrypted cryptographically strong algoritm RSA-2048.
Without a secret key stored with us, the restoration of your files is impossibleTo start the recovery process:
Register email box to protonmail.com or cock.li (do not waste time sending letters from your standard email address, they will all be blocked).
Send a email from your new email address to: a.wyper@bejants.com with your personal ID.
In response, we will send you further instructions on decrypting your files.
あなたの個人ID:
PS
当社はお客様の復号キーを当社のサーバーに長期間保存しないため、ファイルを確実に回復するためにできるだけ早くご対応いただくことがお客様の利益となります。
弊社からのメールをお待ちいただく際は「迷惑メール」フォルダをご確認ください。
48 時間以上メッセージに返信がない場合は、バックアップ電子メール: a.wyper@worldtravelnotebook.com にご連絡ください。
Q: 回答がありませんでしたか?
A: スパムフォルダを確認してください。
Q: スパムフォルダーが空になっています。どうすればよいですか?
A: 電子メール ボックスを protonmail.com または Cock.li に登録し、上記の手順を実行します。
ランサムウェアはどのようにしてシステムに感染するのでしょうか?
ランサムウェアはさまざまな手段を通じてシステムに感染する可能性があり、攻撃者は多くの場合、脆弱性を悪用するために高度な技術を使用します。ランサムウェアがシステムに感染する一般的な方法は次のとおりです。
フィッシングメール:最も一般的な手法の 1 つは、フィッシングメールによるものです。攻撃者は、悪意のある添付ファイルやリンクを含む電子メールを送信します。ユーザーが添付ファイルを開くかリンクをクリックすると、ランサムウェアがダウンロードされ、システム上で実行されます。
悪意のある Web サイト:侵害された Web サイトまたは悪意のある Web サイトにアクセスすると、システムがランサムウェアにさらされる可能性があります。ユーザーの認識や同意なしにマルウェアが自動的にダウンロードおよびインストールされるドライブバイ ダウンロードが発生する場合があります。
マルバタイジング:攻撃者は悪意のある広告 (マルバタイジング) を使用してランサムウェアを配布します。正規の Web サイトでは無意識のうちに悪意のある広告が表示される場合があり、これらの広告をクリックするとランサムウェアがダウンロードされる可能性があります。
ソフトウェアの脆弱性の悪用:ランサムウェアは、オペレーティング システム、ソフトウェア、またはアプリケーションの脆弱性を悪用する可能性があります。システムがセキュリティ パッチで定期的に更新されていない場合、これらの攻撃の影響を受けやすくなります。
リモート デスクトップ プロトコル (RDP) 攻撃:サイバー犯罪者は、セキュリティが不十分なリモート デスクトップ プロトコル接続を通じてシステムへの不正アクセスを試みる可能性があります。侵入すると、ランサムウェアが展開される可能性があります。
ソーシャル エンジニアリング:攻撃者はソーシャル エンジニアリング技術を使用して、ユーザーをだまして悪意のあるスクリプトを実行したり、感染したファイルをダウンロードさせたりする可能性があります。これには、ユーザーをだまして不必要な権限を付与させたり、一見無害なアプリケーションを実行させたりすることが含まれる場合があります。
水飲み場攻撃:このタイプの攻撃では、サイバー犯罪者は、標的となるユーザーが頻繁にアクセスする Web サイトを侵害します。ユーザーがこれらのサイトにアクセスすると、知らず知らずのうちにランサムウェアなどのマルウェアをダウンロードしてしまいます。
感染したソフトウェア インストーラー:悪意のあるソフトウェア インストーラーは、多くの場合、正規のアプリケーションやアップデートを装って実行されると、ランサムウェアを配布する可能性があります。