ダルマファミリーに新たに加わった Ztax ランサムウェア
ランサムウェア攻撃は、個人と組織の両方を標的とする最も破壊的なサイバー犯罪の 1 つになっています。Ztax ランサムウェアは、悪名高いDharma ランサムウェア ファミリーの一部です。ランサムウェアは通常、被害者のデータを暗号化して脅迫することを目的としていますが、Ztax には特に懸念される独自の特徴があります。
Table of Contents
Ztax ランサムウェアとは何ですか?
Ztax ランサムウェアは、被害者のファイルをロックし、解放と引き換えに金銭を要求するデータ暗号化の脅威です。このランサムウェアは、Dharma ファミリーの他のランサムウェアと同様に、暗号化されたファイルに独自の拡張子を追加します。感染したファイルは、被害者固有の ID、攻撃者が管理する電子メール アドレス、および「.Ztax」拡張子を使用して名前が変更されます。たとえば、「photo.jpg」という名前のファイルは「photo.jpg.id-12345.[taxz@cock.li].Ztax」に変更され、復号化しないと使用できなくなります。
Ztax は暗号化プロセスを完了すると、被害者のマシンに身代金要求のメモを送ります。これらのメモは、ポップアップ ウィンドウと「manual.txt」という名前のテキスト ファイルの両方に表示されます。このファイルはデスクトップとすべての暗号化されたフォルダ内にあります。身代金要求のメモは比較的短く、被害者に攻撃者に電子メールを送信してデータを回復するための手順を指示します。
身代金要求書には次のように書かれています。
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: taxz@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:taxz@cyberfear.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
身代金要求と暗号化プロセス
他の多くのランサムウェアと同様に、Ztax ランサムウェアはファイルの復号化に対してビットコインでの支払いを要求します。被害者は、最大 3 つのファイルを攻撃者に送ることで復号化プロセスをテストできると言われ、身代金を支払えばうまくいくかもしれないという保証を得ます。しかし、攻撃者は、サードパーティのツールを使用したり、暗号化されたファイルを変更しようとしたりしないよう警告し、データへのさらなる損害を脅かします。
Ztax やその他の Dharma ランサムウェアの亜種の注目すべき特徴の 1 つは、重要なシステム ファイルを暗号化しないことです。つまり、デバイスは攻撃後も動作可能な状態のままです。この点が、システムを完全に無力化できる他のランサムウェア タイプとは一線を画しています。ただし、個人またはビジネス関連のファイルにアクセスできなくなると壊滅的な被害を受ける可能性があるため、攻撃の影響が軽減されるわけではありません。
Ztax ランサムウェアがどのように拡散し、存続するか
Ztax ランサムウェアは、他の Dharma 亜種と同様に、リモート デスクトップ プロトコル (RDP) サービスの脆弱性を介して拡散することがよくあります。攻撃者は、一般的にブルート フォース手法を使用して、セキュリティが不十分なシステムにアクセスします。侵入すると、ファイアウォールを無効にしてランサムウェア攻撃を開始します。フィッシングやソーシャル エンジニアリングも一般的な感染方法で、メール内の悪意のある添付ファイルやリンクが主な配信メカニズムです。
デバイスに感染した後、Ztax は %LOCALAPPDATA% パスなどのシステム内の特定の場所に自身をコピーすることで永続性を確保します。また、特定の実行キーに登録して、再起動のたびに自動的に起動できるようにします。この永続性により、ランサムウェアは削除されるまでシステムに影響を与え続けます。
Ztaxランサムウェアが求めるもの
他のランサムウェアと同様、Ztax ランサムウェアの主な目的は金銭的利益を得ることです。身代金はビットコインで支払うよう要求されます。ビットコインは比較的匿名性が高いため、サイバー犯罪者に好まれる暗号通貨です。しかし、身代金を支払ってもファイルの復元が保証されるわけではありません。多くの場合、被害者は攻撃者の要求に応じた後でも、復号キーやソフトウェアを受け取ることはありません。
Ztax の身代金要求メッセージでは、サードパーティのツールを使用してファイルを復元しようとしたり、外部サービスに助けを求めたりすることのリスクを強調しています。これは、復元が確実ではないにもかかわらず、被害者に支払いを強要するためによく使用される脅迫戦術です。
Ztax ランサムウェアの予防と回復
Ztax ランサムウェアがシステムに感染し、ファイルを暗号化すると、それを削除しても侵害されたデータは復元されません。ファイルを復元する唯一の確実な方法は、感染前に作成され、安全な接続されていない場所に保存されたバックアップを使用することです。残念ながら、Ztax はボリューム シャドウ コピー (一部のシステムの自動バックアップ機能) も削除するため、復元方法としては利用できません。
このような攻撃を防ぐために、ユーザーと組織は強力なセキュリティ対策を維持する必要があります。これには、リモート サーバーや外部ストレージ デバイスなど、複数の安全な場所に重要なデータのバックアップを保存することが含まれます。さらに、強力な認証情報管理とセキュリティ ソフトウェアの定期的な更新により、ランサムウェアの被害に遭うリスクを軽減できます。
Ztax ランサムウェア攻撃から学ぶ教訓
Ztax ランサムウェアは、積極的なサイバーセキュリティ対策の重要性を改めて思い起こさせるものです。システムを操作不能にすることなくファイルを暗号化できるため、それほど深刻ではないように思えるかもしれませんが、それがもたらす損害は長期に及び、経済的に破滅的な打撃となる可能性があります。Dharma ランサムウェア ファミリーは、脆弱なシステムと無防備なユーザーを悪用しながら進化を続けています。
誰にとっても、Ztax のようなランサムウェアから身を守る鍵は警戒心です。疑わしいダウンロードを避け、強力なパスワード ポリシーを実装し、RDP サービスをセキュリティ保護することで、攻撃のリスクを大幅に軽減できます。そして最も重要なのは、最新のバックアップを用意しておけば、ランサムウェアに襲われた場合でも、サイバー犯罪者に金銭を支払うことなく回復できることです。
