TXTMEランサムウェア:ありふれた場所に潜むデジタル誘拐犯
Table of Contents
TXTME ランサムウェアとは何ですか?
悪名高いDharmaランサムウェアファミリーに、新たにTXTMEと呼ばれるランサムウェアが加わりました。TXTMEは、今やお馴染みの、しかし依然として危険な動作パターンを辿ります。被害者のシステム上のファイルを暗号化し、アクセスと引き換えに金銭を要求します。デバイスに感染すると、このランサムウェアは影響を受けたすべてのファイル名に、被害者固有のID、2つの連絡先メールアドレスのうち1つ、そして「.TXTME」拡張子を付加して変更します。例えば、「photo.jpg」は「photo.jpg.id-9ECFA84E.[ownercall@tuta.io].TXTME」のようになります。
ランサムウェアは暗号化後、ポップアップ通知とTXTME.txtというテキストファイルの2種類の身代金要求メッセージを残しました。どちらのメッセージも、被害者にデータにアクセスできなくなったことを通知し、「解決策」として攻撃者にメールを送信し、ビットコインで身代金を支払うよう促しています。また、メッセージには暗号化されたファイルの改ざんや外部の復旧ツールの使用に対する警告も記載されており、被害者が自力で対処しようとした場合、永久的なデータ損失につながる恐れがあります。
身代金要求書には次のように書かれています。
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain BitcoinsAlso you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
ランサムウェア攻撃を理解する
TXTMEのようなランサムウェアは、データを人質に取ることを目的に特別に設計された悪意のあるソフトウェアの一種です。システムへのアクセスに成功すると、ファイルを暗号化し、ユーザーから情報へのアクセスを遮断します。その後、被害者は復号鍵を受け取るために、通常は暗号通貨で身代金を支払うよう指示されます。しかし、サイバーセキュリティの専門家は、身代金の支払いに対して常に警告を発しています。犯罪者が復号ツールを提供する保証はなく、身代金を支払うことは将来の攻撃の連鎖を助長するだけです。
これらの攻撃は、特に機密データやかけがえのないデータを持つ企業や機関にとって深刻な結果をもたらす可能性があります。データ損失、サービス中断、そして経済的損害のリスクは高いです。幸いなことに、最善の防御策は事前の準備です。定期的にデータをオフラインまたはリモートサイトにバックアップすることで、ランサムウェア攻撃の影響を大幅に軽減できます。
TXTME の違いは何ですか?
TXTMEは単なるファイルロッカーではありません。より深刻な妨害と永続性を実現するよう設計されています。起動すると、システムファイアウォールを無効化し、Windowsがシステムの復元やファイルの復元に通常使用するボリュームシャドウコピーを削除します。これにより、ユーザーが身代金を支払わずにファイルを復元することは非常に困難になります。
このマルウェアは、感染したマシン上で自身を%LOCALAPPDATA%ディレクトリにコピーし、Windowsレジストリキーを編集してシステム起動時に毎回実行されるようにすることで、確実に存続します。さらに、特定の地域のシステムへの感染を避けるために位置情報も収集します。これは、マルウェアの運営者が特定の国への感染を避けようとしていることを示唆しており、法的措置を回避したり、管轄当局による監視を回避したりすることが考えられます。
TXTMEの拡散方法
TXTMEの正確な配布方法は現在調査中ですが、公開されているリモートデスクトッププロトコル(RDP)サービスを介して拡散する可能性が高いと考えられます。攻撃者は、RDPが有効になっているシステム上で、総当たり攻撃を用いて脆弱なパスワードや一般的なパスワードを推測することがよくあります。侵入後、ランサムウェアを手動で展開します。
より広義には、ランサムウェアはフィッシングメール、悪意のある添付ファイル、偽のソフトウェアアップデート、侵害されたウェブサイト、または海賊版ソフトウェアへのバンドルを通じて拡散することが一般的です。また、USBドライブ、感染したインストーラー、または古いソフトウェアの脆弱性を介して拡散することもあります。脅威の状況は常に進化しており、警戒を怠ってはなりません。
予防とベストプラクティス
TXTMEのようなランサムウェアから身を守る最善の方法は、予防的なセキュリティ対策と意識向上を組み合わせることです。まず、不要な場合はRDPを無効にしましょう。RDPが不可欠なシステムでは、強力で複雑なパスワードを使用し、多要素認証を有効にしてください。すべてのソフトウェア、オペレーティングシステム、セキュリティツールを最新のパッチで常に最新の状態に保ってください。
メールの添付ファイルやリンクのクリックには注意が必要です。特に、見慣れないソースから送信されたものは注意が必要です。信頼できないウェブサイトからソフトウェアをダウンロードしたり、正規プログラムのクラック版を使用したりするのは避けましょう。ランサムウェアはこうした手口を頻繁に利用して防御をすり抜けます。
バックアップの重要性
バックアップは、ランサムウェアに対する最も強力な対策の一つです。重要なファイルのコピーを別のデバイスや安全なクラウドサービスに保存しておくことで、被害を大幅に軽減できます。攻撃を受けた場合でも、攻撃者とやり取りすることなく、システムを消去して復元することができます。
ただし、多くのランサムウェアは接続されたバックアップドライブも検出して暗号化しようとするため、使用していないバックアップはメインシステムから切断する必要があります。適切なバージョン管理を備えたスケジュールされた自動バックアップは、最も高い復元力を提供します。
最後に
TXTMEは、ランサムウェアの脅威が進化と適応を続けていることを思い出させます。その手法はDharmaファミリーの他の亜種と似ていますが、システムの永続化、ファイアウォールの無効化、特定の地域への侵入回避といったカスタマイズされた機能は、高度な計画性を示しています。
サイバー犯罪者は常に脆弱性を悪用する新たな方法を模索していますが、常に情報を入手し、適切なサイバー衛生を維持することが大きな違いをもたらします。TXTMEのような脅威の仕組みを理解することで、ユーザーと組織はデジタル身代金を支払うという罠に陥ることなく、より適切な準備、対応、そして復旧を行うことができます。
