WickrMeランサムウェアキャンペーンは古いMicrosoftSharePointサーバーの後に行われます
WickrMeランサムウェア(Hello Ransomwareとも呼ばれます)は危険なファイル暗号化トロイの木馬であり、これまでのところ、非常に特定のターゲットセットに対して使用されています。 WickrMeメッセージングサービスとは何の関係もないことを付け加えることが重要です。このマルウェアの作成者は、インターネット上のランダムなユーザーにマルウェアを広めているのではなく、脆弱なMicrosoftSharePointサーバーに対して慎重に調整された攻撃を実行しています。もちろん、WickrMe Ransomwareキャンペーンは2019年にさかのぼる脆弱性に依存しているため、ソフトウェアを最新の状態に保つシステム管理者はこの攻撃の脅威にさらされません。残念ながら、多くのシステムは古いソフトウェアを実行しているために依然として脆弱です。それらはWickrMeランサムウェアの正確なターゲットです。
比較的特殊な感染ベクトルを除けば、WickrMeランサムウェアは他のファイル暗号化トロイの木馬と同じように動作します。その攻撃にはいくつかの段階がありますが、これは異常ではありません。
- マルウェアが暗号化するファイルにアクセスするのを妨げる可能性のあるデータベース管理ソフトウェアやその他のユーティリティによって使用されるプロセスを無効にします。
- ディスクパーティションをスキャンして、暗号化するファイルタイプを探し、そのコンテンツをロックします。
- ロックするファイルの名前に「.hello」サフィックスを追加します。
- 特定の被害者向けのカスタムメールを含む身代金メモ「Readme !!!。txt」を削除します。
もちろん、犯罪者はビットコインを介して身代金の支払いを要求します。電子メールとは別に、犯罪者はWickrMeユーザー名も提供します。このユーザー名を使用して連絡を取ることができます。このサービスがランサムウェアオペレーターによって使用されるのはこれが初めてです。
残念ながら、WickrMe Ransomwareの暗号化は破られず、無料の復号化ソフトウェアは問題外です。ただし、この攻撃の被害者は、詐欺のリスクが高すぎるため、攻撃者と協力することに同意するべきではありません。 WickrMeランサムウェアの被害者は、サイバー犯罪者に連絡する代わりに、ウイルス対策ソフトウェアを使用して脅威を排除し、バックアップまたは一般的な回復ソフトウェアを介してファイルを復元してみてください。