「攻撃者がサイバー衛生に無関心な従業員を騙して添付ファイルを開いたり、悪意のあるリンクをクリックさせたりしてネットワーク全体を危険にさらした場合、わずかに変更されたマルウェアを運ぶ 1 つのスピア フィッシング メールが数百万ドルの企業セキュリティ ソリューションをバイパスする可能性があります。 」
ジェームズ スコット氏、重要インフラ技術研究所シニアフェロー
先週、Defray と呼ばれるランサムウェアが、エリート組織の選ばれたグループを標的にし、5,000 ドルを要求しました。感染すると。これは、高度な暗号化アルゴリズムを使用する C++ で書かれたファイル エンコーダー トロイの木馬です。
必ずお読みください: ランサムウェアから PC を保護するさまざまな方法
Defray という名前これは、最初に追跡された攻撃のコマンド アンド コントロール サーバー ホスト「defrayable-listings」に基づいています。
これは、Glushkov Ransomware という別名でも知られています。この名前は、脅威の拡散やハッカーへの連絡に使用される「[email protected]」、「glushkov®tutanota.de」、「[email protected]」の電子メール アカウントへの参照として使用される可能性があります。
これは 2 つの小規模で選択的な攻撃を配布しており、大きな暗号通貨の脅威として認識されています。この脅威は Petya や WannaCry の亜種に例えられています。
報告によると、この脅威は主に病院や教育機関のネットワークとデータの暗号化をターゲットとしています。
最初の攻撃は次のような攻撃を目的としていました。医療機関や教育機関、その他の製造機関やテクノロジー機関が標的となっています。
どのように広がっていますか?
Img src: gbhackers
マルウェアの拡散に使用されたインストーラーは、実行可能ビデオ クリップ (O LE パッケージャー シェル オブジェクト) が埋め込まれた Word ドキュメントを使用しています。
受信者が埋め込みファイルを再生しようとすると、ビデオ (画像) が表示されると、Defray Ransomware がインストールされ、アクティブ化されます。インストール後、データの暗号化が開始され、アクセスを回復するには身代金を支払う必要があることを宣言する身代金メモが表示されます。
フィッシング メールや標的型スピア フィッシング メールは、オフィスの従業員を惹きつけるために使用され、強制的に脅迫されます。感染した文書を読みます。電子メールは個人またはグループに宛てられ、ターゲットを誘惑するために特別に設計されたメッセージで構成されています。
初めてのキャンペーンは、製造およびテクノロジーの専門家を対象として 8 月 15 日に実施されました。 8 月 22 日に引き続き、別のキャンペーンが開催されます。 が開始され、医療機関や教育機関に偽メールが送信されました。このメールには、病院の情報管理および技術担当ディレクターとされる人物からの患者報告が含まれていました。
Img src: Proofpoint
これらの偽の電子メールはマルウェアへの無防備な招待状を与え、マルウェアはマシンにインストールされます。それは、吸血鬼を家に迎え入れて、あなたの血を吸うことを許可するようなものです。
必ずお読みください: ランサムウェアに対処する際にすべきこととしてはいけないこと
このすべての後、身代金メモがデスクトップに表示され、被害者はビットコインの形で 5,000 ドルを支払うよう求められます。
身代金メモは、「Files.TXT」と「HELP」という名前の 2 つのファイルにあります。 TXXR」と結論付けています。
「これはカスタム開発されたランサムウェアであり、復号化ツールはウイルス対策会社によって作成されたものではありません。これには名前さえありません。ファイルの暗号化には AES-256、暗号化された AES-256 パスワードの保存には RSA-2048、暗号化されたファイルの整合性の維持には SHA-2 が使用されます。 C++ で書かれており、多くの品質保証テストに合格しています。次回これを防ぐには、オフライン バックアップを使用してください。」
出典: Tripwire
Defray ランサムウェアは、次の拡張子を持つファイルを暗号化します。
.001、.3ds、.7zip、.MDF、.NRG、.PBF、.SQLITE、.SQLITE2、.SQLITE3、.SQLITEDB、.SVG、.UIF、.WMF、.abr、.accdb、.afi、.arw 、.asm、.bkf、.c4d、.cab、.cbm、.cbu、.class、.cls、.cpp、.cr2、.crw、.csh、.csv、.dat、.dbx、.dcr、. dgn、.djvu、.dng、.doc、.docm、.docx、.dwfx、.dwg、.dxf、.exe、.fla、.fpx、.gdb、.gho、.ghs、.hdd、.html、 .iso、.iv2i、.java、.key、.lcf、.lnk、.matlab、.max、.mdb、.mdi、.mrbak、.mrimg、.mrw、.nef、.odg、.ofx、.orf 、.ova、.ovf、.pbd、.pcd、.pdf、.php、.pps、.ppsx、.ppt、.pptx、.pqi、.prn、.psb、.psd、.pst、.ptx、. pvm、.pzl、.qfx、.qif、.r00、.raf、.rar、.raw、.reg、.rw2、.s3db、.skp、.spf、.spi、.sql、.sqlite-journal、. stl、.sup、.swift、.tib、.txf、.u3d、.v2i、.vcd、.vcf、.vdi、.vhd、.vmdk、.vmem、.vmwarevm、.vmx、.vsdx、.wallet、 .win、.xls、.xlsm、.xlsx、.zip。
ソース: enigmasoftware
次の記事: Lockyランサムウェア「死者からの復活」
これらのランサムウェア攻撃はすべて、保護され、注意を払うべき警告です。匿名の送信元から受信した電子メールや、確信が持てない電子メールは開かないようにする必要があります。電子メールで受け取ったすべての添付ファイルを開いてはなりません。また、セキュリティの観点から、最新のウイルス対策ソフトウェアをコンピュータにインストールする必要があります。
読み取り: 0
