DeadLock Ransomware

現代のランサムウェア攻撃は、個人情報や組織のデータを悪用することを目的にしています。重要なファイルが暗号化されると、事前に対策を講じていない限り、攻撃者がすべての戦略を握ってしまいます。強力なセキュリティ対策、多層防御、そして回復力の高いバックアップ戦略があれば、悪意のある添付ファイル、クラックされたインストーラー、あるいは不正なダウンロードが、業務の中断や永久的なデータ損失につながる可能性を大幅に低減できます。デッドロックランサムウェアは、これらの基本方針がいかに重要であるかを示す好例です。

DeadLockの特徴

DeadLockは、ファイル暗号化型のランサムウェアファミリーで、すべての被害者に固有の識別子を付与します。攻撃中、ユーザーデータを暗号化し、暗号化された各ファイルのファイル名に被害者のIDと「.dlock」拡張子を付加してファイル名を変更します。例えば、「1.png」は「1.png.F8C6A8.dlock」、「2.pdf」は「2.pdf.F8C6A8.dlock」となります。このIDは、恐喝プロセス全体を通して被害者を追跡し、身代金と復号鍵を紐付けるために使用されます。DeadLockはまた、同じ識別子が埋め込まれたファイル名（例：「READ ME.F8C6A8.txt」）を持つ身代金要求メモを作成し、システムが侵害されたことを印象づけるためにデスクトップの壁紙を変更します。

身代金要求書の中身

このメモには、被害者の次の行動を誘導するための重要なポイントがいくつか記載されています。暗号化されたファイルは、攻撃者だけが持つ「固有の復号鍵」がなければ復元できないと主張しています。被害者は、プライバシーを重視したSessionメッセンジャーをインストールし、提供されたセッションID（これもファイル名に埋め込まれた被害者ごとの識別子にマッピングされます）を使用して連絡を取るように指示されます。攻撃者は、確認のために、暗号化されたファイル1つと「個人鍵」（被害者固有のID）を送信するよう被害者に求めます。これは、無害なサンプルを復号することで信頼関係を構築するための一般的な戦術です。

支払いと圧力戦術

DeadLockの運営者は、ビットコインやモネロといった仮想通貨を要求します。支払い後、正常に動作する復号ツールを提供すると約束しますが、ほとんどのランサムウェア攻撃と同様に、強制力のある保証はありません。また、この警告は、被害者が自力で復旧しようと試みるのを阻止するために、恐怖感を煽っています。暗号化されたファイルの名前を変更したり、サードパーティ製の復号ツールを試したりしないよう警告し、そのような行為はデータを永久に破損させたり、復旧価格を高騰させたりする可能性があると主張しています。これらの警告は、技術的な理由（不適切な取り扱いは復旧を複雑にする可能性があります）と心理的な圧力の両方から成り立っています。

解読の現実検証

ランサムウェア全般に関する経験、そして攻撃者自身のメッセージは、厳しい真実を裏付けています。ほとんどの場合、攻撃者の協力とツールなしには、DeadLockで暗号化されたファイルを復号することはできません。そのため、現実的な復旧経路は2つあります。(1) オフライン、オフサイト、バージョン管理された、あるいは攻撃時にマルウェアがアクセスできなかったバックアップを用意する。(2) 身代金を支払い、犯罪者が約束を守ることを期待する。ただし、身代金の支払いにはリスクが伴います。攻撃者は姿を消したり、壊れた復号ツールを配布したり、身代金の支払いを将来の恐喝の格好の標的であることを示すシグナルとして利用したりする可能性があるからです。可能な限り、身代金を支払うのではなく、影響を受けていないバックアップに頼るようにしてください。

完全除去が重要な理由

暗号化が完了した後でも、ランサムウェアをシステムに残しておくのは危険です。残存コンポーネントは、新しく作成されたファイルを再暗号化したり、認証情報を盗み取ったり、バックドアを開いたり、ローカルネットワークを横断して感染を拡大しようとしたりする恐れがあります。エンドポイントスキャン、メモリ検査、スケジュールされたタスク、スタートアップエントリ、ドメインコントローラーの確認などによる駆除は、被害の再発防止に不可欠です。

一般的なデッドロック感染ベクトル

攻撃者は最初の足掛かりを必要とします。ランサムウェア攻撃は、ユーザーの信頼、好奇心、そしてコスト削減の近道につけ込む複数の配布チャネルと関連付けられています。

• 密かにマルウェアをインストールするバンドルされたキージェネレーターやライセンスバイパスツールを含む、海賊版または「クラックされた」商用ソフトウェア。
• ウェアーズまたはトレント サイトから取得したソフトウェア クラック、キージェン、非公式アクティベーター。
• 悪意のある電子メールの添付ファイル: 不正な Word 文書 (多くの場合、マクロが有効)、PDF、ZIP アーカイブ、スクリプト ファイル、または請求書、出荷通知、緊急の HR フォームを装った実行可能ペイロード。
• ユーザーをエクスプロイト キットや不正なダウンロード ページにリダイレクトするマルバタイジング (悪意のある広告)。
• 隠しペイロードを含むインストーラーを再パッケージ化するピアツーピア共有プラットフォームおよびサードパーティのダウンロード ハブ。
• 自動的に実行されたり、感染したファイルを起動するようにユーザーを誘導するリムーバブル メディア (感染した USB ドライブなど)。
• 実際にはランサムウェア ローダーを含む「修正プログラム」や「アップデート」をダウンロードするようにユーザーに圧力をかける偽のテクニカル サポート ポータル。
• ドライブバイダウンロードやペイロードを配信するスクリプトが埋め込まれた、侵害された正規の Web サイト。

防御を強化するためのセキュリティのベストプラクティス

多層セキュリティは、ランサムウェア攻撃の影響範囲を大幅に縮小します。DeadLockなどの脅威の成功を防ぐための優先的な防御策を以下に示します。

• 重要なデータの信頼性の高いオフライン バックアップを維持します。
• オペレーティング システム、アプリケーション、ファームウェアに速やかにパッチを適用します。特に、マクロやエクスプロイトの悪用を受けやすい、公開されているサービスや生産性スイートにパッチを適用します。
• 動作ベースのランサムウェア検出と自動分離機能を備えた信頼性の高いエンドポイント保護/EDR を使用します。
• 最小限の権限を持つユーザー アカウントを適用し、必要ない場合はローカル管理者を無効にし、管理者の資格情報を日常使用から分離します。
• グループ ポリシー、アプリケーションの許可リスト、および制御されたフォルダー アクセスを使用して、マクロの実行、スクリプト インタープリター、および署名されていないバイナリを制限します。
• 電子メール セキュリティ フィルタリングを展開します。添付ファイルをサンドボックス化し、リンクを検査し、疑わしいファイルの種類や偽装された送信者ドメインにフラグを設定します。
• リムーバブル メディアの自動実行を無効にし、マウントする前に USB デバイスをスキャンします。
• リモート アクセス、管理コンソール、バックアップ管理インターフェースには多要素認証 (MFA) が必要です。

長期的な教訓

DeadLockは、ランサムウェアファミリー全体に共通する共通のテーマを改めて浮き彫りにしました。エンドユーザーが日常的にクラックされたツールをダウンロードしたり、未検証の添付ファイルを開いたり、信頼できない広告ネットワークを閲覧したりするのであれば、攻撃者は最先端のエクスプロイトを必要としません。基本的なセキュリティ対策、パッチ適用の規則、アクセス制御、監視されたバックアップ、そしてユーザーの意識向上によって、潜在的な危機を回復可能な事態へと転換できます。これらの防御策に今すぐ投資しましょう。そのコストは、プレッシャーの下で支払う身代金よりもはるかに低いのです。

終わりに

ランサムウェアへの耐性は、攻撃が画面に現れるずっと前から構築されます。DeadLockの動作を理解し、多層的な予防および復旧対策を実装することで、この脅威や同様の脅威に対抗できるようになります。意図的に探したり検証したりしていないものには、常に疑いの目を向けてください。常に警戒を怠らないことが、最初の、そして多くの場合、最善の防御線となります。