FORCE ランサムウェア

研究者らは、潜在的なマルウェアの脅威を調査中に、FORCE ランサムウェアを発見しました。 FORCE がデバイスに侵入すると、画像、ドキュメント、スプレッドシートなどを含むさまざまなファイル タイプの暗号化が開始されます。攻撃者の目的は、暗号化されたデータを人質にとって、影響を受ける被害者にその復号化の費用を強制することです。被害者を特定して通信を確立するために、ランサムウェアは一意の識別子、サイバー犯罪者の電子メール アドレス、および暗号化されたファイルのファイル名に「.FORCE」拡張子を追加します。たとえば、最初に「1.png」という名前だったファイルは、「1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE」に変換されます。

暗号化プロセスが完了すると、システムは同一の身代金メモを 2 つの形式、ポップアップ ウィンドウ ('info.hta') とテキスト ファイル ('info.txt') で表示します。これらのメッセージは、デスクトップおよび暗号化されたファイルを含むすべてのディレクトリ内に表示されます。さらに分析を進めると、FORCE がPhobos Ransomwareファミリに属していることが判明しました。

FORCE ランサムウェアが被害者に金銭を強要

FORCE が発行した身代金メモでは、被害者のファイルが暗号化され、機密データが侵害されたことが強調されています。ファイルへのアクセスを取り戻すために、被害者はビットコイン暗号通貨のみを使用して身代金を支払うよう指示されます。リストされた要求に従わない場合は、盗まれた情報が販売されることになります。被害者には、支払いを行う前に、一定の制限はあるものの、復号化プロセスを無料でテストするオプションが与えられます。

このメッセージは、暗号化されたファイルを変更したり、サードパーティの回復ツールを使用したりすると、データが回復不能になる可能性があるため、使用しないよう警告しています。さらに、被害者には、第三者に援助を求めると経済的損失が拡大する可能性があると警告されます。

FORCE ランサムウェアは、ロックされたデータの簡単な回復を防ぐ措置を講じています

Phobos Ransomware ファミリの一部であるこの脅威的なプログラムは、暗号化に対する系統的なアプローチで知られています。感染したマシンを完全に動作不能にする一部のランサムウェアの亜種とは異なり、Phobos マルウェアは暗号化の対象となるファイルを選択的にターゲットにし、重要なシステム ファイルを回避してシステムの機能を維持します。ローカルに保存されているファイルとネットワーク上で共有されているファイルの両方を暗号化し、データベース プログラムやテキスト ファイル リーダーなどの「使用中」のファイルに基づく除外を防ぐために、開いているファイルに関連付けられたプロセスを終了します。

二重暗号化を防ぐために、Phobos Ransomware は一般的なランサムウェア プログラムの除外リストを管理しています。このリスト上のソフトウェアによってすでにロックされているファイルは影響を受けません。さらに、Phobos は、データ復元の試みをさらに阻止するために、一般的な回復オプションであるシャドウ ボリューム コピーを削除します。

侵害されたデバイス上での永続性を確保するために、マルウェアは自身を %LOCALAPPDATA% パスにコピーし、特定の Run キーに登録して、システムが再起動されるたびに自動的に起動するようにします。興味深いことに、Phobos ランサムウェアは、地理的位置情報に基づいてデバイス、特に経済的に弱い地域や地政学的に連携している国のデバイスへの攻撃を控える可能性があります。

サイバー犯罪者の介入なしに、ランサムウェアによってロックされたデータを復号化することは通常不可能です。たとえ被害者が身代金の要求に応じたとしても、約束された復号キーやソフトウェアを受け取る保証はありません。したがって、身代金の支払いはデータの回復を保証できないだけでなく、違法行為を永続させることになります。

オペレーティング システムからランサムウェアを削除すると、さらなる暗号化は防止されますが、侵害されたファイルは復元されません。唯一の信頼できる解決策は、バックアップが利用可能な場合は、バックアップからファイルを回復することです。

デバイスとデータの安全性を危険にさらさないでください

ユーザーは、サイバーセキュリティへの多層アプローチを実装することで、ランサムウェアの脅威に対するデータとデバイスの防御を強化できます。以下にいくつかの効果的な戦略を示します。

• ソフトウェアを最新の状態に保つ: オペレーティング システム、ソフトウェア アプリケーション、ウイルス対策プログラムを定期的に更新して、セキュリティの脆弱性にパッチを当て、既知のエクスプロイトから保護します。可能な限り自動更新を有効にしてください。
• 信頼できるセキュリティ ソフトウェアをインストールする: 評判の良いマルウェア対策ソフトウェアを使用して、ランサムウェアやその他の有害な脅威を検出して削除します。最新の脅威を認識するために、ウイルス対策ソフトウェアが頻繁に更新されていることを確認してください。
• 電子メールの添付ファイルとリンクに注意を払う: 不審な電子メール、特に不明な送信者からのもの、または予期しない添付ファイルやリンクが含まれている電子メールには注意してください。迷惑メールにはランサムウェアやその他のマルウェアが含まれている可能性があるため、リンクにアクセスしたり、迷惑メールの添付ファイルをダウンロードしたりしないようにしてください。
• データを定期的にバックアップする: 重要なデータを外部ハード ドライブ、クラウド ストレージ サービス、またはネットワーク接続ストレージ (NAS) デバイスに定期的にバックアップすることで、堅牢なバックアップ戦略を設定します。バックアップがランサムウェアによって暗号化されないように、バックアップは安全に保存され、プライマリ システムから直接アクセスできないようにしてください。
• 強力で固有のパスワードを使用する: すべてのアカウントに強力で複雑なパスワードを作成し、複数のアカウントで同じパスワードを使用しないでください。パスワードを安全に生成および保存するには、信頼できるパスワード マネージャーを使用する可能性を検討してください。
• 2 要素認証 (2FA) を有効にする: アカウントのセキュリティを最大限に高めるために 2 要素認証を有効にします。 2FA では、パスワードやモバイル デバイスに送信されるコードなど、2 番目の検証形式を含めることがユーザーに要求されます。

これらの事前対策を採用することで、ユーザーはランサムウェア攻撃の犠牲になる機会を減らし、データとデバイスをより適切に保護できます。

FORCE Ransomware によって投下された身代金メモは次のとおりです。

'Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'