Intel Ransomware
研究者たちは、Intel ランサムウェアとして知られる新種のランサムウェアを発見しました。この脅威的なソフトウェアはデバイスに侵入し、保存されているデータを暗号化し、侵害された情報の復号化と引き換えに身代金を要求します。
特に、Intel ランサムウェアの影響を受けたファイルは名前変更プロセスを受けます。元のファイル名は、被害者に割り当てられた一意の識別子で拡張され、その後に「.[intellent@ai_download_file]」が続き、「.intel」拡張子で終わります。たとえば、最初に「1.jpg」というラベルが付けられたファイルは、暗号化後に「1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel」に変換されます。
暗号化プロセスが完了すると、被害者はポップアップ ウィンドウと「README!.txt」という名前のテキスト ファイルの両方で提示される身代金メモに遭遇します。これらのテキスト ファイルは、暗号化された各フォルダー内およびシステムのデスクトップに置かれます。身代金メモの内容を分析したところ、Intel ランサムウェアは特に企業をターゲットにしており、二重の恐喝戦術を採用していることが明らかになりました。さらに、この脅威的なプログラムはDharma Ransomwareファミリに関連しています。
Intel ランサムウェアにより、被害者は自分のデータにアクセスできなくなります
Intel ランサムウェアは、ローカル ファイルとネットワーク共有ファイルの両方を暗号化する一方で、重要なシステム ファイルには影響を与えず、システムが動作不能になることを回避するという包括的なアプローチを示しています。特に、他のランサムウェアによってロックされたファイルを除外することで二重暗号化を回避する戦略が採用されています。ただし、この方法は、既知のランサムウェア亜種をすべて網羅しているとは限らない事前定義されたリストに依存しているため、絶対確実というわけではありません。
さらに、Intel マルウェアは、テキスト ファイル リーダーやデータベース プログラムなど、開いている可能性のあるファイルに関連付けられたプロセスを閉じることで、その動作が高度化しています。この事前対策は、「使用中」とみなされるファイルの競合を防止し、ファイルが暗号化から免除されないようにすることを目的としています。
Intel マルウェアが属する Dharma ファミリのランサムウェアは、侵入と永続化のために戦略的な戦術を採用しています。これには、侵入を促進し、検出を回避するためにファイアウォールをオフにすることが含まれます。さらに、永続性を確保するテクニックには以下が含まれます。
-
- マルウェアを %LOCALAPPDATA% パスにコピーします。
-
- 特定の Run キーを使用して登録します。
-
- システムが再起動されるたびにランサムウェアが自動的に開始されるように構成します。
Dharma 攻撃の注目すべき側面は、標的を絞ったアクションが実行される可能性があることです。このファミリーに関連付けられたプログラムは地理位置情報データを収集し、攻撃の例外を許可します。この適応性は、感染には政治的または地政学的な動機がある可能性があること、または特に経済状況が弱い地域では、身代金の要求に応じる可能性が低い被害者を意図的に避ける可能性があることを示唆しています。
回復作業をさらに妨害するために、Intel ランサムウェアはシャドウ ボリューム コピーを削除し、以前のバージョンのファイルの復元を妨げる可能性があります。ランサムウェア感染に関する広範な調査に基づくと、攻撃者の介入なしに復号化することは、通常、克服できない課題であることが明らかです。
Intel ランサムウェアは二重恐喝戦術を使用
テキスト ファイルの内容は、被害者に対する簡単な通知として機能し、データが暗号化されて収集されたことを伝えます。被害者に、攻撃者に電子メールを送信して通信を確立するよう促します。
対照的に、ポップアップ メッセージには、ランサムウェア感染に関するより詳細な情報が表示されます。暗号化とデータ盗難の側面を繰り返し述べ、状況の緊急性を強調しています。身代金メモでは、24時間以内にサイバー犯罪者に連絡しなかった場合、または身代金要求に応じなかった場合、盗まれたコンテンツがダークウェブに公開されたり、被害者の会社の競合他社に販売されたりする可能性があると厳重に警告している。
回復の可能性を実証するために、メッセージは 1 つのファイルに対して無料の復号化テストを実施することを提案しています。また、被害者には、回復会社に支援を求めると、通常、身代金に追加料金が課されるため、さらなる経済的損失が生じる可能性があることも明確に知らされます。
しかし、被害者が身代金の要求に応じた後でも、約束された復号キーやソフトウェアを受け取らないことが頻繁に観察されています。身代金要件を満たしたとしても、ファイルが回復されるという保証はありません。したがって、研究者らは身代金の支払いを強く推奨しません。身代金はファイルの取得を保証できないだけでなく、犯罪行為を永続させ、支援することになるからです。さらに、ランサムウェアを削除するとデータのさらなる暗号化を停止できますが、削除プロセスでは以前に侵害されたファイルが自動的に復元されるわけではないことを理解することが重要です。
Intel ランサムウェアは、次の身代金メモをポップアップ ウィンドウとして表示します。
'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!
24 時間以内に当社にご連絡いただけない場合、当社はハッカー サイトのダークネット上でお客様のデータの公開および販売を開始し、その情報を競合他社に提供します。
メールでお問い合わせください: intellent.ai@onionmail.org あなたの ID -
24 時間以内に返信がない場合は、次の電子メールにご連絡ください:intellent.ai@onionmail.org重要な情報!
あなたのデータが当社の漏洩サイトに掲載されると、いつでも競合他社に購入される可能性があることに注意してください。そのため、長い間躊躇しないでください。身代金を早く支払うほど、あなたの会社は早く安全になります。
私たちはあなたのすべてのレポートとあなたの会社の収益を調べました。
保証: 支払い後に復号化ツールを提供しない場合、またはデータを削除しない場合は、今後誰も私たちに料金を支払うことはありません。私たちは評判を大切にしています。
保証キー: 復号化キーが存在することを証明するために、ファイル (データベースやバックアップではない) を無料でテストできます。
サードパーティのソフトウェアを使用してデータを復号化しようとしないでください。データが永久に失われる可能性があります。
復元会社には行かないでください。彼らは本質的に単なる仲介者です。サードパーティの助けを借りてファイルを復号化すると、価格が上昇する可能性があります (サードパーティの料金が当社の料金に上乗せされます)。復号化キーを持っているのは当社だけです。Intel Ransomware によって作成されたテキスト ファイルには、次のメッセージが含まれています。
データが盗まれて暗号化されました!
私達に電子メールを送り
intellent.ai@onionmail.org」