Lsasランサムウェア

サイバー犯罪者は、悪名高いDharma Ransomwareを使用して、ユーザーのコンピューターに感染する新しいマルウェアの脅威を作成しているようです。このマルウェアファミリーから生成される最新の亜種は、infosecの専門家によってLsasランサムウェアとして追跡されています。他のダルマの変種に比べて大幅な改善が見られない変種であるにもかかわらず、破壊を引き起こすLsasランサムウェアの能力を過小評価してはなりません。

侵害されたシステムに配備されると、Lsas Ransomwareは強力な暗号化プロセスを開始し、そこに保存されている多数のファイルをロックします。さまざまな種類のファイルが使用できなくなります。被害者は、ドキュメント、アーカイブ、データベース、PDFなどにアクセスできなくなります。

暗号化プロセス中に、影響を受ける各ファイルには、一意のID文字列、電子メールアドレス、および元の名前に追加された新しいファイル拡張子が付けられます。脅威によって使用される特定の電子メールは「sekurlsa@ml1.net」であり、ファイル拡張子は「.lsas」です。脅威のタスクを完了した後、脅威は攻撃者からの身代金を要求する2つのメッセージをドロップします。

身代金メモの詳細

典型的なダルマの行動に続いて、LsasRansowmareは犠牲者に2つの異なる身代金メモも提供します。まず、脅威は「FILESENCRYPTED.txt」という名前のテキストファイルを作成します。これには、ハッカーの2つの電子メールアドレス（「sekurlsa@ml1.net」と「sekurlsa@mm.st」）に連絡するようにユーザーを誘導する2、3の文のみが含まれています。ただし、主な手順はポップアップウィンドウに表示されます。身代金の支払いはビットコイン暗号通貨を使用して行う必要があり、ユーザーは1つのファイルを送信して復号化することが無料で許可されていることがわかります。ただし、選択するファイルのサイズは1MB未満である必要があり、重要なデータが含まれていてはなりません。

ポップアップウィンドウに表示される全文は次のとおりです。

'すべてのファイルが暗号化されました！
PCのセキュリティ上の問題により、すべてのファイルが暗号化されています。それらを復元したい場合は、電子メールsekurlsa@ml1.netまでご連絡ください。
メッセージのタイトルにこのIDを記入してください1E857D00
24時間以内に回答がない場合は、次の電子メールにご連絡ください：sekurlsa@mm.st
あなたはビットコインで復号化のために支払う必要があります。価格はあなたが私たちに書く速さによって異なります。支払い後、すべてのファイルを復号化する復号化ツールをお送りします。
保証としての無料復号化
支払う前に、無料の復号化のために最大1つのファイルを送信できます。ファイルの合計サイズは1Mb（アーカイブされていない）未満である必要があり、ファイルに貴重な情報が含まれていてはなりません。 （データベース、バックアップ、大きなExcelシートなど）
ビットコインの入手方法
ビットコインを購入する最も簡単な方法は、LocalBitcoinsサイトです。登録して「ビットコインを購入」をクリックし、支払い方法と価格で販売者を選択する必要があります。
https://localbitcoins.com/buy_bitcoins
また、ここでビットコインと初心者ガイドを購入する他の場所を見つけることができます：
hxxp：//www.coindesk.com/information/how-can-i-buy-bitcoins/
注意！
暗号化されたファイルの名前を変更しないでください。
サードパーティのソフトウェアを使用してデータを復号化しようとしないでください。データが永久に失われる可能性があります。
サードパーティの助けを借りてファイルを復号化すると、価格が上昇する可能性があります（彼らは私たちに彼らの料金を追加します）、またはあなたは詐欺の犠牲者になる可能性があります。 '

テキストファイルには、次のメッセージが含まれています。

'すべてのデータがロックされています
帰りたい？
'メールsekurlsa@ml1.netまたはsekurlsa@mm.stを書く'