MIRROR ランサムウェア

研究者らは、潜在的なマルウェアの脅威を徹底的に分析した結果、MIRROR がランサムウェアの亜種であると最終的に特定しました。 MIRROR 脅威の主な目的は、侵害されたデバイスに存在するファイルを暗号化することです。さらに、ファイルの名前変更を実行し、2 つの身代金メモを発行します。1 つはポップアップ ウィンドウの形式で、もう 1 つは「info-MIRROR.txt」という名前のテキスト ファイルです。

MIRROR ランサムウェアは、暗号化するファイルに特定の命名規則を採用し、被害者の ID、「tpyrcedrorrim@tuta.io」電子メール アドレス、および「.Mr」拡張子を付加します。たとえば、「1.pdf」は「1.pdf.id-9ECFA74E.[tpyrcedrorrim@tuta.io].Mr」に変換され、「2.png」は「2.png.id-9ECFA74E.[tpyrcedrorrim@」になります。 tuta.io].Mr.」など。この特定の脅威は、 Dharma Ransomwareファミリ内の亜種として分類されています。

MIRROR ランサムウェアはファイル暗号化を超えます

MIRROR は、ファイルの暗号化に加えて、ターゲット システムのセキュリティをさらに侵害するための戦略的手段を採用しています。そのような戦術の 1 つは、ファイアウォールを無効にすることで、ランサムウェアによって組織化された悪意のある活動に対するシステムの脆弱性を高めることです。さらに、MIRROR はシャドウ ボリューム コピーを消去するための意図的なアクションを実行し、潜在的な復元ポイントを効果的に排除し、回復作業を妨げます。

MIRROR は、リモート デスクトップ プロトコル (RDP) サービス内の脆弱性を感染の主なベクトルとして利用します。これには通常、ブルート フォース攻撃や辞書攻撃などの方法による脆弱なアカウント資格情報の悪用が含まれます。これらの技術を利用することにより、ランサムウェアはシステム、特にアカウントのセキュリティが不適切に管理されているシステムへの不正アクセスを取得します。

さらに、MIRROR は位置データを抽出する機能を備えているため、感染したシステムの地理的コンテキストを識別できます。特に、データ抽出範囲から所定の場所を除外する機能を備えています。さらに、MIRROR には永続化メカニズムが組み込まれており、侵害されたシステム内で長期間にわたって足場を維持できます。

MIRROR ランサムウェアの被害者は金銭を強要される

MIRROR ランサムウェアの身代金メモは、攻撃者から被害者への通信として機能し、被害者のすべてのファイルが暗号化されていることを明示的に示します。これは、ファイル復元の潜在的な手段を概説し、指定された電子メール アドレス (tpyrcedorrim@tuta.io) を通じて連絡を開始し、一意の識別子を提供するよう被害者に指示します。

代替の通信手段として、メモには別の電子メール アドレス (mirrorrrrim@cock.li) も記載されています。特に、このメモは、過剰請求、不当な引き落とし、取引の拒否などの潜在的なリスクを挙げて、通信に仲介業者を利用することを強く推奨しています。攻撃者は、暗号化されたデータ回復サービスを提供する能力を主張し、その熟練度を証明するために最大 3 つのファイルを含む回復デモンストレーションを含む保証を提供します。

さらに、身代金メモは被害者に警告を発し、暗号化されたファイルの名前を変更しないよう明示的にアドバイスしています。また、サードパーティのソフトウェアを使用して復号化を試みることに対して警告し、永久的なデータ損失や詐欺の被害に遭う可能性があることを強調しています。その目的は、潜在的なリスクを最小限に抑えながら、ファイル回復が成功する可能性を最大限に高めるための最も安全な行動を被害者に案内することです。

ランサムウェア感染に対してデバイスを強化するための対策を講じる

ランサムウェアはデジタル デバイスのセキュリティに重大な脅威をもたらし、データ損失から金銭的恐喝に至るまでの潜在的な影響を及ぼします。このような感染に対してデバイスを強化するには、事前の対策を実施することが重要です。ユーザーが実行できる 5 つの効果的な手順を次に示します。

• オペレーティング システムとソフトウェアを定期的に更新する: 更新には脆弱性に対処するセキュリティ パッチが含まれることが多いため、オペレーティング システムとソフトウェアを最新の状態に保つことが重要です。既知の弱点を悪用するランサムウェアのリスクを軽減するために、アップデートを定期的にチェックして適用してください。
• セキュリティ ソフトウェアのインストールと保守: 信頼できるセキュリティ ソフトウェアを利用すると、ランサムウェアに対する追加の防御層が得られます。マルウェア対策プログラムが定期的に更新されていることを確認し、スケジュールされたスキャンを実行して、デバイスが侵害される前に潜在的な脅威を検出して排除します。
• 電子メールの添付ファイルやリンクには注意する: ランサムウェアは、悪意のある添付ファイルやリンクを含むフィッシングメールを通じてシステムに侵入することがよくあります。不明な送信者からのメールを開くときは十分に注意し、疑わしいリンクをクリックしないようにし、正当性が確認されない限り添付ファイルをダウンロードしないようにしてください。
• データを定期的にバックアップする: 重要なデータの定期的なバックアップを作成することは、重要な予防策です。ランサムウェア攻撃の場合、ユーザーは最新のバックアップを使用して、恐喝に屈することなくファイルを復元できます。バックアップを外部デバイスまたは安全なクラウド サービスに保存します。
• ネットワーク セキュリティ対策を実施する: ネットワーク セキュリティを強化することで、ランサムウェア攻撃を阻止できます。ファイアウォールと侵入検知/防止システムを利用し、すべてのデバイスとアカウントに一意で強力なパスワードを採用し、システム全体に対する感染の潜在的な影響を制限するためにネットワークをセグメント化することを検討してください。

これらの対策を採用することで、ユーザーはランサムウェアに対するデバイスの回復力を大幅に強化し、貴重なデータを保護し、デジタル環境の完全性を維持できます。

MIRROR ランサムウェアが残した主な身代金メモの全文は次のとおりです。

'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

MIRROR ランサムウェアによって投下されたテキスト ファイルには、次のメッセージが含まれています。

「あなたのデータはすべてロックされています

戻りたいですか？

電子メール tpyrcedrorrim@tuta.io または Mirrorrorrim@cock.li を書いてください