複数ライセンス割引見積
脅威データベース ランサムウェア NeZhaランサムウェア

NeZhaランサムウェア

ランサムウェアMezoまで
翻訳内容:

ランサムウェアは、個人や組織が直面する最も破壊的な脅威の一つです。一度侵入に成功すると、業務が停止し、機密データが破損または流出し、高額な復旧作業が必要になる可能性があります。インシデント発生前に強固で多層的な防御を構築することが、攻撃者が攻撃を仕掛けてきた場合の影響を最小限に抑える唯一の確実な方法です。

脅威の概要

研究者たちは、NeZhaランサムウェアと呼ばれる高度なランサムウェアを特定しました。このカテゴリの他のファミリーと同様に、NeZhaの中心的な目的はシンプルです。可能な限り多くのファイルを暗号化し、復号鍵と引き換えに金銭を要求することです。NeZhaの運営者は、自分たちが唯一の復旧手段であると位置づけ、時間制限やデータ漏洩の脅迫によって圧力を強めています。

システム上の動作とファイルの変更

NeZhaは、侵入の足場を築くと、一般的な場所にあるユーザーデータと企業データを暗号化し始めます。暗号化の際には、被害者固有の識別子と「.NeZha」拡張子を付加することで、ファイル名を変更します。観察されたケースでは、ファイル名にGUIDのようなIDが付与されます。例えば、「1.png」のような無害なファイルが、「1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha」のような名前に変更されることが確認されています。侵入が完了すると、NeZhaは「README.TXT」というタイトルの身代金要求メモを感染ディレクトリにドロップします。

身代金要求書と圧力戦術

メモには、データベース、文書、写真、その他のファイルが暗号化されており、攻撃者から復号鍵を購入する以外に解決策はない、と記されています。信用を高めるため、犯罪者は重要度の低いファイルを1つ無料で復号すると申し出ることがよくあります。彼らは、ロックされたファイルを変更したり、サードパーティの復号ツールを使用したり、外部の支援を求めたりすることは、被害を拡大させる可能性があるため、控えるよう警告しています。最初の連絡には24時間という期限が設定されており、期限を過ぎた場合、攻撃者は盗み出したと主張する企業の機密データを漏洩または売却すると脅迫します。これは「二重の恐喝」の一例です。

回復の現実と支払いのジレンマ

技術的には、最近のランサムウェアのほとんどは、マルウェアに重大な欠陥がない限り、攻撃者の秘密鍵がなければ復号できません。これは稀なケースです。しかし、身代金を支払うことはリスクが高く、推奨されません。多くの被害者は、資金を送金しても有効な復号ツールを受け取れず、身代金の支払いは犯罪活動の維持につながります。より安全な方法は、クリーンなオフラインバックアップと正式なインシデント対応に頼ることです。

封じ込めと除去

NeZhaを削除すると、それ以上の暗号化は停止しますが、既に影響を受けたファイルのロックは解除されません。優先すべきは、感染したシステムをネットワークから隔離し、フォレンジックのための証拠を保全し、信頼できるツールまたはクリーンな再構築を使用してマルウェアを駆除し、その後、正常なバックアップから復元することです。データ流出の疑いがある場合は、侵害対応計画を発動し、法的、規制当局、および顧客への通知義務を検討してください。

NeZhaの典型的な広がり方

NeZhaは多くのランサムウェア攻撃の手法を踏襲し、ユーザー主導と攻撃者主導の両方の配信手法を利用しています。攻撃者はペイロードを正規のコンテンツに偽装したり、ソフトウェアバンドルに紛れ込ませたりして、ファイルが開かれたりスクリプトが実行されたりした際に実行をトリガーします。一部の亜種は、ローカルネットワーク内で横方向拡散したり、リムーバブルメディアに自身をコピーしたりすることもあります。

一般的な配送ベクター

  • フィッシングとソーシャル エンジニアリングにより、罠が仕掛けられた添付ファイル (Office/OneNote/PDF)、スクリプト (JavaScript)、アーカイブ (ZIP/RAR)、または実行可能ファイル (.exe/.run) を開くことにつながります。
  • トロイの木馬化されたインストーラー、ローダー、およびバックドアは、第 2 段階としてランサムウェアを引き込みます。
  • 侵害されたサイトや悪意のあるサイトからのドライブバイダウンロードおよび欺瞞的なダウンロード。
  • 信頼できないダウンロード ソース (フリーウェア ポータル、サードパーティのミラー、P2P ネットワーク)。
  • スパム キャンペーン、オンライン詐欺、ペイロードにリダイレクトするマルバタイジング。
  • 違法なアクティベーション ツール (「クラック」)、海賊版ソフトウェア/メディア、偽の更新プロンプト。
  • ローカル ネットワークおよびリムーバブル ストレージ (USB ドライブ、外付け HDD) を介して自己拡散します。

最後に

NeZhaは、高速暗号化、強力な強制力、そしてデータ漏洩の確かな脅威といった、現代のランサムウェアの特徴を備えています。インシデント発生前に、厳格な対策、多層的な管理、テスト済みのバックアップ、そして熟練した対応によって、最大限の効果を発揮することができます。技術的な安全対策に加え、ユーザー教育と規律ある運用を組み合わせることで、NeZha攻撃の発生確率と影響範囲の両方を低減できます。

メッセージ

NeZhaランサムウェア に関連する次のメッセージが見つかりました:

YOUR FILES ARE ENCRYPTED

Your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: NeZhadecryption@mailum.com and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: NeZhadecryption@mailum.com
Reserved email: NeZhadecryption@cyberfear.com

YOUR PERSONAL ID: -

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
* You have 24 hours to contact us.
* Otherwise, your data will be sold or made public.

トレンド

LockBeastランサムウェア

ランサムウェア
ランサムウェアは、組織と個人ユーザーの両方にとって、依然として最も破壊的なサイバー脅威の一つです。一度侵入に成功すると、ビジネスクリティカルなデータがロックされ、業務が停止し、高額なインシデント対応と復旧作業が必要になる可能性があります。感染拡大前に多層防御と対応態勢を構築しておくことが、事態の収束と危機の分かれ目となります。 脅威の概要 LockBeastランサムウェアが実行されると、ユー...

ダデル

マルウェア
サイバーセキュリティ研究者は、武器化されたMicrosoft Excelドキュメントを介して拡散している新しいマルウェアの系統を特定しました。 Dudellと呼ばれるこの脅威は、Rancorとして知られるハッキンググループに関連している可能性があります。 Rancorの標的は中規模の企業や企業であることが多く、攻撃の主な目的はサイバースパイです。 Dudellマルウェアは、Rancorの兵器...

Glsadz.com

アドウェア
インターネットを閲覧する際、不審な行動に常に注意を払うことは、単なる良い習慣ではなく、不可欠です。Glsadz.comのような悪質なウェブサイトは、ユーザーの一般的な習慣や信頼を悪用し、悪質なコンテンツを拡散したり、詐欺行為を働いたり、機密情報を収集したりします。たった一度の不注意なクリックでさえ、望ましくないリダイレクト、煩わしい通知、危険なオファーの連鎖につながる可能性があります。 Gl...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
58,200
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
44,231
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Discord 灰色の画面で立ち往生

問題
44,059
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
読み込んでいます...