RansomAES ランサムウェア

RansomAES ランサムウェア 説明

RansomAESランサムウェアは、HiddenTear(a.k.a. Unikey)ランサムウェアに基づく多くの亜種を思い出させる一般的な暗号化トロイの木馬です。

RansomAESランサムウェアは、侵害されたリモートアクセスアカウントを利用してsecurityoverride[.]orgに脅威のペイロードをアップロードした韓国の攻撃者によって開発されたようです。韓国のキーボードレイアウトを持つPCユーザーは、AVエンジンがRansomAESランサムウェアの検出ルールを追加するまで、記録された犠牲者の大多数でした。脅威俳優は、ソーシャルメディア上で迷惑メールやフィッシング詐欺メッセージを使用して、PCユーザーにマクロ対応文書のロードを促しh[tt]p://securityoverride[.]org/infusions/pro_download_panel/file.php?did=3&file_id=3&CSRF_TOKEN=%3C%3Fphp+echo+%24_SESSION%5B%27CSRF_TOKEN%27%5D%3B%3F%3EからRansomAES脅威をダウンロードします。リンクが無効になっており、書面の時点で認識しているRansomAES ランサムウェアの配信中のキャンペーンが継続していません。RansomAESランソムウェアトロイの木馬は、ANDRZEJ DUPAランソムウェアおよびScarab-Horsiaランソムウェアと非常によく似た動作をします。

この脅威は、メモリにロードされ次第、Windowsのシャドウボリュームスナップショットを削除し、h[tt]p://427[.]cc and h[tt]p://037[.]ccの「コマンドと制御」サーバーに連絡するように設定されています。

RansomAESランソムウェアを運用するチームは、感染したマシン、対象となるデータの量、暗号化されたファイルのリスト、および関連する解読鍵に関するレポートを受け取ります。RansomAESランソムウェアは「RansomAES.exe」として実行され、「RSACryptoServiceProvider」および「RNGCryptoServiceProvider」という名前のサービスをロードすることが確認されました。RansomAES ランソムウェアは、写真、ダウンロードされたオーディオ/ビデオ、テキストノート、プレゼンテーション、電子書籍、ローカルディスクに保存されたデータベースなどのユーザー生成データを暗号化することが知られています。 影響を受けたファイルには「.RansomAES」というサフィックスが付きます。たとえば、「Gonjiam Psychiatric Hospital.jpeg」は「Gonjiam Psychiatric Hospital.jpeg.RansomAES」に改名されています。侵入先のコンピュータには2つの身代金があります。1つは「READ ME.txt」と呼ばれる簡単なメモで、デスクトップに保存されます。

'개인 ID KEY:
당신의 파일이 암호화되었습니다! 당신에 확장자: .AES 이메일로 요청드리면 복구해드립니다. fbgwls245@naver.com 또는 powerhacker03@hotmail.com'

日本語に翻訳されました:

'個人IDキー:
[128ランダムな文字]
ファイルは暗号化されています! 拡張子を受け取ることになります: .AES
メールをお送りください。ファイルを修理いたします。
fbgwls245@naver.com or powerhacker03@hotmail.com'

もう1つはTempフォルダに保存された「RansomAES Decrypter」というタイトルのHTAアプリケーションによって生成されたプログラムウィンドウです。両方のバージョンの身代金メッセージは、設定された量のBitcoinを転送する場所と解読操作を実行する方法については、 'powerhacker03@hotmail.com'と 'fbgwls245@naver.com'電子メールアカウントに連絡するようにユーザーに指示します。
PCユーザーは、信頼できるマルウェア対策スキャナの助けを借りて、RansomAES Ransomware Trojanを削除することをお勧めします。身代金を支払っても、データの復号化に成功するという保証はありません。
一方、Dropboxのようなクリーンなバックアップイメージとサービスは、ファイル構造を簡単に再構築するのに役立ちます。 Av企業は、RansomAES Ransomwareによって作成されたファイルを次のようにマークします。

  • Artemis!2B745E0A8DAD
  • Generic.Ransom.WCryG.334FECBF
  • Ransom_RAMSIL.SM
  • Trojan ( 0052dbd31 )
  • Trojan-Ransom.Win32.Spora.fcp
  • Trojan.IGENERIC
  • Trojan/Win32.FileCoder.C2493620
  • W32/Ransom.PLIR-3520
  • W32/Trojan.HLCA-1666
  • Win32:Malware-gen

返事を残す

サポートや請求に関する質問には、このコメントシステムを利用しないでください。 SpyHunterのテクニカルサポートリクエストについては、お客様のSpyHunter経由で カスタマーサポートチケット を開設し、テクニカルサポートチームに直接ご連絡ください。 お支払いに関する問題については、 " 請求に関する質問または問題 " のページをご覧ください。 一般的なお問い合わせ(苦情、法律、プレス、マーケティング、著作権)については、お問い合わせとフィードバックをご覧ください。