複数ライセンス割引見積
脅威データベース ランサムウェア RDATランサムウェア

RDATランサムウェア

ランサムウェアMezoまで
翻訳内容:

ランサムウェアは、個人ユーザーや組織にとって依然として最も破壊的な脅威の一つです。一度の侵入で、文書、写真、ビジネスデータが数分で暗号化され、アクセス権限を脅迫される可能性があります。蔓延するDharmaファミリーから派生したRDATランサムウェアは、多層防御と綿密な復旧計画が不可欠である理由を如実に示しています。

脅威プロファイル: RDAT の概要

情報セキュリティ研究者は、新興マルウェアの広範な調査中にRDATを発見しました。これは、データ脅迫を目的としたDharmaの亜種であり、ファイルを暗号化し、復号のために身代金を要求します。RDATはローカルドライブとネットワーク共有の両方を標的とし、重要なシステムファイルを意図的に回避することで、デバイスが起動可能な状態を維持し、被害者が身代金要求のメッセージを読むことができるようにします。

被害者が見るもの

RDATが実行されると、様々なファイル形式が暗号化されます。ファイル名は、被害者固有のID、攻撃者のメールアドレス、および「.RDAT」拡張子を含むように変更されます。例:
1.png は 1.png.id-9ECFA84E.[dat@mailum.com].RDAT になります。

続いて2通の身代金要求メッセージが届きます。1つはファイルが暗号化されていることを示すポップアップウィンドウ、もう1つは連絡先情報が記載された「DAT_INFO.txt」というテキストファイルです。攻撃者は、証拠として最大3つのファイル(サイズと形式の制限あり)を復号することを提案する一方で、サードパーティ製ツールの使用や暗号化されたデータの改変は永久的な損失につながる可能性があると警告しています。これらの手口は、身代金要求の信憑性と緊急性を高めるためのものであり、ユーザーを助けるためのものではありません。

RDATがどのように留まり、広がるのか

RDATはDharmaの永続性と復元防止機能を継承しています。このマルウェアは自身を%LOCALAPPDATA%にコピーし、特定のRunキーを介して自動実行エントリを登録し、再起動後に再起動します。迅速な復元を阻止するため、ボリュームシャドウコピーを削除します。暗号化前に、ファイルを開いたままにする可能性のあるプロセス(データベース、ドキュメントリーダーなど)を終了し、最大限の保護範囲を確保します。また、既知のリストと照合することで、他のランサムウェアによって既に暗号化されたデータの「二重暗号化」を回避しようとします。これは安全性の面で不完全ですが、安全性のチェックは重要です。

ターゲット選択とジオフェンシング

このマルウェアは、被害者が身代金を支払う可能性が高いかどうかを判断するために位置情報データを収集します。経済的または地政学的理由から、被害者の地域が不利と思われる場合、暗号化を完全にスキップする可能性があります。この動作は、身代金の回収額を最大化することのみを目的としています。

お金を払うのはなぜ損をする賭けなのか

ランサムウェア攻撃後の復号は、ランサムウェアに深刻な欠陥がない限り、攻撃者の鍵がなければ通常は不可能です。たとえ深刻な欠陥があったとしても、身代金を支払うのはリスクを伴います。多くの被害者は、実際に機能する復号ツールを受け取ることができません。身代金はさらなる攻撃の資金源にもなります。責任ある対応策は、マルウェアを根絶し、信頼できるバックアップからシステムを再構築し、再発防止のためにシステムを強化することです。

確認済みの配信チャネル

Dharmaファミリーの侵入は、多くの場合、露出している、または保護が弱いリモートデスクトッププロトコル(RDP)から始まり、攻撃者はブルートフォース攻撃や辞書攻撃を駆使し、侵入後はホストのファイアウォールを無効にする可能性があります。RDP以外にも、このエコシステムはフィッシング、ソーシャルエンジニアリング、マルバタイジング、信頼できないソフトウェアソース、スパム添付ファイル、ローダー/バックドア型トロイの木馬などを活用します。悪意のあるペイロードは、通常、アーカイブ(RAR/ZIP)、実行ファイル、スクリプト(JavaScriptを含む)、ドキュメント(PDF、Office、OneNote)として配布されます。一部のファミリーは、ローカルネットワークやリムーバブルメディアを介して拡散することもあります。

封じ込めと回復

ランサムウェアを削除して、さらなる暗号化を阻止してください。ただし、削除してもロックされたファイルは復元されないことを理解してください。復元には、クリーンでバージョン管理されたバックアップが必要です。マルウェアがアクセスできないオフラインストレージを含む、複数の場所とメディアにコピーを保存することが最善策です。

ランサムウェアの脅威の一般的なアクセスおよび配布ベクトルは次のとおりです。

  • 公開された/脆弱な RDP サービス、クレデンシャル スタッフィング、ブルート フォース ログイン
  • フィッシングメール、ソーシャルエンジニアリングによる誘導、スパムの添付ファイルやリンク、マルバタイジング、トロイの木馬化されたダウンロード、ドライブバイダウンロード、海賊版ソフトウェアや「クラック」、偽のアップデータ、ローダー/バックドア感染、LAN やリムーバブル USB/ストレージデバイスを介した横方向の拡散

結論

RDATランサムウェアは、規律正しく利益を追求するダルマの亜種です。再起動後も活動を続け、リカバリポイントを削除し、ローカルデータと共有データの両方を標的とし、金銭を要求するための圧力戦術を武器としています。回復力を高めるための最も確実な方法は、プロアクティブなセキュリティ強化に加え、堅牢でオフライン対応のバックアップと、十分に訓練されたリカバリです。金銭を支払わず、駆除、復旧、そして防御の強化を行い、次の攻撃を阻止しましょう。

メッセージ

RDATランサムウェア に関連する次のメッセージが見つかりました:

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: datret@tuta.com YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:dat@mailum.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

TELEGRAM

write to us by telegram:
@returndat

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note presented as a text file:
all your data has been locked us

You want to return?

write email dat@mailum.com or datret@tuta.com or @returndat

トレンド

Marmose.app

Mac マルウェア, アドウェア, 望ましくない可能性のあるプログラム
進化を続けるサイバーセキュリティ環境において、Macユーザーもデジタル侵入者の脅威から逃れることはできません。潜在的に不要なプログラム(PUP)は、デバイスの整合性を損ない、ユーザーのプライバシーを侵害し、より深刻な感染の機会を作り出すことで、深刻な脅威となる可能性があります。その一例が、macOSシステムを標的とする欺瞞的なアプリケーション「Marmose.app」です。このようなアプリに...

ジャーマントップスーパー.pw

不正なウェブサイト, アドウェア
Germantopsuper.pw は、欺瞞的な目的を持った信頼できない Web サイトです。その主な目的は、戦術を促進し、スパムのブラウザ通知を生成することです。さらに、訪問者を他の Web サイトにリダイレクトする機能も備えていますが、その多くは同様に信頼性が低く、危険ですらあります。 この不正な Web ページは通常、不正な広告ネットワークを使用する Web サイトによって引き起こされ...

SparkKittyモバイルマルウェア

モバイルマルウェア, スティーラーズ
世界中でTikTok Shopユーザーを標的としたサイバー犯罪活動が、フィッシング攻撃とマルウェアを仕込んだアプリを巧妙に組み合わせて展開されています。この活動の中心となっているのは、偽のTikTokアプリに埋め込まれたステルス性の高い高性能マルウェア「SparkKitty」です。このキャンペーンは一見、eコマースの促進を謳っていますが、実際にはユーザーのデータや金融資産を盗むための巧妙な策...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
58,286
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
44,263
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Discord 灰色の画面で立ち往生

問題
44,074
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
読み込んでいます...