REvil ランサムウェア
サイバーセキュリティの専門家は、最近 Web を循環する新しいランサムウェアの脅威を発見しました。このデータ暗号化トロイの木馬は REvil Ransomware と呼ばれ、 Sodinokibi Ransomwareとしても知られています。
侵入と暗号化
マルウェアの専門家は、REvil ランサムウェアの拡散にどの方法が採用されているかについて、合意に達することができていません。 REvil Ransomware の作成者は、このファイル ロック型トロイの木馬を広めるために、最も一般的な手法のいくつかを使用している可能性があると考えられています。偽のアプリケーション アップデート、非公式ソースからダウンロードした感染した海賊版ソフトウェア、破損した添付ファイルを含むスパム メールです。 REvil Ransomware がシステムに侵入した場合、コンピューターに存在するファイルのクイック スキャンから攻撃を開始します。目標は、REvil Ransomware が追跡するようにプログラムされたファイルを見つけて特定することです。次に、暗号化プロセスがトリガーされ、対象のすべてのファイルが暗号化アルゴリズムを使用してロックされます。ファイルをロックすると、REvil Ransomware はファイル名に拡張子を追加します。この拡張子は、被害者ごとに一意に生成されたランダムな文字列 (たとえば、「.294l0jaf59」) で構成されます。これは、もともと「kitty-litter.jpg」という名前だったファイルが REvil ランサムウェアの暗号化プロセスを受けると、その名前が「kitty-litter.jpg.294l0jaf59」に変更されることを意味します。
今週のマルウェア Ep7: Revil ランサムウェアが有名クライアントの法律事務所を攻撃
ランサムノート
次の段階は、身代金メモの投下です。 REvil Ransomware のメモの名前は「294l0jaf59-HOW-TO-DECRYPT.txt」で、以前の独自に生成された拡張機能の例を続けます。身代金のメッセージには次のように書かれています。
'--=== ようこそ。再び。 ===---
[+] どうしたの? [+]
ファイルは暗号化されており、現在利用できません。これを確認できます。コンピュータ上のすべてのファイルの拡張子は 686l0tek69 です。
ちなみに、すべてを回復(復元)することは可能ですが、私たちの指示に従う必要があります。そうしないと、データを返すことはできません (NEVER)。
[+] 何が保証されますか? [+]
それはただのビジネスです。利益を得ることを除いて、私たちはあなたとあなたの取引をまったく気にしません.私たちが仕事と義務を果たさない場合、誰も私たちに協力しません。それは私たちの利益にはなりません。
ファイルを返す機能を確認するには、当社の Web サイトにアクセスしてください。そこで、1 つのファイルを無料で復号化できます。それが私たちの保証です。
あなたが私たちのサービスに協力しない場合 - 私たちにとっては、それは問題ではありません。しかし、秘密鍵を持っているだけなので、時間とデータを失うことになります。実際には、時間はお金よりもはるかに価値があります。
[+] Web サイトにアクセスするにはどうすればよいですか? [+]
次の 2 つの方法があります。
1) 【推奨】TORブラウザを使う!
a) 次のサイトから TOR ブラウザをダウンロードしてインストールします: hxxps://torproject.org/
b) ウェブサイトを開きます: hxxp://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/913AED0B5FE1497D
2) あなたの国で TOR がブロックされている場合は、VPN を使用してみてください。ただし、セカンダリ Web サイトを使用できます。このため:
a) 任意のブラウザ (Chrome、Firefox、Opera、IE、Edge) を開きます。
b) セカンダリ Web サイトを開きます: http://decryptor.top/913AED0B5FE1497D
警告: セカンダリ Web サイトはブロックされる可能性があるため、最初のバリアントの方がはるかに優れており、より利用可能です。
ウェブサイトを開いたら、入力フォームに次のデータを入力してください。
キー:
-
拡張名:
294l0jaf59
-------------------------------------------------- ---------------------------------------
!!!危険 !!!
自分でファイルを変更しようとしないでください。データを復元するためにサードパーティのソフトウェアを使用したり、ウイルス対策ソリューションを使用したりしないでください。秘密鍵が破損し、その結果、すべてのデータが失われる可能性があります。
!!! !!! !!!
もう一度: ファイルを取り戻すことがあなたの利益になります。私たち(最高の専門家)が復元のためにすべてを作成しますが、干渉しないでください。
!!! !!! !!!」
攻撃者は、身代金として 2500 ドルのビットコインを要求します。ただし、合計が 72 時間以内に支払われない場合、2 倍の 5000 ドルになります。
REvil Ransomware の作成者が要求する金額はかなり高額であるため、このデータロック型トロイの木馬の責任者のようなサイバー犯罪者による要求にお金を払って屈服しないよう強くお勧めします。より賢明なオプションは、評判の良いウイルス対策ソフトウェア スイートをダウンロードしてインストールすることです。これにより、REvil ランサムウェアなどの脅威からシステムを保護できます。
Grubman Shire Meiselas & Sacks ハッキングと 4200 万ドルの身代金要求
2020 年 5 月の初めに、REvil ハッキング グループは、ニューヨークを拠点とする法律事務所 Grubman Shire Meiselas & Sacks (GSMS) のシステムに侵入し、756GB もの機密データを暗号化して盗みました。
盗まれたファイルには、エルトン・ジョン、マドンナ、ブルース・スプリングスティーン、ニッキー・ミナージュ、マライア・キャリー、レディー・ガガ、U2など、数多くのAリストの有名人の個人的な通信、音楽の権利、非開示契約、電話番号、メールアドレスが含まれていました。
それだけでなく、ハッカーは、ドナルド トランプ大統領に関する機密データを手に入れたと主張しました。この主張が、REvil グループによる印象的な身代金要求の理由でした。当初、攻撃者は 2,100 万ドルを要求していましたが、GSMS はわずか 365,000 ドルで対抗しました。
その結果、サイバー犯罪者による身代金の要求が倍増し、コンサート、テレビ出演、販売契約などのレディー・ガガの法的文書を含む 2.4GB のアーカイブが公開されました。
[キャプション id="attachment_501878" align="aligncenter" width="600"] 
レディー・ガガのリークの内容。出典: zdnet.com[/caption]
リークには、トランプ大統領の「汚れた洗濯物」の解放に関する脅迫も含まれていました。
「次に公開する人物はドナルド・トランプです。選挙戦が行われていて、時間通りに大量の汚れた洗濯物を見つけました。トランプ氏、もし大統領に留まりたいなら、男たちに鋭い棒を突きつけてください。さもなければ、この野望を永遠に忘れてしまうでしょう。そして、有権者の皆様には、このような出版の後、彼を大統領として見たくないということをお伝えすることができます.まぁ、詳細は割愛しましょう。締め切りは一週間です。グラブマン、お金がなければあなたの会社を壊滅させます。 Travelex のストーリーを読んでください。とてもためになります。あなたは彼らのシナリオを1対1で繰り返します。」
GSMS は、トランプ氏が同社の顧客になったことは一度もないと述べて、この脅威に応えた。ハッカーは、トランプに関する「最も無害な情報」を含んでいたとされる 160 通の電子メールのアーカイブを公開しました。それでも、彼らは、米国大統領についての言及はあり、彼についての実際の汚点は含まれていなかった.明らかに、攻撃者は「トランプ」に関する言及を検索したばかりであり、リークされた電子メールの多くは、単に動詞としてそれを含んでいた.
一方、GSMS は、FBI がこの違反をテロ行為として分類したことを示唆し、次のように答えました。
「私たちは、専門家と FBI から、テロリストと交渉したり、身代金を支払うことは、連邦刑法に違反していると通知を受けました。」
これは REvil ギャングの態度に影響を与えていないようです。彼らは、自分の持っている貴重な情報を競売にかけ、お金を払ってくれる人に売り飛ばすと言っています。
