複数ライセンス割引見積
脅威データベース ランサムウェア Theft Ransomware

Theft Ransomware

ランサムウェアMezoまで
翻訳内容:

現代の脅威環境は容赦がありません。サイバー犯罪者は、不用意なユーザーを狙うために、常にツールを改良しています。こうした脅威の中でも最も深刻な被害をもたらすのが、データを暗号化して金銭を脅し取る悪意のあるソフトウェア、ランサムウェアです。こうした新たな亜種の一つに「盗難型ランサムウェア」があり、既に無防備なシステムに甚大な被害をもたらしていることが確認されています。

盗難型ランサムウェアが危険な理由

盗難型ランサムウェアは、個人と組織の両方を標的にすることで知られる悪名高いDharmaランサムウェアファミリーに属する新しい亜種です。デバイスに侵入すると、このマルウェアはファイルを暗号化し、以下の文字列を追加してファイル名を変更します。

  • 固有の被害者ID
  • 攻撃者のメールアドレス
  • 「.theft」拡張子

たとえば、「1.png」は「1.png.id-9ECFA84E.[datatheft@tuta.io].theft」になります。

その後、被害者はテキストファイル(「info.txt」)とポップアップウィンドウの形で身代金要求の通知を受け取ります。テキストファイルは連絡先情報のみが記載された簡潔なものですが、ポップアップウィンドウにはより詳細な情報が記載されており、身代金を支払えばデータ復旧が可能であるという保証も含まれています。攻撃者はさらに、「復号の証明」として、重要度の低い3つの小さなファイルを無料で復元できると提示しています。

犯罪者は、企業の機密データを盗んだと主張し、支払いを拒否した場合はそれを漏らすと脅迫して、さらにプレッシャーをかけています。

脅威の技術的特徴

他のDharmaベースの亜種と同様に、Theft Ransomwareはシステム全体をロックダウンするのではなく、ローカルファイルとネットワーク共有ファイルを暗号化します。このマルウェアは、以下の活動を実行します。

  • 使用中のファイルに関連付けられたプロセス (データベース、リーダーなど) を終了します。
  • %LOCALAPPDATA% パスに自身をコピーし、実行キーを介して永続性を登録します。
  • システムの再起動時に自動的に起動するように設定する
  • 簡単に復元できないようにボリュームシャドウコピーを削除します

このマルウェアは、暗号化を続行するかどうかを決定するために地理位置情報も収集し、特定の地域を除外する可能性もあります。

感染の広がり方

窃盗型ランサムウェアは複数の侵入戦術を用いますが、最も一般的なのはセキュリティが脆弱なRDP(リモートデスクトッププロトコル)サービスです。保護が不十分なアカウントに対するブルートフォース攻撃や辞書攻撃が、侵入経路として頻繁に利用されます。侵入後、マルウェアは動作を容易にするためにファイアウォールを無効にすることもあります。

その他のよく知られた流通チャネルは次のとおりです。

フィッシングとソーシャル エンジニアリング- 電子メール、DM、投稿内の悪意のある添付ファイルまたはリンク。

トロイの木馬とバックドア- ランサムウェアを静かに投下するために使用されます。

マルバタイジングとドライブバイダウンロード– 侵害された Web サイトにアクセスするだけでトリガーされます。

疑わしいソフトウェア ソース– 海賊版ツール、フリーウェア バンドル、偽の更新プログラム。

リムーバブル メディアとローカル ネットワーク– マルウェアがシステムに侵入すると、内部に拡散する可能性があります。

身代金を支払うことがなぜ危険な賭けなのか

攻撃者の鍵がなければ、Theft によって暗号化されたファイルを復号することはほぼ不可能です。ランサムウェアの亜種の中には欠陥のあるものもありますが、Dharma ベースの脅威は通常、堅牢に構築されています。重要なのは、身代金を支払っても復旧が保証されないことです。多くの被害者は、資金を送金した後も何も得られません。さらに悪いことに、身代金の支払いはさらなる犯罪活動の資金源となるだけです。

ランサムウェアに対する防御を強化する

盗難ランサムウェア対策の最善策は予防です。マルウェアを削除しても暗号化されたファイルが自動的に復元されるわけではないため、ユーザーは回復力と積極的な防御に重点を置く必要があります。すべてのユーザーが実践すべき重要な対策は以下のとおりです。

  • 定期的なバックアップ – 感染したシステムにマップされていないオフライン ドライブやクラウド サービスなど、複数の安全な場所に重要なファイルのコピーを保存します。
  • ソフトウェアとシステムを更新する – ランサムウェアが悪用する脆弱性を解消するためにパッチを適用します。
  • 強力な認証を使用する – 一意の複雑なパスワードを使用して RDP サービスを保護し、多要素認証を有効にします。
  • 電子メールとリンクには注意してください – 正当に見えても、予期しない添付ファイルを開いたり、不明なリンクをクリックしたりしないでください。
  • 管理者権限の制限 – 潜在的なマルウェア実行の影響を軽減するために権限を制限します。
  • 評判の良いセキュリティ ツールをインストールする – ランサムウェア保護機能を備えたマルウェア対策ソリューションを採用します。
  • マクロとスクリプトを無効にする – 多くのランサムウェア攻撃は、Office ドキュメントまたはスクリプトを通じてトリガーされます。
  • ネットワークをセグメント化 – ビジネス環境全体にマルウェアが横方向に拡散するのを防ぎます。

最後に

窃盗型ランサムウェアは、Dharmaファミリーの継続的な進化と、世界的なランサムウェア攻撃におけるその永続的な役割を浮き彫りにしています。暗号化、データ窃盗、そして恐喝という組み合わせが、その被害を特に大きくしています。クリーンなバックアップがなければファイルの復旧は不可能な場合が多いため、真の防御策は多層的な予防策、強力なサイバー衛生、そして信頼性の高い復旧戦略のみとなります。

System Messages

The following system messages may be associated with Theft Ransomware:

All your files has been encrypted!

Don't worry, you can return all your files!
If you want to restore them, contact us: datatheft@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:datatheft@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties. Financial implications: The threat of data breach could result in significant fines and legal action. Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work. We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note in the text files:
All your data has been encrypted.

For decryption contact:

datatheft@tuta.io or datatheft@cyberfear.com

トレンド

Powerpcsupport.com

不正なウェブサイト, アドウェア
Powerpcsupport.com は、偽のマルウェア対策スキャンを表示することで、宣伝されているソフトウェア製品またはライセンスを購入するようにユーザーをだまそうとする疑わしい Web サイトです。この欺瞞的な戦術は、疑いを持たない被害者をおびき寄せて、潜在的に有害なプログラムを自分のコンピューターにダウンロードしてインストールさせるためにも使用される可能性があり、セキュリティ リスクに...

Knuckledd.com

アドウェア, 不正なウェブサイト
ウェブには正当なリソースが溢れていますが、同時にユーザーを欺くために巧妙に作られた偽サイトも無数に存在します。悪質なページは往々にしてユーザーの信頼を悪用し、セキュリティやプライバシーを侵害する行為を訪問者に促します。精査対象となっているそのようなサイトの一つがKnuckledd.comです。これは、ユーザーを誘導して煩わしい通知を表示させ、さらなる詐欺やセキュリティリスクを招くプラットフォ...

ドミナントネットワーク

アドウェア, Mac マルウェア
DominantNetwork は、アドウェアのカテゴリに分類されるアプリケーションの一種です。これは AdLoad マルウェア ファミリのメンバーとして識別されており、主に侵入的な広告キャンペーンを実行するように設計されています。 アドウェアの世界 アドウェアは、広告サポート型ソフトウェアの略称であり、さまざまなインターフェイス上でサードパーティのグラフィック コンテンツを表示できるように...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
56,500
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Discord 灰色の画面で立ち往生

問題
43,252
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
43,018
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...