V (Dharma) Ransomware

サイバー脅威はますます巧妙化しており、ユーザーがデバイスを保護するために強力なセキュリティ対策を講じることが重要になっています。特に攻撃的なランサムウェアの 1 つである V (Dharma) ランサムウェアは、ファイルを暗号化し、復号化のために金銭を要求します。この脅威の仕組みを理解し、強力なセキュリティ対策を講じることが、安全を保つために不可欠です。

V (Dharma) ランサムウェアがファイルを暗号化する方法

V (Dharma) ランサムウェアは、主に Windows システムをターゲットとする有名なランサムウェア グループであるDharmaファミリーに属しています。デバイスに侵入すると、ファイルを暗号化し、固有の被害者 ID、攻撃者が管理する電子メール アドレス、および「.V」拡張子を追加してファイル名を変更します。たとえば、「1.png」という名前のファイルは「1.png.id-9ECFA84E.[vijurytos@tuta.io].V」になり、「2.pdf」は「2.pdf.id-9ECFA84E.[vijurytos@tuta.io].V」に名前が変更されます。

暗号化が完了すると、V ランサムウェアはポップアップの身代金要求メッセージを表示し、影響を受けたディレクトリに「info.txt」というテキスト ファイルを作成します。身代金要求メッセージでは、被害者に固有の ID を記載した電子メールで攻撃者に連絡するよう求めています。12 時間以内に応答がない場合は、2 番目の電子メール アドレスが提供されます。

身代金要求と戦術

身代金要求メッセージには、被害者のファイルは暗号化されており、攻撃者から復号ツールを購入することによってのみ復元できると警告されています。被害者に復号が可能だと納得させるために、犯罪者は、ファイルに貴重なデータが含まれていない限り、最大 3 つのファイル (3 MB 未満) を無料で復号することを申し出ています。

さらに、この警告では、被害者が暗号化されたファイルの名前を変更したり、サードパーティの復号ソフトウェアを使用したりしないように勧めており、そうすることで永久的なデータ損失や身代金要求額の増加につながる可能性があると警告している。ビットコインを購入するためのリンクも含まれており、身代金の支払いは暗号通貨で行う必要があることを強調している。

ステルス戦術と持続メカニズム

V ランサムウェアは他の Dharma 亜種と多くの特徴を共有しており、被害者のデータへのアクセスを遮断する効果が非常に高いです。暗号化以外にも、感染したシステムへの支配力を強化するためにいくつかのアクションを実行します。

• セキュリティ機能の無効化:ランサムウェアは検出を避けるためにシステムのファイアウォールをオフにします。
• バックアップ コピーの削除:ボリューム シャドウ コピー (Windows バックアップ ファイル) が削除されるため、復号化キーなしでのデータ復旧が困難になります。
• 永続性の確保: V は自身を '%LOCALAPPDATA%' ディレクトリにコピーし、Windows レジストリの実行キーを変更して、システムが起動するたびに起動するようにします。

• 選択的ターゲット:ランサムウェアは特定の場所にあるファイルの暗号化を回避する可能性があり、これによりシステムの継続的な機能を確保したり、検出を回避したりする可能性があります。

V (Dharma) ランサムウェアの拡散方法

攻撃者はさまざまな方法を使用して V ランサムウェアを配布し、知らないうちにシステムをセキュリティ リスクにさらしているユーザーをターゲットにします。最も一般的な感染ベクトルには次のものがあります。

• 侵害されたリモート デスクトップ プロトコル (RDP) サービス:脅威の攻撃者は、ブルート フォース攻撃または辞書攻撃を実行して弱い RDP 資格情報を悪用し、不正アクセスを取得します。
• 詐欺的な電子メールの添付ファイルとリンク:ユーザーは、感染した添付ファイルや、ランサムウェアを展開する Web サイトにつながるリンクを含むフィッシング メールを受信する可能性があります。
• ソフトウェアの脆弱性の悪用:サイバー犯罪者は、パッチが適用されていないセキュリティ上の欠陥を利用して、脆弱なシステムにランサムウェアをインストールします。
• 海賊版ソフトウェアとクラックされたプログラム:非公式のソースからソフトウェアをダウンロードすると、ランサムウェアが混入した実行ファイルに遭遇するリスクが高まります。
• 偽の広告と安全でない Web サイト:ユーザーは、偽の広告や侵害された Web サイトを通じてランサムウェアをダウンロードするように誘導される可能性があります。
• 感染した USB ドライブ:サイバー犯罪者は、感染した外付けドライブをターゲットデバイスに接続して、ランサムウェアを拡散させることがあります。

セキュリティを強化するためのベストプラクティス

ランサムウェア感染を防ぐには、サイバーセキュリティに対する積極的なアプローチが必要です。デバイスを保護するためにユーザーが取るべき最も効果的な対策は次のとおりです。

• 解読困難なパスワードを使用し、多要素認証 (MFA) を有効にする: 複雑で一意のパスワードを使用して RDP およびオンライン アカウントを保護し、MFA を有効にして不正アクセスを防止します。
• ソフトウェアとオペレーティング システムを最新の状態に保つ: ランサムウェアが悪用する可能性のある脆弱性を修正するために、セキュリティ更新プログラムを定期的にインストールします。
• 使用されていない RDP サービスを無効にする: リモート デスクトップ アクセスが不要な場合は、RDP を無効にして、一般的な攻撃ベクトルを排除します。

• データを定期的にバックアップする: ランサムウェアによる暗号化を防ぐために、中央システムに直接接続されていない外部デバイスまたはクラウド サービスにバックアップを保存します。

• 電子メールの添付ファイルとリンクには十分注意してください: 信頼できるソースから送信されたように見えても、予期しない電子メールの添付ファイルにアクセスしたり、疑わしいリンクをクリックしたりしないでください。

• ソフトウェアは公式ソースからのみダウンロードしてください。海賊版プログラムやサードパーティのダウンローダーには悪意のあるコードが含まれていることが多いため、使用しないでください。

• ランサムウェア保護機能を備えたセキュリティ ソフトウェアを使用する: 完全な保護を保証するツールはありませんが、ランサムウェア検出機能を備えたセキュリティ ソリューションは感染の防止に役立ちます。

• ネットワーク セグメンテーションを有効にする: 複数のデバイスを使用する場合は、重要なシステムを一般使用のマシンから分離して、ランサムウェアがネットワーク全体に広がる能力を制限します。

最後に

V (Dharma) ランサムウェアは、ファイルを暗号化して被害者に身代金を要求する、非常に破壊的な脅威です。攻撃者は故意にバックアップ コピーを削除し、セキュリティ機能を無効にするため、復号キーなしで暗号化されたデータを復元することは非常に困難です。ランサムウェアの被害に遭わないための最善の対策は、強力なサイバー セキュリティ習慣を実践し、重要なファイルのバックアップを保持し、Web を閲覧したり電子メールを開いたりするときに警戒を怠らないことです。