RagnarLockerランサムウェアの扱い方 (05.19.24)

ランサムウェアは非常に厄介なマルウェアです。攻撃者は被害者に、人質から解放される重要なデータの支払いを要求するためです。ランサムウェアは被害者のデバイスに密かに感染し、重要なデータ(バックアップファイルを含む)を暗号化してから、身代金の支払い額と支払い方法についての指示を残します。これらすべての面倒な作業の後、被害者は、攻撃者が実際に復号化キーを解放してファイルのロックを解除するという保証はありません。また、そうなると、一部のファイルが破損し、最終的には役に立たなくなる可能性があります。

ランサムウェアの使用は、ハッカーがお金を稼ぐための最も直接的な方法であるため、長年にわたって人気が高まっています。マルウェアをドロップし、ユーザーがビットコインを介して送金するのを待つだけです。 Emsisoftのデータによると、2019年のランサムウェア攻撃の数は前年比で41%増加し、約1,000の米国組織に影響を及ぼしました。 Cyber​​security Venturesは、ランサムウェアが11秒ごとに企業を攻撃すると予測しています。

今年の初め、マルウェアの新種であるRagnar Lockerが、リスボンに本社を置くポルトガルの電力会社であるEnergias de Portugal(EDP)を攻撃しました。 。攻撃者は身代金として1,580ビットコインを要求しました。これは約1100万ドルに相当します。

RagnarLockerランサムウェアとは何ですか?

Ragnar Lockerは、データを暗号化するだけでなく、マネージドサービスプロバイダーやいくつかのWindowsサービスで通常使用されるConnectWiseやKaseyaなどのインストール済みアプリケーションを強制終了するために作成されるランサムウェアタイプのマルウェアです。 Ragnar Lockerは、ragnarという単語とそれに続く乱数と文字の文字列で構成される一意の拡張子を追加することにより、暗号化されたファイルの名前を変更します。たとえば、A.jpgという名前のファイルの名前はA.jpg.ragnar_0DE48AABに変更されます。

ファイルを暗号化した後、テキストファイルを使用して同じ名前の形式で身代金メッセージを作成します上記の例で。身代金メッセージにはRGNR_0DE48AAB.txtという名前を付けることができます。

このランサムウェアはWindowsコンピューターでのみ実行されますが、このマルウェアの作成者がMacバージョンのRagnarLockerも設計したかどうかはまだわかりません。これは通常、マネージドサービスプロバイダーが攻撃を検出して停止しないようにするために一般的に使用されるプロセスとアプリケーションを対象としています。 Ragnar Lockerは、英語を話すユーザーのみを対象としています。

Ragnar Lockerランサムウェアは、侵害されたネットワークに対する攻撃の一部として使用された2019年12月末頃に最初に検出されました。セキュリティの専門家によると、ヨーロッパのエネルギー大手に対するRagnar Lockerの攻撃は、よく考えられ、徹底的に計画された攻撃でした。

RagnarLockerの身代金メッセージの例を次に示します。

こんにちは*!

********************

このメッセージを読んでいる場合は、ネットワークが貫通されており、すべてのファイルがデータはRAGNAR_LOCKERによって暗号化されています

********************

*********システムはどうなりますか?* ***********

ネットワークに侵入し、すべてのファイルとバックアップがロックされました。したがって、これからは、米国を除いて、ファイルを取り戻すのを手伝うことはできません。

グーグルで検索できます。シークレットキーがないと、データを復号化する機会はありません。

でも心配しないでください!ファイルが破損したり失われたりすることはなく、変更されただけです。支払うとすぐに元に戻すことができます。

私たちはお金だけを探しているので、あなたの情報を盗んだり削除したりすることに関心はありません。それは単なるビジネスです$-)

ただし、特定の暗号化キーを使用せずに他のソフトウェアで復号化しようとすると、自分でデータを損傷する可能性があります。

また、すべての機密情報と個人情報が収集されました。支払いを行わない場合は、

アップロードして公開します。

****

***********ファイルを元に戻す方法?******

To暗号化キーに支払う必要のあるすべてのファイルとデータを復号化します:

支払い用のBTCウォレット:*

支払い額(ビットコイン):25

****

***********どのくらいの時間を支払う必要がありますか?**********

*より良い価格を得るために、暗号化に気付いてから2日以内に私たちに連絡する必要があります。

*連絡がない場合、14日後に価格が100%(2倍の価格)上昇します。

*連絡がない、または取引がない場合、キーは21日で完全に消去されます。

ファイルサーバーから盗まれた一部の重要な情報は、公開またはにアップロードされます。リセラー。

****

***********ファイルを復元できない場合はどうなりますか?******

私たちが本当にあなたのデータを解読できることを証明するために、私たちはあなたのロックされたファイルの1つを解読します!

それを私たちに送るだけで、あなたはそれを無料で取り戻すでしょう。

復号化機能の価格は、ネットワークサイズ、従業員数、年間収益に基づいています。

支払う必要のあるBTCの金額については、お気軽にお問い合わせください。

****

!ビットコインの入手方法がわからない場合は、両替方法をアドバイスします。

!!!!!!!!!!!!!

!こちらが私たちと連絡を取るための簡単なマニュアルです!

!!!!!!!!!!!!!

1)TOXメッセンジャーの公式ウェブサイト(hxxps://tox.chat/download.html)にアクセスします。

2)PCにqTOXをダウンロードしてインストールし、プラットフォームを選択します。 (Windows、OS X、Linuxなど)

3)メッセンジャーを開き、[新しいプロファイル]をクリックしてプロファイルを作成します。

4)[友達を追加]ボタンをクリックして連絡先を検索します*

5)識別のために、—RAGNAR SECRET—からサポートデータを送信します

重要!!何らかの理由でqTOXで連絡できない場合は、ここに予約メールボックス(*)が—RAGNAR SECRET—からのデータを含むメッセージを送信します。

警告!

-サードパーティのソフトウェアでファイルを復号化しようとしないでください(永久に破損します)

-OSを再インストールしないでください。これにより、データが完全に失われ、ファイルが失われる可能性があります。復号化できません。絶対に!

-復号化用の秘密鍵はサーバー上にありますが、永久に保存されることはありません。時間を無駄にしないでください !

********************

—RAGNAR SECRET—

*

—RAGNAR SECRET—

********************

Ragnar Lockerは何をしますか?

Ragnar Lockerは通常、ConnectWiseなどのMSPツールを介して配信されます。このツールでは、サイバー犯罪者が標的を絞ったランサムウェア実行可能ファイルをドロップします。この伝播手法は、Sodinokibiなどの以前の非常に悪意のあるランサムウェアで使用されていました。このタイプの攻撃が発生すると、ランサムウェアの作成者は、セキュリティで保護されていない、またはセキュリティで保護されていないRDP接続を介して組織または施設に侵入します。次に、ツールを使用して、アクセス可能なすべてのエンドポイントにPowershellスクリプトを送信します。次に、スクリプトは、ランサムウェアを実行してエンドポイントを暗号化するように設計されたPastebinを介してペイロードをダウンロードします。場合によっては、ペイロードは、ファイルベースの攻撃の一部として起動される実行可能ファイルの形式で提供されます。完全にファイルレスの攻撃の一部として追加のスクリプトがダウンロードされる場合もあります。

RagnarLockerは、次の文字列など、マネージドサービスプロバイダーによって一般的に実行されるソフトウェアを特に対象としています。

  • vss
  • sql
  • memtas
  • mepocs
  • sophos
  • veeam
  • backup
  • pulseway
  • logme
  • logmein
  • connectwise
  • splashtop
  • kaseya

ランサムウェアは最初にターゲットのファイルを盗み、サーバーにアップロードします。 Ragnar Lockerのユニークな点は、ファイルを暗号化するだけでなく、EDPの場合のように、身代金が支払われていない場合にデータが公開されると被害者を脅かすことです。 EDP​​を使用すると、攻撃者は10 TBの盗まれたデータを解放すると脅迫しました。これは、史上最大のデータ漏洩の1つである可能性があります。攻撃者は、すべてのパートナー、クライアント、および競合他社に違反が通知され、漏洩したデータがニュースやメディアのimgに送信されて公開されると主張しました。 EDP​​のスポークスパーソンは、攻撃が電力会社の電力サービスとインフラストラクチャに影響を与えなかったと発表しましたが、迫り来るデータ侵害は彼らが心配していることです。

サービスの無効化とプロセスの終了は、マルウェアがセキュリティプログラム、バックアップシステム、データベース、およびメールサーバーを無効にするために使用する一般的な戦術です。これらのプログラムが終了すると、データを暗号化できます。

最初に起動すると、RagnarLockerは構成されたWindows言語設定をスキャンします。言語設定が英語の場合、マルウェアは次のステップに進みます。ただし、言語が旧ソ連諸国の1つとして設定されていることをラグナーロッカーが検出した場合、マルウェアはプロセスを終了し、コンピューターの暗号化を行いません。

ラグナーロッカーは、MSPのセキュリティツールをブロックする前に侵害しますランサムウェアが実行されないようにします。内部に入ると、マルウェアは暗号化プロセスを開始します。埋め込まれたRSA-2048キーを使用して、重要なファイルを暗号化します。

Ragnar Lockerは、すべてのファイルを暗号化するわけではありません。次のような一部のフォルダ、ファイル名、拡張子はスキップされます:

  • kernel32.dll
  • Windows
  • Windows.old
  • Torブラウザ
  • InternetExplorer
  • Google
  • Opera
  • Operaソフトウェア
  • Mozilla
  • Mozilla Firefox
  • $ Repair.Bin
  • ProgramData
  • すべてのユーザー
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr .efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • .sys
  • .dll
  • .lnk
  • 。msi
  • .drv
  • .exe

追加暗号化されたファイルの新しいファイル拡張子であるRagnarLockerは、暗号化されたすべてのファイルの末尾に「RAGNAR」ファイルマーカーも追加します。

Ragnar Lockerは、身代金の金額、ビットコインの支払いアドレス、攻撃者との通信に使用されるTOXチャットID、およびバックアップの電子メールアドレスの詳細を含む「.RGNR_ [extension] .txt」という名前の身代金メッセージをドロップします。 TOXに問題がある場合。他のランサムウェアとは異なり、RagnarLockerには一定量の身代金がありません。ターゲットによって異なり、個別に計算されます。一部の報告では、身代金の額は200,000ドルから600,000ドルの間で変動する可能性があります。 EDP​​の場合、身代金は1,580ビットコインまたは1,100万ドルでした。

RagnarLockerを削除する方法

コンピュータがRagnarLockerに感染するのが不運だった場合、最初に行う必要があるのは確認することですすべてのファイルが暗号化されている場合。また、バックアップファイルも暗号化されているかどうかを確認する必要があります。このような攻撃は、少なくともファイルへのアクセスを失うことを心配する必要がないため、重要なデータのバックアップをとることの重要性を浮き彫りにします。

身代金は役に立たないので、支払おうとしないでください。攻撃者が正しい復号化キーを送信し、ファイルが公開されないという保証はありません。実際、攻撃者はあなたが支払う意思があることを知っているため、あなたから金銭を強要し続ける可能性が高いです。

あなたができることは、解読を試みる前に、まずコンピュータからランサムウェアを削除することですそれ。ウイルス対策アプリまたはマルウェア対策アプリを使用してコンピューターをスキャンし、マルウェアを検出し、指示に従って検出されたすべての脅威を削除できます。次に、マルウェアに関連している可能性のある疑わしいアプリや拡張機能をすべてアンインストールします。

最後に、RagnarLockerに一致する復号化ツールを探します。ランサムウェアによって暗号化されたファイル用に設計された復号化ツールがいくつかありますが、利用可能なものがあるかどうかを最初にセキュリティソフトウェアの製造元に確認する必要があります。たとえば、アバストとカスペルスキーには、ユーザーが使用できる独自の復号化ツールがあります。試すことができる他の復号化ツールのリストを次に示します。

RagnarLockerから身を守る方法

ランサムウェアは、特にマルウェアによって行われた暗号化を元に戻すことができる既存の復号化ツールがない場合、非常に面倒な場合があります。 。ランサムウェア、特にRagnar Lockerからデバイスを保護するために、覚えておく必要のあるヒントをいくつか紹介します。

  • 二重要素認証または多要素認証を使用して、強力なパスワードポリシーを採用します。 (MFA)可能であれば。それが不可能な場合は、推測が難しいランダムで一意のパスワードを生成します。
  • デスクを離れるときは、必ずコンピュータをロックしてください。昼食に出かけるときも、ちょっと休憩するときも、トイレに行くときも、不正アクセスを防ぐためにパソコンをロックしてください。
  • 特に重要な情報については、データのバックアップと復旧の計画を立ててください。コンピューター。可能であれば、ネットワークの外部または外部デバイスに保存されている最も重要な情報を保存します。これらのバックアップを定期的にテストして、実際の危機が発生した場合に正しく機能することを確認してください。
  • システムを更新し、最新のセキュリティパッチを適用してインストールします。ランサムウェアは通常、システムの脆弱性を悪用するため、デバイスのセキュリティが気密であることを確認してください。
  • ランサムウェアの最も一般的な配布方法であるフィッシングの一般的なベクトルに注意してください。ランダムなリンクをクリックしないでください。コンピュータにダウンロードする前に、常に電子メールの添付ファイルをスキャンしてください。
  • デバイスに堅牢なセキュリティソフトウェアをインストールし、データベースを最新の脅威で最新の状態に保ちます。

YouTubeのビデオ: RagnarLockerランサムウェアの扱い方

05, 2024