コンピュータのメンテナンス
 Computer >> コンピューター >  >> トラブルシューティング >> コンピュータのメンテナンス

Ragnar Locker ランサムウェアに対処するには?

ランサムウェアは非常に厄介なマルウェアです。なぜなら、攻撃者は被害者に、重要なデータを人質から解放するための対価を支払うよう要求するからです。ランサムウェアは密かに被害者のデバイスに感染し、重要なデータ (バックアップ ファイルを含む) を暗号化し、身代金の金額と支払い方法に関する指示を残します。これらすべての手間をかけた後、被害者は、攻撃者が実際に復号化キーを解放してファイルのロックを解除するという保証はありません.そうなった場合、ファイルの一部が破損し、最終的には役に立たなくなる可能性があります。

ハッカーがお金を稼ぐための最も直接的な方法であるため、ランサムウェアの使用は長年にわたって人気を博してきました。マルウェアを投下し、ユーザーがビットコイン経由で送金するのを待つだけです。 Emsisoft のデータによると、2019 年のランサムウェア攻撃の数は前年比で 41% 増加し、約 1,000 の米国組織に影響を与えました。 Cyber​​security Ventures は、ランサムウェアが 11 秒ごとに企業を攻撃するとさえ予測しています。

今年初め、新種のマルウェアである Ragnar Locker が、リスボンに本社を置くポルトガルの電力会社 Energias de Portugal (EDP) を攻撃しました。攻撃者は身代金として 1,580 ビットコインを要求しましたが、これは約 1,100 万ドルに相当します。

Ragnar Locker ランサムウェアとは?

Ragnar Locker はランサムウェア タイプのマルウェアで、データを暗号化するだけでなく、ConnectWise や Kaseya など、マネージド サービス プロバイダーやいくつかの Windows サービスで通常使用されるインストール済みアプリケーションを強制終了するためにも作成されます。 Ragnar Locker は、単語 ragnar で構成される一意の拡張子を追加して、暗号化されたファイルの名前を変更します。 その後に、乱数と文字の文字列が続きます。たとえば、 A.jpg という名前のファイル A.jpg.ragnar_0DE48AAB に名前が変更されます。

ファイルを暗号化した後、上記の例と同じ名前形式のテキスト ファイルを使用して身代金メッセージを作成します。身代金メッセージの名前は RGNR_0DE48AAB.txt である可能性があります。

このランサムウェアは Windows コンピューターでのみ実行されますが、このマルウェアの作成者が Ragnar Locker の Mac バージョンも設計したかどうかはまだわかりません。通常、マネージド サービス プロバイダーが一般的に使用するプロセスやアプリケーションを標的にして、攻撃が検出されないようにします。 Ragnar Locker は、英語を話すユーザーのみを対象としています。

Ragnar Locker ランサムウェアは、侵害されたネットワークに対する攻撃の一部として使用された 2019 年 12 月末頃に初めて検出されました。セキュリティの専門家によると、ヨーロッパのエネルギー大手に対する Ragnar Locker 攻撃は、よく考えられ、徹底的に計画された攻撃でした。

以下は Ragnar Locker の身代金メッセージの例です:

こんにちは * !

********************

このメッセージを読んだ場合、あなたのネットワークは侵入されており、すべてのファイルとデータは暗号化されています

RAGNAR_LOCKER による !

********************

*********あなたのシステムはどうなりますか?************

ネットワークに侵入され、すべてのファイルとバックアップがロックされました!したがって、今後は、私たちを除いて、誰もあなたのファイルを取り戻すのを手伝うことができません.

Google で検索できます。SECRET KEY がなければ、データを復号化することはできません。

しかし、心配しないでください!ファイルは破損したり失われたりしていません。変更されているだけです。支払うとすぐに戻ってきます。

私たちはお金だけを探しているので、あなたの情報を盗んだり削除したりすることには関心がありません。それは単なるビジネスです $-)

私たちの特定の暗号化キーなしで、他のソフトウェアで復号化しようとすると、自分でデータを損傷する可能性があります!!!

また、あなたの機密情報や個人情報はすべて収集されました。支払いをしないと決めた場合、

パブリックビュー用にアップロードします!

****

***********ファイルを取り戻す方法******

すべてのファイルとデータを復号化するには、暗号化キーを支払う必要があります:

支払い用の BTC ウォレット:*

支払う金額 (ビットコイン):25

****

************支払いにかかる時間は?************

* 暗号化に気付いてから 2 日以内にご連絡いただくと、よりお得な料金でご利用いただけます。

* 連絡がない場合、14 日後に価格が 100% (倍の価格) に引き上げられます。

* 連絡がない場合、または取引がない場合、キーは 21 日で完全に消去されます。

ファイル サーバーから盗まれた機密情報の一部は、公開または再販業者にアップロードされます。

****

************ ファイルを復元できない場合はどうすればよいですか?********

あなたのデータを本当に解読できることを証明するために、ロックされたファイルの 1 つを解読します!

私たちに送っていただければ、無料でお返しします。

デクリプターの価格は、ネットワークの規模、従業員数、年間収益に基づいています。

お支払いいただく BTC の金額については、お気軽にお問い合わせください。

****

!ビットコインの入手方法がわからない場合は、両替方法をアドバイスします。

!!!!!!!!!!!!!

!これが、私たちと連絡をとるための簡単なマニュアルです!

!!!!!!!!!!!!!

1) TOX メッセンジャーの公式ウェブサイト ( hxxps://tox.chat/download.html ) にアクセスします

2) PC に qTOX をダウンロードしてインストールし、プラットフォーム (Windows、OS X、Linux など) を選択します

3) メッセンジャーを開き、[新しいプロフィール] をクリックしてプロフィールを作成します。

4) [友達を追加] ボタンをクリックして、連絡先を検索します*

5) 識別のために、—RAGNAR SECRET— からサポート データを送信してください

重要 !何らかの理由で qTOX で連絡できない場合は、予備のメールボックス ( * ) から —RAGNAR SECRET — からのデータを含むメッセージを送信してください

警告!

-サードパーティのソフトウェアでファイルを復号化しようとしないでください (完全に破損します)

-OS を再インストールしないでください。これにより、データが完全に失われ、ファイルを復号化できなくなります。決して!

-解読用の秘密鍵はサーバーにありますが、永久に保存されるわけではありません。時間を無駄にしないでください!

********************

—RAGNAR SECRET—

*

—RAGNAR SECRET—

********************

Ragnar Locker は何をしますか?

Ragnar Locker は通常、ConnectWise などの MSP ツールを介して配信され、サイバー犯罪者は標的を絞ったランサムウェア実行ファイルをドロップします。この伝播手法は、Sodinokibi などの以前の非常に悪質なランサムウェアで使用されていました。この種の攻撃が発生すると、ランサムウェアの作成者は、セキュリティで保護されていない、またはセキュリティが不十分な RDP 接続を介して組織や施設に侵入します。次に、ツールを使用して、アクセス可能なすべてのエンドポイントに Powershell スクリプトを送信します。次にスクリプトは、ランサムウェアを実行してエンドポイントを暗号化するように設計された Pastebin を介してペイロードをダウンロードします。場合によっては、ペイロードは、ファイルベースの攻撃の一部として起動される実行可能ファイルの形式で提供されます。完全なファイルレス攻撃の一環として、追加のスクリプトがダウンロードされる場合もあります。

Ragnar Locker は、以下の文字列を含む、マネージド サービス プロバイダーによって一般的に実行されるソフトウェアを具体的にターゲットにしています:

  • vss
  • SQL
  • メムタス
  • メポック
  • ソフォス
  • ビーム
  • バックアップ
  • パルスウェイ
  • ログ
  • ログメイン
  • コネクトワイズ
  • スプラッシュトップ
  • かせや

ランサムウェアは、まず標的のファイルを盗み、サーバーにアップロードします。 Ragnar Locker のユニークな点は、ファイルを単純に暗号化するだけでなく、EDP の場合のように、身代金が支払われなければデータが公開されると被害者を脅迫することです。 EDP​​ を使用して、攻撃者は 10 TB の盗まれたデータを解放すると脅迫しました。これは、史上最大のデータ漏洩の 1 つになる可能性があります。攻撃者は、すべてのパートナー、クライアント、および競合他社に侵害が通知され、漏洩したデータがニュースやメディア ソースに送信されて一般に公開されると主張しました。 EDP​​ のスポークスパーソンは、この攻撃が公益事業の電力サービスとインフラストラクチャに影響を及ぼさなかったと発表しましたが、差し迫ったデータ侵害は彼らが心配しているものです.

サービスの無効化とプロセスの終了は、マルウェアがセキュリティ プログラム、バックアップ システム、データベース、およびメール サーバーを無効にするために使用する一般的な戦術です。これらのプログラムが終了すると、データを暗号化できます。

Ragnar Locker を最初に起動すると、構成された Windows の言語設定がスキャンされます。言語設定が英語の場合、マルウェアは次のステップに進みます。しかし、Ragnar Locker が言語が旧ソ連諸国の 1 つとして設定されていることを検出した場合、マルウェアはプロセスを終了し、コンピューターを暗号化しません。

Ragnar Locker は、ランサムウェアの実行をブロックする前に、MSP のセキュリティ ツールを侵害します。内部に侵入すると、マルウェアは暗号化プロセスを開始します。組み込みの RSA-2048 キーを使用して、重要なファイルを暗号化します。

Ragnar Locker は、すべてのファイルを暗号化するわけではありません。次のような一部のフォルダー、ファイル名、拡張子はスキップされます:

  • kernel32.dll
  • Windows.old
  • Tor ブラウザ
  • インターネット エクスプローラー
  • Google
  • オペラ
  • オペラ ソフトウェア
  • モジラ
  • Mozilla Firefox
  • $Recycle.Bin
  • プログラムデータ
  • すべてのユーザー
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr.efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • .sys
  • .dll
  • .lnk
  • .msi
  • .drv
  • .exe

Ragnar Locker は、暗号化されたファイルに新しいファイル拡張子を追加するだけでなく、すべての暗号化されたファイルの末尾に「RAGNAR」ファイル マーカーも追加します。

次に、Ragnar Locker は、身代金の金額、ビットコインの支払いアドレス、攻撃者との通信に使用される TOX チャット ID、バックアップの電子メール アドレス (存在する場合) の詳細を含む、「.RGNR_[拡張子].txt」という名前の身代金メッセージをドロップします。 TOXの問題。他のランサムウェアとは異なり、Ragnar Locker には一定額の身代金がありません。対象によって異なり、個別に計算されます。一部のレポートでは、身代金の額は 200,000 ドルから 600,000 ドルの間で変動する可能性があります。 EDP​​ の場合、要求された身代金は 1,580 ビットコインまたは 1,100 万ドルでした。

Ragnar Locker の削除方法

運悪く Ragnar Locker に感染してしまった場合、最初に行う必要があるのは、すべてのファイルが暗号化されているかどうかを確認することです。また、バックアップ ファイルも暗号化されているかどうかを確認する必要があります。このような攻撃は、少なくともファイルへのアクセスを失うことを心配する必要がないため、重要なデータのバックアップの重要性を浮き彫りにします。

役に立たないので、身代金を支払おうとしないでください。攻撃者が正しい復号化キーを送信し、ファイルが公開されないという保証はありません。実際、攻撃者はあなたが支払う意思があることを知っているため、あなたから金銭を強要し続ける可能性が非常に高いです。

できることは、ランサムウェアを復号化する前に、まずコンピューターから削除することです。ウイルス対策アプリまたはマルウェア対策アプリを使用して、コンピューターでマルウェアをスキャンし、指示に従って、検出されたすべての脅威を削除できます。次に、マルウェアに関連している可能性のある疑わしいアプリや拡張機能をアンインストールします。

最後に、Ragnar Locker と一致する復号化ツールを探します。ランサムウェアによって暗号化されたファイル用に設計された復号化ツールはいくつかありますが、セキュリティ ソフトウェアの製造元が利用可能かどうかを最初に確認する必要があります。たとえば、Avast と Kaspersky には、ユーザーが使用できる独自の復号化ツールがあります。試すことができるその他の復号化ツールのリストは次のとおりです。

Ragnar Locker から身を守る方法

ランサムウェアは、マルウェアによって行われた暗号化を元に戻すことができる既存の復号化ツールがない場合は特に、非常に厄介な問題になる可能性があります。ランサムウェア、特に Ragnar Locker からデバイスを保護するには、次の点に留意する必要があります。

  • 可能であれば、二重要素または多要素認証 (MFA) を使用して、強力なパスワード ポリシーを採用します。それが不可能な場合は、推測しにくいランダムで一意のパスワードを生成してください。
  • デスクを離れるときは、必ずコンピュータをロックしてください。ランチに出かけたり、ちょっと休憩したり、トイレに行ったりするときは、コンピューターをロックして不正アクセスを防ぎます。
  • 特にコンピュータ上の重要な情報について、データのバックアップと復旧計画を作成します。最も重要な情報は、ネットワークの外部または可能であれば外部デバイスに保存してください。これらのバックアップを定期的にテストして、実際の危機が発生した場合に正しく機能することを確認してください。
  • システムを更新し、最新のセキュリティ パッチをインストールします。通常、ランサムウェアはシステムの脆弱性を悪用するため、デバイスのセキュリティが完全であることを確認してください。
  • ランサムウェアの最も一般的な配布方法であるフィッシングの一般的な手段に注意してください。ランダムなリンクをクリックせず、電子メールの添付ファイルをコンピュータにダウンロードする前に必ずスキャンしてください。
  • デバイスに堅牢なセキュリティ ソフトウェアをインストールし、最新の脅威でデータベースを最新の状態に保ちます。

  1. TeamsファイルをOneDrive同期アプリと同期する方法

    Microsoft Teamsの同期 OneDriveを含むファイル 同期アプリを使用すると、ローカルコンピューターのファイルエクスプローラーからクラウドファイルを直接表示できます。また、オフラインモードで作業する機能を取得します。オフラインモードでファイルに加えた変更は、インターネットに接続すると自動的に同期されます。手順を読んで、TeamsファイルをOneDriveと同期する方法を確認してください 同期アプリ。 OneDrive同期アプリでTeamsファイルを同期する 作成するすべてのチームには、いくつかのチャネルが含まれています。これらのチャネルは、チーム内で作成するタスクまたはイニ

  2. ファイルアプリを使用してiOSでファイルを管理する方法

    iOS(およびiPadOS)で最も過小評価されているアプリの1つは、Filesアプリに他なりません。最初は、iPhoneやiPadのシステムファイルを深く掘り下げることができない非常にシンプルなファイルマネージャーのように見えるかもしれません。ただし、特にモバイルの生産性に関しては、このアプリの機能に驚かれることを保証します。 ファイルアプリを使用すると、ローカルファイルとクラウドファイルの両方にアクセスしたり、外部ドライブからファイルをインポートしたり、ファイルを整理したり、あらゆる種類のファイルタイプを表示したり、詳細な検査を実行したりできます。そうは言っても、ファイルアプリを使用して