ペガサスランサムウェアが被害者のシステムドライブを暗号化
私たちのチームは、新しいファイルサンプルの提出内容を確認中に、ランサムウェア プログラムである Pegasus に遭遇しました。テスト マシンで Pegasus のサンプルを実行すると、ファイルが暗号化され、名前が変更されました。
元のファイル名はランダムな文字列で拡張され、たとえば「1.jpg」は「1.jpg.tBC8M」、「2.png」は「2.png.qGuj7」になりました。暗号化プロセスが完了すると、「Ghost_ReadMe.txt」という名前の身代金要求メモが保管されました。
身代金要求書は、被害者に、ファイルは暗号化されているためアクセスできないことを通知します。攻撃者から復号ツールを購入すれば、データを回復できることを保証します。身代金の金額は、ビットコイン暗号通貨で 350 ドルと指定されています。支払い後、被害者は取引の証拠を提供するよう指示され、その後、復号キーを受け取ることが約束されます。
ペガサスの身代金要求書、350ドルの支払いを要求
Pegasus ランサムウェアによって生成された「Ghost_ReadMe.txt」ファイルの完全なテキストは次のとおりです。
Oops, Your Files Have Been Encrypted!
We Have Encrypted Your Data With The Strongest.
You Don't Need to worry.All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back? You can buy the decrypter.
it will leave your pc as it was before the encryption.How Can I Decrypt Files?
- You Can Buy Crypto Here: hxxps://www.coinmama.com/
- Send $350 To Bitcoin Wallet address: 16JpyqQJ6z1GbxJNztjUnepXsqee3SBz75
- Send Proof of Transaction to Our Email Address to Get a Decryption Tool and Private Key
- Contact Our email address: ransom.data@gmail.com
Note: Do Not Use Third Party Decryption Tools
ランサムウェアが使用する最も一般的な攻撃ベクトルは何ですか?
ランサムウェアはさまざまな攻撃ベクトルを通じてシステムに侵入しますが、最も一般的な攻撃ベクトルには次のようなものがあります。
フィッシング メール:攻撃者は、悪意のある添付ファイルやリンクを含むフィッシング メールを介してランサムウェアを配布することがよくあります。これらのメールは、正当なエンティティや組織になりすまし、受信者にリンクをクリックさせたり、ランサムウェア ペイロードを含む添付ファイルをダウンロードさせたりします。
悪意のある Web サイト:ランサムウェアは、悪意のある Web サイトや侵害された正規の Web サイトを通じて配布される可能性があります。このようなサイトにアクセスしたり、悪意のある広告をクリックしたりすると、被害者のシステムにランサムウェアが自動的にダウンロードされ、実行される可能性があります。
エクスプロイト キット:サイバー犯罪者は、エクスプロイト キットを使用してソフトウェアまたはオペレーティング システムの脆弱性を悪用し、ランサムウェアを配信します。これらのキットは、パッチが適用されていない既知の脆弱性をターゲットにし、攻撃者がシステムに不正にアクセスしてランサムウェアを展開できるようにします。
リモート デスクトップ プロトコル (RDP):攻撃者は、RDP 認証情報をブルート フォース攻撃したり、弱いパスワードを悪用したりして、リモートからシステムに不正アクセスする可能性があります。侵入されると、侵害されたシステムに直接ランサムウェアを展開できます。
ドライブバイ ダウンロード:ランサムウェアはドライブバイ ダウンロードを通じて配布される可能性があります。ドライブバイ ダウンロードでは、侵害された Web サイトや悪意のある Web サイトにアクセスしたときに、被害者の同意や認識なしにマルウェアが自動的にダウンロードされ、被害者のシステムにインストールされます。
マルバタイジング:サイバー犯罪者は、正規の Web サイトに表示される悪意のある広告 (マルバタイジング) を通じてランサムウェアを配布することがあります。これらの広告をクリックすると、ユーザーはランサムウェアをホストしている Web サイトにリダイレクトされたり、ランサムウェアのペイロードの自動ダウンロードが開始されたりすることがあります。
リモート コード実行 (RCE): Web アプリケーションまたはサーバー ソフトウェアの脆弱性を悪用すると、任意のコードをリモートで実行できます。攻撃者は RCE の脆弱性を利用して、サーバーまたはネットワーク デバイスにランサムウェアを展開できます。
ファイル共有ネットワーク:ランサムウェアは、ピアツーピア (P2P) ファイル共有ネットワークまたは侵害されたネットワーク共有を介して拡散する可能性があります。これらのネットワークを介して共有された感染ファイルは、ネットワークに接続されている他のユーザーまたはデバイスへのランサムウェアの拡散につながる可能性があります。