Rincrypt ランサムウェアがほとんどのファイルをロック
私たちのチームは、新しい悪意のあるファイル サンプルの分析中に Rincrypt ランサムウェアを発見しました。テスト システムで Rincrypt のサンプルを実行すると、ファイルが暗号化され、ファイル名に「.rincrypt」拡張子が追加されました。
たとえば、元々「1.jpg」という名前だったファイルは「1.jpg.rincrypt」に変換され、「2.png」は「2.png.rincrypt」などになります。暗号化プロセスが完了すると、Rincrypt は「READ THIS.txt」というテキスト ファイル内に短い身代金要求メモを生成しました。
Rincrypt からのメッセージは、被害者に、暗号化によりファイルにアクセスできなくなったことを通知します。このメッセージでは、復号ツールを購入するために攻撃者に連絡するよう被害者に促しています。
Rincrypt の身代金要求書には具体的な金額は記載されていない
Rincrypt によって生成された短い身代金要求メッセージは次の通りです。
All of your files have been encrypted. send email here nevorah775@dacgu.com and buy decryptor.
ランサムウェアはどのようにしてコンピュータに侵入するのでしょうか?
ランサムウェアは、次のようなさまざまな方法でコンピュータに侵入する可能性があります。
フィッシング メール:よくある手口の 1 つは、悪意のある添付ファイルやリンクを含むフィッシング メールです。これらのメールは、金融機関や有名企業などの正当なソースから送信されたように見えますが、実際にはランサムウェアや、ランサムウェアを配布する悪意のある Web サイトへのリンクが含まれています。
悪意のある Web サイト:侵害された Web サイトや悪意のある Web サイトにアクセスすると、ランサムウェアに感染する可能性もあります。これらの Web サイトは、Web ブラウザーやプラグインの脆弱性を悪用して、知らないうちにシステムにマルウェアを送り込む可能性があります。
マルバタイジング:攻撃者は、マルバタイジングと呼ばれる悪意のある広告を使用してランサムウェアを配布することがあります。悪意のある広告は正当な Web サイトに表示され、ユーザーをランサムウェアをホストしている Web サイトにリダイレクトしたり、広告から直接ユーザーのシステムにマルウェアをダウンロードしようとしたりすることがあります。
エクスプロイト キット:サイバー犯罪者は、ソフトウェアの既知の脆弱性に対するさまざまなエクスプロイトを含むツールキットであるエクスプロイト キットを使用して、被害者のシステムの脆弱性を自動的に悪用し、ランサムウェアのペイロードを配信することができます。
リモート デスクトップ プロトコル (RDP) 攻撃:攻撃者は、リモート デスクトップ プロトコル (RDP) 接続の弱い資格情報やデフォルトの資格情報を悪用して、被害者のシステムに不正にアクセスし、ランサムウェアを展開する可能性があります。
ドライブバイ ダウンロード:ランサムウェアは、ドライブバイ ダウンロードを通じて配布されることもあります。ドライブバイ ダウンロードでは、侵害された Web サイトにアクセスしたときに、被害者が知らないうちに、または同意なしにマルウェアがダウンロードされ、被害者のシステムにインストールされます。