悪意のあるアダルト Web サイトは偽のランサムウェアをプッシュします。これは実際には、デバイス上のほとんどすべてのデータを静かに削除しようとするワイパーとして機能します。
攻撃者が Web サイトをどのように宣伝したかは不明ですが、彼らはすべて、nude-girlss.mywire[.]org、sexyphotos.kozow[.]com、sexy-photo[など、ヌード写真を提供していることを示すホスト名を使用していました[ 。]オンライン。
このキャンペーンについて最初に報告した脅威インテリジェンス会社 Cyble によると、これらの Web サイトは、JPG 画像を偽装する、SexyPhotos.JPG.exe という名前の実行可能ファイルをダウンロードするようにユーザーに自動的に促します。
ただし、 Windows は既定でファイル拡張子を無効にしているため、ユーザーはダウンロード フォルダーに SexyPhotos.JPG という名前のファイルが表示され、画像だと思ってダブルクリックした可能性があります。
偽のランサムウェアは起動時に、4 つの実行可能ファイル (del.exe、open.exe、windll.exe、windowss.exe) と 1 つのバッチ ファイル (avtstart.bat) をユーザーの %temp% ディレクトリにドロップして実行します。
バッチ ファイルは、4 つの実行可能ファイルすべてを Windows スタートアップ フォルダーにコピーすることで永続性を確立します。
次に、「windowss.exe」を実行して、名前を変更する「windows.bat」を含む 3 つの追加ファイルをドロップします。バッチ ファイルの対象となるファイルの種類とフォルダーを次の表に示します。
な
その結果、すべてのファイルが「Lock_6.fille」のような一般的な名前に変更されます。したがって、これらのファイルの内容は変更も暗号化もされていませんが、被害者は元の名前を知る方法がありません。
身代金メモは、「windll.exe」によって「Readme.txt」という名前でさまざまな場所に投下されます。
このノートは、3 日以内に 300 ドルのビットコインの支払いを要求し、期限を 7 日間延ばすと 2 倍の 600 ドルになると脅迫し、その後、すべてのファイルが攻撃者のサーバーから完全に削除されます。
実際には、この偽のランサムウェアはデータを盗むことはなく、前述のように、マルウェアの作成者がファイルを復元するツールを開発した可能性は低いです。
「デクリプターが提供されたとしても、マルウェアは感染中にファイルをどこにも保存しないため、ファイルの名前を元のファイル名に変更することは不可能です」 と Cyble はレポートでコメントしています。
変装したデータワイパー
ただし、このマルウェアはランサムウェアではないようで、偽の暗号化をおとりとして使用し、ドライブ上のほとんどすべてのファイルを削除するように設計されています。
Cyble は、偽の暗号化を実行した後、マルウェアが「dell.exe」を実行しようとすることを発見しましたが、代わりに「del.exe」をドロップする名前付けエラーが原因で、Cyble が確認したサンプルではこの手順が機能しません。
攻撃者がこのマイナー エラーを修正すると、「dell.exe」が実行され、C: ドライブを除くすべてのシステム ドライブが [A: – Z:] から削除されます。
最後に、マルウェアは「open.exe」を実行し、「open.bat」をドロップして実行します。次に、「hxxps[:]//llllllllllll.loseyourip[.]com/downloads」という URL に接続して開きます。身代金メモ。
この偽のランサムウェアは、バグのある単純なマルウェアであっても、不注意でデータが失われる可能性があることを示す好例です。
偽のランサムウェアはシャドウ コピーを削除しないため、このマルウェアから回復するために考えられる方法は、OS を以前の状態に復元することです。
もちろん、最後の復元ポイントの日付によっては、データが失われる可能性があります。
一般に、最も重要なデータの定期的なバックアップがベスト プラクティスです。OS の再インストールがこの問題を解決する最も簡単な方法であるためです。
Comments