PayForRepairランサムウェアがファイルに値札を付ける
Table of Contents
サイバー空間における新たな脅威
サイバーセキュリティ研究者は、感染したシステムを経由する新たなランサムウェアを発見しました。PayForRepairです。この悪意のあるプログラムは、よく知られているDharmaランサムウェアファミリーに属し、ファイルを暗号化し、復号と引き換えに身代金を要求するという、よくある危険なパターンに従います。
PayForRepairは、暗号化された各ファイルに一意の識別タグを適用しながら、被害者のデータへのアクセスを遮断するように設計されています。感染したファイルは、被害者固有のID、攻撃者のメールアドレス、および拡張子「.P4R」を含むように名前が変更されます。また、被害者は、ポップアップウィンドウと、感染した各フォルダにドロップされるinfo.txtというテキストファイルの両方で身代金要求の通知を受け取ります。
身代金要求書には次のように書かれています。
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
PayForRepairが望むこと
PayForRepairのようなランサムウェアは、強力なアルゴリズムを用いて個人データや企業データを暗号化し、アクセス不能にする目的で作成されています。暗号化されると、攻撃者だけが持つ固有の復号鍵を提供しない限り、ファイルは開いたり使用したりできなくなります。PayForRepairの身代金要求メッセージは、被害者に対し、攻撃者にメールを送信してデータ復旧を交渉するよう指示します。ポップアップウィンドウには、ビットコインでの支払いが完了した場合にのみ復号が提供されることが記載されており、状況がさらに明確に示されます。
攻撃者は、被害者が特定の条件を満たすファイルを最大3つまで無料で復号することを「誠意」の証として提示します。これは、信頼関係を築き、被害者に支払いを迫るためによく用いられる手法です。しかし同時に、サードパーティ製の復元ツールを使用すると暗号化されたファイルが永久に破損する可能性があるため、使用しないよう警告しています。これは、ランサムウェア攻撃に典型的な恐怖を煽る手法です。
ダルマに基づく攻撃が打ち勝つのが難しい理由
Dharmaランサムウェアファミリーの一員であるPayForRepairは、他のランサムウェアといくつかの共通点を持っています。重要なシステムファイルは影響を受けないため、被害者はデバイスを操作し続けることができますが、ローカルファイルとネットワーク共有ファイルは無差別に標的となります。このランサムウェアは、データベースや生産性向上アプリなど、開いているファイルに関連するプロセスを終了させることで、それらのファイルも確実にロックすることで、成功率を高めています。
感染したシステムを制御するために、Dharmaベースのマルウェアは、多くの場合、 %LOCALAPPDATA%ディレクトリなどのマシン上の特定の場所に自身を埋め込み、コンピュータが再起動されるたびに起動するように設定されています。また、Windowsに組み込まれているバックアップ機能であるボリュームシャドウコピーも削除するため、被害者はシステムを以前の状態に簡単にロールバックできなくなります。
厳しい現実:お金を払っても役に立たないかもしれない
残念ながら、PayForRepairがファイルをロックすると、被害者にとっての勝ち目は極めて薄くなります。使用される暗号化方法は一般的に堅牢であり、攻撃者の復号鍵がなければ復旧はほぼ不可能です。たとえ被害者が身代金を支払ったとしても、復号ツールが提供される保証はありません。多くの場合、サイバー犯罪者は身代金を受け取ると姿を消します。
そのため、サイバーセキュリティの専門家は身代金の支払いを強く推奨していません。身代金の支払いは犯罪活動の資金源となるだけでなく、マルウェアキットを他の犯罪者に販売またはレンタルし、広範囲にわたる攻撃を行うRaaS(ランサムウェア・アズ・ア・サービス)モデルの拡大を助長することになります。
PayForRepairの広がり方
PayForRepairを含むDharmaランサムウェアの亜種に最もよく見られる感染経路は、脆弱なリモートデスクトッププロトコル(RDP)サービスです。攻撃者は総当たり攻撃を用いてパスワードを推測し、ログインセキュリティの脆弱なシステムにアクセスします。侵入に成功すると、ランサムウェアを簡単に展開し、ファイアウォールなどの防御機能を無効化できます。
しかし、RDPだけが感染経路ではありません。フィッシングメール、悪意のある添付ファイル、偽のソフトウェアアップデート、未確認のソースからのダウンロードなど、他にもよく使われる手段があります。ランサムウェアは、一見無害に見えるドキュメントやインストールファイルに偽装されていることがよくあります。ファイルを開くと、ランサムウェアは自動的にインストールされ、ファイルの暗号化を開始します。
場合によっては、ランサムウェアはネットワークを介して横方向に拡散したり、USBドライブなどのリムーバブルメディアに感染したりすることもあります。これは、ウイルス対策ソフトウェアにとどまらない多層防御の必要性を浮き彫りにしています。
予防と回復のための最適な実践
PayForRepairのようなランサムウェアを削除してもファイルの暗号化は解除されないため、予防が最善の防御策となります。最も重要な対策の一つは、定期的にオフラインバックアップを安全な別の場所(理想的には物理環境とクラウド環境の両方)に保存することです。これにより、攻撃を受けた場合でも、身代金を支払うことなくデータを復元できます。
ユーザーは、オンラインブラウジングや迷惑メールを開く際にも注意が必要です。不明なソースからの添付ファイルやリンクには、常に疑いの目を向けるべきです。さらに、組織は使用していないRDPアクセスを無効化し、強力なパスワードポリシーを適用し、既知の脆弱性を修正するためにソフトウェアを定期的に更新する必要があります。
進化するランサムウェアの状況
PayForRepairは、 Jackalock 、 DarkMystic 、 VerdaCryptといったランサムウェアの亜種に加わり、増加の一途を辿っています。それぞれ攻撃手法や標的が若干異なりますが、目的は共通しています。それは、データをロックして金銭を強要することです。要求額は数百ドルから数百万ドルに及ぶものまで、標的によって異なります。
脅威が進化し続けるにつれ、その仕組みと防御方法に対する理解も深める必要があります。PayForRepairはランサムウェアの分野で名を馳せている一例に過ぎませんが、その手口は、適切な対策を講じない限り、日常的なブラウジングやメールチェックでさえ、深刻な被害につながる可能性があることを如実に示しています。
