Cipher (Proton) ランサムウェア: サイバー恐喝のもう 1 つのプレイヤー
ランサムウェア攻撃はサイバーセキュリティの世界で最も差し迫った懸念事項の 1 つであり、新しい亜種が定期的に出現しています。そのような亜種の 1 つである Cipher (Proton) ランサムウェアは、この分野の新たなプレーヤーです。他のランサムウェア ファミリーと同様に、Cipher (Proton) ランサムウェアは、被害者のファイルを暗号化し、復号化のために支払いを要求するように設計されています。ここでは、Cipher (Proton) ランサムウェアとは何か、どのように動作するか、そして最終的に何を求めるのかを探ります。
Table of Contents
Cipher (Proton) ランサムウェアとは何ですか?
Cipher (Proton) ランサムウェアは、ユーザーのファイルを暗号化する悪名高いマルウェアの一種である、より大きなProton ランサムウェア ファミリーに属しています。システムに侵入すると、Cipher ランサムウェアはさまざまなファイル タイプを暗号化し、その名前を変更して悪意のある活動を開始します。被害者のファイルは、攻撃者の電子メール アドレスと拡張子「.cipher」が追加されていることに気付くでしょう。たとえば、元々「document.pdf」という名前だったファイルは、暗号化後に「document.pdf.[watchdogs20@tuta.io].cipher」と表示されることがあります。
攻撃の次の段階では、被害者に身代金要求のメモが送られます。これらのメモは、ログイン画面の前の全画面メッセージ、デスクトップの壁紙、および「#Read-for-recovery.txt」というテキスト ファイルなど、複数の場所に表示されます。その簡潔さが、Cipher (Proton) ランサムウェアのメモを他のランサムウェアと異なるものにしています。暗号化プロセスと復号化の手順を詳しく説明する従来の身代金要求のメモとは異なり、Cipher のメッセージは、多くのコンテキストを提供せずに、被害者に攻撃者に連絡するよう促すだけです。
以下のメモを確認してください:
Email 1:
watchdogs20@tuta.ioEmail 2:
watchdogs20@cock.liSend messages to both emails at the same time
So send messages to our emails, check your spam folder every few hours
ID: -
If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
Then send us a message with a new email
ランサムウェアは何をするのですか?
ランサムウェアは、被害者のファイルを暗号化してロックし、身代金が支払われるまでファイルにアクセスできないようにする悪意のあるソフトウェアです。攻撃者は強力な暗号化アルゴリズムを使用することが多いため、被害者が復号キーなしでデータに再びアクセスすることはほぼ不可能です。もちろん、攻撃者はキーを保持しており、身代金が支払われるとキーを解放することを申し出ます。身代金は、匿名性を維持するために通常は暗号通貨で支払われます。
Cipher (Proton) ランサムウェアもこれと同じ原理で動作します。ランサムウェアがユーザーのファイルを暗号化すると、被害者は危険な状況に陥ります。バックアップやファイル自体を復号化する手段がなければ、攻撃者の思うつぼです。残念ながら、多くの場合、身代金を支払った後でも、攻撃者は約束した復号化キーを提供しない可能性があります。これにより、被害者は金銭的損失と永久にロックされたファイルの両方に悩まされることになります。
Cipher (Proton) ランサムウェアの目的
Cipher (Proton) ランサムウェアの主な目的は、他のランサムウェアの亜種と同様に、金銭を得ることです。攻撃者は、被害者のデータにアクセスできない状況を作り出して、被害者から金銭をゆすり取ろうとします。攻撃者はこの力を利用して、数百ドルから数千ドルに及ぶ身代金の支払いを要求します。身代金の要求額は通常、標的によって異なります。個人の場合は少額ですが、企業や団体の場合はかなり高額の金額が要求されます。
しかし、サイバーセキュリティの専門家は、身代金を支払わないよう強く勧めています。攻撃者が復号キーを提供してくれる保証がないだけでなく、身代金を支払うことでさらなる犯罪活動の資金が調達されるからです。ランサムウェアの運営者を支援することは、サイバー犯罪のサイクルを永続させ、新たな被害者を狙い続けることを許すことになります。さらに、法執行機関やサイバーセキュリティ組織は、ランサムウェアが適切に構築されていないまれなケースを除き、犯罪者の関与なしに復号は不可能であることが多いと強調しています。
Cipher (Proton) ランサムウェアの拡散方法
Cipher (Proton) ランサムウェアは、さまざまな悪意のある配布手法を通じて拡散しますが、その多くは人為的なミスや操作に依存しています。サイバー犯罪者は、悪意のあるファイルやリンクが一見正当なメッセージに埋め込まれているフィッシング メールをよく使用します。受信者が添付ファイルを開いたりリンクをクリックしたりすると、ランサムウェアがシステム上で実行され、瞬く間にファイルが暗号化されます。
フィッシング攻撃に加えて、Cipher (Proton) などのランサムウェアは、偽のソフトウェア アップデート、海賊版ソフトウェアにバンドルされたもの、または悪意のある広告を介して拡散される可能性があります。ランサムウェアの一部のバージョンは、ローカル ネットワークや USB ドライブなどのリムーバブル デバイスを介して拡散し、組織内または家庭内の複数のシステムに感染することが知られています。
ランサムウェアがシステムに侵入すると、暗号化プロセスが開始されます。Cipher (Proton) では、被害者のファイルの名前が変更され、「.cipher」拡張子が追加され、ファイルが暗号化されて使用できなくなったことが示されます。Cipher ランサムウェアによって残された身代金要求メモには、攻撃者に連絡するための指示が記載されていますが、暗号化プロセスや身代金自体のコストについてはほとんど説明されていません。
バックアップが重要な理由
Cipher (Proton) ランサムウェアの被害者にとって、バックアップはファイルを復元する唯一の確実な方法です。ただし、ランサムウェアは接続されたドライブやマップされたドライブをターゲットにすることが多いため、これらのバックアップは感染したマシンとは別のデバイスまたはサーバーに保存する必要があります。バックアップがない場合、ファイルを永久に失うか、サイバー犯罪者と交渉するかという難しい選択に直面する可能性があります。
複数の場所で定期的に最新のバックアップを維持することは、ランサムウェア攻撃に対する重要な防御策です。リモート サーバー、クラウド ストレージ、プラグを抜いた外付けドライブはすべて、貴重なデータを保護するための有効なオプションです。さまざまな場所にバックアップを保存することで、被害者はサイバー犯罪者の気まぐれに頼ることなくファイルを回復できます。
全体像: 増大する脅威
Cipher (Proton) ランサムウェアは、個人や組織を標的とする一連のランサムウェア攻撃の一例にすぎません。Terminator、Bixi、 ScRansomなどの最近の亜種も同様の動作をします。つまり、ファイルを暗号化して金銭を要求します。ランサムウェア ファミリーによって方法や手法は若干異なりますが、最終的な目的は同じです。つまり、被害者から金銭を脅し取り、ファイルへのアクセスを回復させることです。
ランサムウェアが進化し続けるにつれて、ランサムウェアに対する防御戦略も進化する必要があります。バックアップの確保に常に注意を払い、用心深く、積極的に取り組むことで、ユーザーは Cipher (Proton) のようなランサムウェアの被害から身を守ることができます。サイバー脅威が蔓延するデジタル世界では、備えが最善の防御策です。
