CursoDFIR ランサムウェアにはポルトガル語の身代金メモが含まれている

新しいマルウェアのサンプルを調査しているときに、ファイルを暗号化するように設計されたランサムウェアの一種である cursoDFIR を発見しました。さらに、cursoDFIR はファイル名に拡張子 (「.cursoDFIR」) を追加し、デスクトップの背景を変更し、身代金メッセージを含むテキスト文書 (「meleaicara.txt」) を生成します。

cursoDFIR が暗号化されたファイルの名前を変更する方法の図。「1.jpg」は「1.jpg.cursoDFIR」に、「2.png」は「2.png.cursoDFIR」に変換されます。この身代金メッセージはポルトガル語で作成されており、cursoDFIR がロックしたファイルを復号化する代わりに支払いを要求しています。被害者はマイクロソフトの海賊版ソフトウェアをダウンロードしようとしたと非難し、復号キーを入手するためにデジタル通貨での支払いを規定している。

この身代金メッセージには連絡先の詳細が欠如しており、ランサムウェア要求の標準から逸脱していることを強調することが重要です。通常、このようなメッセージには、被害者がサイバー犯罪者に連絡して身代金の支払いについて話し合い、復号化の支援を受けるようにという指示が含まれています。

cursoDFIR ポルトガル語で作成された身代金メモ

cursoDFIR によって生成された非常に短い身代金メモの全文は次のとおりです。

ESTE RANSOMWARE FOI PARA VOCÊ!

É VOCÊ MESMO QUE TENTOU BAIXAR UM MICROSOFT PIRATA!

PARA DESCRIPTOGRAFAR PRECISA PAGAR

PAGAR 1 MOEDA DIGITAL

Key: EC63E8BE0717BD92C0FFBF7A21749A54

CURSO DE DFIR Mente Binária
Professor: Caique

ランサムウェアはどのようにしてコンピュータに感染するのでしょうか?

ランサムウェアは、次のようなさまざまな方法でコンピュータに感染します。

フィッシングメール:最も一般的な方法の 1 つは、フィッシングメールによるものです。サイバー犯罪者は、悪意のある添付ファイルやリンクを含む欺瞞的な電子メールを送信します。疑いを持たないユーザーがこれらの添付ファイルを開いたり、リンクをクリックすると、ランサムウェアがダウンロードされ、システム上で実行されます。

悪意のある Web サイト:侵害された Web サイトや悪意のある Web サイトにアクセスすると、ランサムウェア感染につながる可能性があります。これらの Web サイトには、ブラウザまたはプラグインの脆弱性を悪用して、訪問者のコンピュータにランサムウェアを自動的にダウンロードしてインストールするエクスプロイト キットが含まれている場合があります。

ドライブバイ ダウンロード:悪意のある Web サイトと同様に、ランサムウェアはドライブバイ ダウンロードを通じて知らないうちにコンピュータにダウンロードされる可能性があります。これらのダウンロードは、侵害された正規の Web サイトにアクセスすると発生し、マルウェアがバックグラウンドで自動的にダウンロードされ、システムにインストールされます。

脆弱なソフトウェア:ランサムウェアは、オペレーティング システム、Web ブラウザ、プラグインなど、コンピュータにインストールされているソフトウェアの脆弱性を悪用する可能性があります。サイバー犯罪者はこれらの脆弱性を悪用してシステムに不正アクセスし、ランサムウェアを展開します。

悪意のある広告 (マルバタイジング):ランサムウェアは、正規の Web サイトに表示される悪意のある広告を通じて配布されることもあります。これらの広告をクリックすると、ランサムウェアが自動的にダウンロードされ、コンピュータにインストールされる可能性があります。