Defi ランサムウェア: データと引き換えに金銭を要求する脅威

ランサムウェアはサイバー犯罪者にとって主要なツールとなっており、Defi ランサムウェアも例外ではありません。悪名高いMakop ファミリーの一部である Defi は、感染したシステム上のファイルを暗号化して所有者がアクセスできないようにし、ファイルの復元と引き換えに支払いを要求するという、おなじみのパターンに従います。このタイプのランサムウェアは、主にフィッシング メール、ソーシャル エンジニアリング戦術、その他の欺瞞的な手段を通じて配布されます。

Defiランサムウェアの仕組み

デバイスに侵入すると、Defi ランサムウェアはファイルを暗号化し、使用できない状態にします。ランサムウェアはファイル名に一意の識別子、サイバー犯罪者の連絡先メール アドレス、および拡張子「.defi1328」を追加します。たとえば、「photo.jpg」という名前のファイルは、暗号化後に「photo.jpg.[UniqueID].[contactemail].defi1328」に変換される可能性があります。

Defi は暗号化プロセスを完了すると、被害者の注意を引くためにデスクトップの壁紙を変更します。さらに、状況を説明する「+README-WARNING+.txt」というタイトルの身代金要求メモをドロップします。このメモは、ユーザーにデータが暗号化されたことを通知し、選択したファイルで復号化をテストする機会を提供し、被害者に誤った安心感を与えます。

身代金要求書には次のように書かれています。

::: Greetings :::

Little FAQ:

.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.

.2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us.

.3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc… not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.

.4.
Q: How to contact with you?
A: You can write us to our mailboxes: wewillrestoreyou@cyberfear.com or wewillrestoreyou@onionmail.org

.5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.

.6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.

:::BEWARE:::
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.

身代金要求書とその戦術

Defi ランサムウェアに添付された身代金要求メッセージは、恐喝のプロセスにおいて重要な役割を果たします。このメッセージは、被害者にファイルが無傷であり、構造的に損傷していないことを保証しています。このメッセージには、身代金を支払って復号キーを取得する方法が概説されており、ファイルの改ざんやサードパーティの回復ツールの使用を控えるよう警告されています。多くの場合、ランサムウェアの作成者は、そのような試みは永久的なデータ損失につながる可能性があると脅迫しています。

Defi の作成者は、被害者にいくつかのファイルを無料で復号する機会も提供しています。これは、信頼を植え付けるための戦術であることが多いです。こうすることで、身代金を支払えば実際に暗号化されたデータのロックが解除されるかのように見せかけますが、これは決して保証されていません。身代金を支払うことはリスクのある行動です。サイバー犯罪者は、身代金を受け取った後でも復号キーを提供しないことを選択する可能性があるからです。

身代金要求に応じることの危険性

ランサムウェアの要求に応じても、必ずしもデータが回復されるわけではありません。被害者が金銭を支払っても、復号キーが届かないこともあります。残念ながら、Defi のようなランサムウェア攻撃では、このような結果になることがよくあります。実際、金銭を支払うことは、サイバー犯罪者に違法行為を続けるための金銭的インセンティブを与えることになり、将来の攻撃を助長するだけです。

さらに、Defi ランサムウェアをシステムから削除しても、以前にロックされたファイルは復号化されません。感染前のバックアップが存在しない限り、暗号化はそのまま残ります。このことから、ランサムウェア攻撃の際に侵害されないように、リモート サーバーまたは切断されたストレージ デバイスに定期的にバックアップを保存することが重要であることがわかります。

Defiのようなランサムウェアがどのように広がるのか

Defi を含むランサムウェアは、主に欺瞞的な戦術を通じて拡散します。フィッシング メールは、攻撃者が悪意のある添付ファイルを正規のファイルに偽装する、よく使われる手法です。これらの添付ファイルには、開くとランサムウェアを起動する感染したドキュメント、実行ファイル、またはアーカイブが含まれていることがよくあります。

もう一つの一般的な方法は、ピアツーピア共有ネットワークやソフトウェアダウンロードを提供するサードパーティのウェブサイトなど、侵害されたウェブサイトや信頼できないダウンロードソースを使用することです。ランサムウェアは悪意のある広告（マルバタイジングと呼ばれる）を通じて拡散することもあります。この場合、何も知らないユーザーは不正なウェブサイトに誘導され、ランサムウェアがシステムに自動的にダウンロードされます。さらに、一部のランサムウェアの亜種はローカルネットワークを介して自己増殖し、接続されたデバイスに簡単に感染します。

ランサムウェア感染のリスクを軽減する

ランサムウェア攻撃を防ぐには、警戒が必要です。ユーザーは、メールの添付ファイルを扱ったり、メッセージ内のリンクをクリックしたりする際に、特に不明なソースや信頼できないソースからのリンクには注意する必要があります。また、サードパーティや無許可のサイトを避け、検証済みの公式ソースからソフトウェアやアップデートをダウンロードすることも重要です。

ランサムウェアによる被害を軽減するためのもう 1 つの重要な戦略は、定期的にデータをバックアップし、複数の安全な場所に保存することです。攻撃が発生した場合、最新のバックアップにアクセスできれば、身代金を支払わずに暗号化されたファイルを復元できるため、影響を大幅に軽減できます。

全体像: DeFi とランサムウェアが増加している理由

Defi のようなランサムウェアが蔓延しているのは、人為的ミスとサイバーセキュリティ防御の隙間の両方を悪用しているからです。メールで信頼できる組織を装うなどのソーシャル エンジニアリング戦術は、ユーザーに悪意のあるファイルを開かせるのに効果的であることが証明されています。さらに、多くの組織や個人は十分なバックアップ システムを欠いていたり、定期的なソフトウェア更新を適用していなかったりして、攻撃に対して脆弱な状態になっています。

これらのスキームの利益性により、ランサムウェアの持続性がさらに強化されます。攻撃者は被害者から身代金を受け取る限り、新しいキャンペーンを開始し続けます。このため、サイバーセキュリティの専門家は身代金を支払わないよう強く勧めています。代わりに、定期的なデータバックアップ、慎重なブラウジング習慣、セキュリティソフトウェアを常に最新の状態に保つなど、積極的な防御に重点を置く必要があります。

最後に

Defi ランサムウェアは、ランサムウェア プログラムがもたらす脅威が増大していることを思い起こさせます。感染すると、被害者は重要なファイルにアクセスできなくなるという辛い現実に直面します。回復の約束は、保証のない支払いにかかっています。最善の対策は、安全なブラウジングを実践し、疑わしいメールに注意し、重要なファイルを安全な別の場所にバックアップして、感染を最初から防ぐことです。

これらの予防策を講じることで、ユーザーは Defi のようなランサムウェアによる被害を最小限に抑え、貴重なデータがサイバー犯罪者の手に渡るのを防ぐことができます。