Ior ランサムウェア: データに対する増大する脅威

新しいランサムウェアの亜種は、驚くほどの頻度で出現する傾向があります。その一例が、Dharma ファミリーに属する危険なマルウェアであるIor Ransomwareです。ファイルを暗号化し、その復元と引き換えに身代金を要求する機能を持つ Ior Ransomware は、個人と組織の両方に深刻なリスクをもたらします。ここでは、Ior Ransomware とは何か、どのように動作するのか、感染を防ぐためにどのような手順を踏めばよいのかを説明します。

Ior ランサムウェアとは何ですか?

Ior ランサムウェアは、被害者のファイルを暗号化し、その解放と引き換えに金銭を要求するように設計された悪質なソフトウェアの有名なグループである、悪名高いDharma ランサムウェア ファミリーの一部です。Ior ランサムウェアがシステムに感染すると、暗号化されたファイルに固有の拡張子が追加され、その過程でファイル名が変更されます。たとえば、「document.pdf」という名前のファイルは、「document.pdf.id-9ECFA84E.[jasalivan@420blaze.it].ior」に名前が変更され、復号化されない限り使用できなくなります。

暗号化プロセスが完了すると、ランサムウェアは 2 つの身代金要求メッセージ (ポップアップ ウィンドウと「manual.txt」というテキスト ファイル) を送信します。これらのメッセージは明確です。被害者は 12 時間以内に電子メールで攻撃者に連絡し、ファイルの回復について交渉する必要があります。提供される電子メール アドレスには、「jasalivan@420blaze.it」や「ja.salivan@keemail.me」などがあります。被害者に支払いを促すため、攻撃者は機密情報が含まれていない限り、最大 3 つのファイル (サイズが 3 MB 未満) を無料で復号することを提案しています。

身代金要求書の文面は次のようになります。

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: jasalivan@420blaze.it YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ja.salivan@keemail.me
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

ランサムウェアの手法: Ior がデータを暗号化する方法

Ior のようなランサムウェア プログラムは、被害者のファイルに最大限のダメージを与えるために構造化されたプロセスに従います。Ior はローカル ファイルとネットワーク共有ファイルの両方をターゲットにし、データが漏れないようにします。基本的な暗号化にとどまらず、被害者が回復できる選択肢がほとんどないように追加の手順を踏みます。たとえば、Ior はシステムのファイアウォールを無効にし、ボリューム シャドウ コピーを削除します。ボリューム シャドウ コピーは、誤動作やマルウェア感染の際にファイルを復元するためによく使用されます。

システムの制御を維持するために、Ior ランサムウェアは自身のコピーを作成し、それをシステムの%LOCALAPPDATA%ディレクトリに隠して、コンピュータが再起動されるたびに実行されるようにします。マルウェアは位置データを収集し、特定の場所を攻撃から除外することもできるため、攻撃者は特定の地域をターゲットにしたり、除外したりできます。

Ior ランサムウェアの背後にある動機: 目的

すべてのランサムウェアと同様に、Ior の目的は金銭的利益を得ることです。Ior の背後にいる攻撃者は、暗号化を武器として使い、被害者から金銭をゆすり取ります。身代金要求書には、被害者が指定された電子メール アドレスに連絡してファイルの復号化の価格を交渉するよう要求されています。被害者が 12 時間以内に応じなかった場合、価格が上がる、またはデータが永久に失われる可能性があるという暗黙の脅迫がしばしばあります。

メモには、いくつかのファイルを無料で復号すると書かれていますが、この戦術は信頼を築き、被害者に身代金を支払うよう促します。残念ながら、身代金を支払ってもファイルが復元される保証はありません。被害者が身代金を支払ったのに、何も返ってこなかったという例が数多くあります。

ランサムウェアが深刻な脅威である理由

ランサムウェアはマルウェアの一種で、個人や企業にとって最も重大なサイバーセキュリティの脅威の 1 つです。Ior のようなランサムウェアがシステムに感染すると、攻撃者が持つツールやキーがなければ、暗号化されたファイルを復号化することは通常不可能です。これにより、被害者は難しい選択を迫られます。成功する保証のない身代金を支払うか、データの損失を受け入れるかです。

Ior ランサムウェアが属する Dharma ファミリーは、世界中で数多くの攻撃を行ってきました。ほとんどの場合、被害者はファイルの回復のために金銭の支払いを余儀なくされ、それでも復号化プロセスが失敗するリスクがあります。その結果、ランサムウェア攻撃は経済的損失や業務の重大な混乱を引き起こす可能性があります。

Ior ランサムウェアの拡散方法: 感染経路

Ior ランサムウェアは通常、脆弱なリモート デスクトップ プロトコル (RDP) サービスを介してシステムにアクセスします。サイバー犯罪者は、脆弱なパスワードに対するブルート フォース攻撃や辞書攻撃を使用してマルウェアを展開することがよくあります。ネットワークに侵入すると、ランサムウェアは急速に拡散し、移動するにつれてファイルを暗号化します。

RDP の脆弱性に加えて、攻撃者は悪意のあるメールの添付ファイルやリンクを通じてランサムウェアを配信することがよくあります。これらのメールは正当なメールのように見え、受信者をだまして有害なリンクをクリックさせたり、感染したファイルをダウンロードさせたりします。その他の方法としては、悪意のある広告、侵害された Web サイト、偽のソフトウェアのダウンロードなどがあります。犯罪者は、海賊版ソフトウェアやクラッキング ツール内にランサムウェアを隠し、許可されていないソフトウェアをダウンロードした個人を悪用することがよくあります。

Ior ランサムウェアから身を守る方法

ランサムウェア攻撃を防ぐことは、その後の対応よりもはるかに簡単です。Ior ランサムウェアなどの脅威からデータを保護するための重要な手順は次のとおりです。

1. 強力なパスワードと安全なRDPサービスを使用する
   RDP サービスは、ランサムウェアの一般的な侵入口です。必要がない場合は RDP を無効にするか、少なくとも強力で複雑なパスワードと 2 要素認証で保護してください。
2. メールには注意しましょう
   疑わしいメールを開いたり、不明なソースからのリンクをクリックしたりしないでください。悪意のある添付ファイルやフィッシングメールは、依然としてランサムウェアが拡散する主な手段の 1 つです。
3. 定期的にデータをバックアップする
   ランサムウェアに対する最善の防御策は、すべての重要なデータの信頼できるバックアップを取ることです。攻撃が発生した場合でもデータが安全であることを確認するために、バックアップをリモート サーバーまたは接続されていないストレージ デバイスに保存します。
4. ソフトウェアを最新の状態に保つ
   脆弱性が修正されるように、オペレーティング システムとソフトウェアを定期的に更新してください。サイバー犯罪者は、古いソフトウェアを悪用してランサムウェアを配信することがよくあります。

結論

Ior ランサムウェアは、重要なファイルを暗号化し、その解除と引き換えに身代金を要求することで、個人や組織に重大な損害を与える危険な脅威です。他のランサムウェアの亜種と同様に、脆弱なシステム、悪意のあるメール、安全でないソフトウェアのダウンロードを通じて拡散します。Ior ランサムウェアから身を守るには、システムのセキュリティを確保し、データを定期的にバックアップし、疑わしいダウンロードやメールの添付ファイルを避けるなど、予防策を講じてください。ランサムウェア攻撃からの回復は困難で費用がかかる可能性があるため、予防が重要です。