ZENEX ランサムウェアは被害者のシステムを暗号化する
新しい悪意のあるファイル サンプルの調査中に、ZENEX が Proton ファミリに関連するランサムウェアであることを特定しました。 ZENEX は、ファイルを暗号化し、暗号化されたファイルのファイル名を変更し、「#Zenex-Help.txt」というタイトルの身代金メモを表示し、デスクトップの壁紙を変更するように作られています。
ZENEX は、電子メール アドレス decrypthelp0@gmail.com と拡張子「.ZENEX」を追加することでファイル名を変更します。たとえば、「1.jpg」は「1.jpg.[decrypthelp0@gmail.com].ZENEX」に変換され、「2.png」は「2.png.[decrypthelp0@gmail.com].ZENEX」になります。など。
身代金メモは、ファイルが暗号化されて持ち出され、攻撃者が提供する復号化サービスを利用しない限り回復の可能性がないことを被害者に通知します。このメモでは、攻撃の背後にある金銭的動機が強調されており、支払い時に復号ソフトウェアとデータ削除が約束されています。攻撃者は自信を与えるために、自分の能力の証拠として小さなファイルを復号することで保証を提供します。
連絡先の詳細は電子メール アドレス (decrypthelp0@gmail.com および cryptblack@mailfence.com) を通じて提供され、攻撃者が信頼できない仲介業者であると主張する回復会社に支援を求めないよう警告が添えられています。緊急性が強調され、低価格を確保するために迅速な支払いが推奨され、復号化プロセスの複雑化を避けるために暗号化されたファイルの改ざんに対する警告が発せられます。
ZENEX 身代金メモは Proton テンプレートを使用
ZENEX 身代金メモの全文は次のとおりです。
ZENEX
What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.What guarantees?
You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.How to contact us?
Our email address: decrypthelp0@gmail.com
In case of no answer within 24 hours, contact to this email: cryptblack@mailfence.com
Write your personal ID in the subject of the email.Your personal ID: -
警告!
回収会社には行かないでください。彼らはあなたから金を儲けて騙す単なる仲介業者です。
彼らは私たちと密かに交渉し、復号化ソフトウェアを購入し、それを何倍もの高価で販売したり、単にあなたを詐欺したりします。長い間躊躇しないでください。早く支払うほど、価格は安くなります。
暗号化されたファイルを削除または変更しないでください。ファイルの復号化で問題が発生する可能性があります。
ZENEZ のようなランサムウェアはどのようにシステムに感染するのでしょうか?
ZENEZ のようなランサムウェアは、さまざまな方法でシステムに感染する可能性があり、効果的なサイバーセキュリティ対策を実装するには、これらの侵入ポイントを理解することが重要です。ランサムウェアがシステムに侵入する一般的な方法は次のとおりです。
フィッシングメール:
最も一般的な方法の 1 つは、フィッシングメールによるものです。攻撃者は、悪意のある添付ファイルやリンクを含む電子メールを送信する可能性があります。ユーザーが添付ファイルを開くかリンクをクリックすると、ランサムウェアが実行されます。
悪意のある Web サイト:
侵害された Web サイトまたは悪意のある Web サイトにアクセスすると、システムがドライブバイ ダウンロードにさらされる可能性があります。これらのダウンロードにより、知らないうちにコンピュータにランサムウェアがインストールされる可能性があります。
マルバタイジング:
正規の Web サイト上の悪意のある広告またはマルバタイズメントは、ランサムウェア感染につながる可能性があります。これらの広告をクリックすると、ランサムウェアのダウンロードと実行が引き起こされる可能性があります。
エクスプロイト キット:
エクスプロイト キットは、ソフトウェアまたはブラウザの脆弱性をターゲットとします。システムに古いソフトウェアやパッチが適用されていない脆弱性がある場合、ランサムウェアがこれらの弱点を悪用してアクセスする可能性があります。
リモート デスクトップ プロトコル (RDP) 攻撃:
システムにオープンで安全でない RDP ポートがある場合、攻撃者はブルート フォース攻撃を使用したり、弱い認証情報を悪用して不正アクセスを取得し、ランサムウェアを展開する可能性があります。
ソーシャルエンジニアリング:
サイバー犯罪者はソーシャル エンジニアリング戦術を使用して、ユーザーをだまして悪意のあるファイルをダウンロードまたは実行させる可能性があります。これには、偽のソフトウェア アップデート、無料ダウンロード、または誘惑的なメッセージでユーザーを誘惑することが含まれる場合があります。
ドライブバイダウンロード:
ドライブバイ ダウンロードは、ユーザーが侵害された Web サイトにアクセスしたときにマルウェアが自動的にダウンロードされて実行されるときに発生します。これは、ユーザーの操作なしで発生する可能性があります。
悪意のある電子メールの添付ファイル:
ランサムウェアは、PDF や Office ドキュメントなど、無害に見える電子メールの添付ファイルを通じて配信される可能性があります。添付ファイルが開かれると、マルウェアがアクティブになります。
