コラム : 洗練されたランサムウェア「Spora」、その手口とは?
2017年12月1日
株式会社Doctor Web Pacific
Sporaランサムウェアの作者はSporaの評判を非常に気にしています。明らかに、特別なチームがそれを維持するための努力をしています。実際、暗号化ランサムウェア自体のPRチームによってサポートされていることは安全と言えます。マルウェアのサイトでは、訪問者はサポートエンジニアとリアルタイムで連絡を取り合うことができます。
何十種類もの暗号化ランサムウェアプログラムが毎日のように現れます。 「情けのある」強奪者に遭遇する可能性はどれ位でしょうか?
IBMによると、70%の企業がデータにアクセスするために身代金を支払っています。
そのうち30%だけが実際に復号化コードを受け取っています。
サイバー犯罪者は、 Locky(Trojan.Encoder.3976) と FakeGlobe(Trojan.Encoder.13992) という2つのランサムウェアプログラムを同時に広めるために新しいスパムキャンペーンを開始しました。 彼らの電子メールには、請求書や領収書のように見えるリンクと悪意のある添付ファイルが含まれていました。添付されたスクリプトは、リンクを使用してダウンロードされたアーカイブ済みコードに似ています。 しかし、スクリプトは、異なるURLを使用して、ランサムウェアをダウンロードします。そのうちの1つが Trojan.Encoder.3976 をダウンロードし、もう1つが Trojan.Encoder.13992 を取得します。
ユーザーが電子メール内の悪質なリンクを開くと、システムが最初に Trojan.Encoder.3976 に感染し、1時間後に Trojan.Encoder.13992 がマシンへの侵害を始めます。
Trojan.Encoder.3976 と Trojan.Encoder.13992 は交互に感染するため、被害者のファイルは数回暗号化され、2回支払うか、データを失うことになります。
Doctor Webのセキュリティ研究者はすでに、既に他の暗号化ランサムウェアによって暗号化されているファイルを検出し、再び暗号化する暗号化ランサムウェアプログラムによる事件を確認しています。一部のランサムウェアプログラムは、拡張子に従ってファイルを復号化します。他のフォルダでデータを危険にさらしますが、他のランサムウェアプログラムによってファイル名に追加された拡張子は、ホワイトリストやブラックリストには表示されません。 他のランサムウェアによる「仕事」の結果は無視されます。分業や相互支援はなく、純粋なビジネスです。この場合、攻撃者の欲求は新しいレベルに達します。
さて、強奪者たちが提供している「技術サポート」に戻りましょう。被害者とのコミュニケーションが法執行機関に犯罪者を追跡する機会を与えるため、犯罪者にとって連携は危険だということを忘れないでください。
Sporaの所有者から被害者に与えられたIDを操作することで、研究者はサイトに乗り込み、被害者がそのサイト運営者とどのように対話するかを知ることができました。
Rate
Repost
![[VK]](http://st.drweb.co.jp/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.co.jp/static/new-www/social/no_radius/twitter.png)
Like
![[facebook]](http://st.drweb.co.jp/static/new-www/social/no_radius/facebook.png)
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments