IRISランサムウェアがデータを暗号化
新しいファイル サンプルの調査中に、当社の研究チームは、Chaos ランサムウェアから派生した IRIS と呼ばれる有害なソフトウェアを発見しました。IRIS は、ファイルを暗号化し、その復号化に対して支払いを要求するという仕組みです。
当社のテスト環境では、このランサムウェアはファイルを効果的にロックし、ファイル名に 4 文字の拡張子を追加しました。たとえば、元々「1.jpg」という名前だったファイルは暗号化後に「1.jpg.582m」になり、「2.png」は「2.png.2n02」になり、影響を受けるすべてのファイルで同様の結果になります。この暗号化プロセスの後、IRIS はデスクトップの壁紙を変更し、「read_it.txt」という身代金要求メモを残しました。
IRIS が伝えたメッセージには、被害者のファイルが暗号化されており、それを取り戻すには XMR (仮想通貨 Monero) で 350 ドルの身代金を支払う必要があると説明されています。さらに、このメッセージには、閲覧履歴や個人情報など、被害者の機密データがスクレイピングされ、盗まれたと警告されています。したがって、デバイスをフォーマットすることは解決策として効果的ではないと判断され、攻撃者は支払いを受け取らない場合は盗んだコンテンツを開示すると脅迫しています。
IRIS身代金要求書、350ドルを要求
IRIS が作成した身代金要求書の全文は次のとおりです。
HACKED BY IRIS!!!!!!!!!!!
Hello!
First off, this is not personal, its just businuss
All of your files have been encrypted!
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $350. Payment can be made in Monero only.
What happens if i don't pay?
You may think of just reseting your pc… We have all of your files, your addresses, passwords, emails, credit cards, search history, wifi logs, plus we literally everything that is on your computer. If you are connected to a wifi network we now also have all the files from those devices also.
How do I buy Monero/XMR?
Look up a youtube video on how to buy the coin, or visit localmonero.co to buy from a seller.
Payment Type: Monero/Xmr Coin
Amount: $350 USD In Monero/XMR
Monero/XMR address to send to:
45R284b7KTQaeM5t8A2fv617CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVjoppdY24gvV17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVIf you have any questions or issues contact: iriswaresupport@proton.me
HACKED BY IRIS (THE ONE AND ONLY)
ランサムウェアはどのようにしてシステムに侵入するのでしょうか?
ランサムウェアは、次のようなさまざまな手段を通じてシステムに侵入する可能性があります。
フィッシング メール:よくある手口の 1 つは、クリックするとランサムウェアのペイロードが実行される添付ファイルやリンクを含む悪意のあるメールです。これらのメールは、信頼できるソースからの正当な通信を装い、ユーザーにメールを開くように誘導することがよくあります。
悪意のある Web サイト:侵害された Web サイトや悪意のある Web サイトにアクセスすると、システムがランサムウェアにさらされる可能性があります。これらのサイトは、ブラウザやプラグインの脆弱性を悪用し、知らないうちにランサムウェアをダウンロードして実行する可能性があります。
マルバタイジング:マルバタイジングと呼ばれる悪意のある広告は、クリックするとランサムウェアのペイロードを配信する可能性があります。これらの広告は、正当な Web サイトに表示され、広告ネットワークの脆弱性を悪用してマルウェアを配布する可能性があります。
脆弱性の悪用:ランサムウェアは、オペレーティング システムまたはインストールされたアプリケーション内のパッチが適用されていないソフトウェアの脆弱性を悪用する可能性があります。攻撃者は、既知の脆弱性の悪用を自動化するように設計されたコード パッケージであるエクスプロイト キットを使用して、ランサムウェアのペイロードを配信する可能性があります。
リモート デスクトップ プロトコル (RDP) 攻撃:攻撃者は、リモート デスクトップ プロトコル (RDP) サービスの弱い資格情報やデフォルトの資格情報を悪用して、システムに不正にアクセスする可能性があります。侵入されると、ランサムウェアを展開してファイルを暗号化する可能性があります。
ドライブバイ ダウンロード:ランサムウェアは、侵害された Web サイトや悪意のある Web サイトにアクセスするとマルウェアが自動的にダウンロードされ実行されるドライブバイ ダウンロードを通じて配信されることもあります。
