0xxxランサムウェアとは? 検知、防御、復旧
0xxx は、2021年初頭に初めて確認されたランサムウェアの一種であり、それ以来、世界中の組織に甚大な被害をもたらし続けている。基本的に、 0xxx これは、ユーザーのPC上のファイルを暗号化するために .0XXX 次のような一般的なファイル拡張子 .txt, .docx, .xlsx. 感染すると、ファイル名が変更されたファイルにはユーザーがアクセスできなくなります。ロックされたデータへのアクセス権を取り戻すには、被害者はビットコインで身代金を支払うよう求められます。その後、0xxx感染の背後にいるサイバー犯罪者は、その見返りとして復号ツールを提供すると主張します。
ランサムウェアとその2つの主な種類について簡単に紹介した後、このブログ記事では以下の内容を取り上げます。 0xxx ランサムウェア、データ保護の手法、およびシステムが感染した場合のデータ復旧方法。
ランサムウェアとは何ですか?
ランサムウェアとは、通常、ユーザーの知らないうちに、あるいは同意なしにデバイスにインストールされるマルウェアの一種です。多くの場合、デバイスが感染すると、ランサムウェアはファイルの一部またはすべてを暗号化し、サイバー犯罪者は復号ツールの提供と引き換えに金銭を要求します(身代金を支払っても、復号ツールが提供されるかどうかは保証されません)。 ランサムウェアは、フィッシングメール内のリンクをクリックしたり、送信元不明の悪意ある添付ファイルを開いたりすることでインストールされることが最も多いです。
ランサムウェアはファイルへのアクセスを遮断するだけでなく、ネットワークストレージデバイスやクラウドストレージアカウントに自身をコピーすることで、ネットワーク内のデバイスから別のデバイスへと拡散することもあります。この点だけでも、ランサムウェアはマルウェアやサイバー脅威の中でも特に危険な形態の一つに分類されます。
ランサムウェアの狙いは、被害者がデータを回復することを可能な限り困難にすることです。一部のランサムウェアの亜種は、暗号化後にデータの完全性を損なうだけでなく、ハッカーがファイルを変更したり削除したりすることさえ許容します。これにより、被害者がデータを復旧することは極めて困難になり、特定の時点への復元(ポイント・イン・タイム・リストア)に利用できるバックアップがない場合、データが永久に失われる結果となる可能性があります。
ランサムウェアの種類
ランサムウェアは、主に"非暗号化型"と"暗号化型"の2種類に分類されます。
暗号化を行わないランサムウェア ファイルを暗号化しません。その代わりに、システムを人質に取ります。この種のランサムウェアは、オペレーティングシステムの起動時やブラウザを開いた際にメッセージを表示し、違法行為を理由に、使用中のデバイスが政府(または政府機関)によって接収されたと告げます。そして、あなたに対する容疑を取り下げ、デバイスのロックを解除する見返りとして、身代金を要求してきます。一般的に、非暗号化型ランサムウェアはデータの完全性に影響を与えず、デバイスから削除することが可能です。
一方、 暗号化型ランサムウェア 通常、悪意のあるメールの添付ファイルやフィッシングリンクを介してデバイスに侵入し、指定された身代金を支払うまで、そのデバイス上のファイルやプログラムへのアクセスをブロックします。しかし、身代金を支払ったとしても、ファイルへのアクセスを回復するための復号ツールが確実に提供されるとは限りません。場合によっては、攻撃者が機密データを公開すると脅迫することもあります。
暗号化型ランサムウェアは、ランサムウェアの中でも最も有害な種類であり、間違いなく近年出現した最も悪質なサイバー脅威の一つです。データを取り戻すために多額の金を支払う企業は、サイバー犯罪者が活動を拡大し、より多くの被害者を標的にすることを助長することになります。
とは 0xxx?
0xxx は、 AES そして RSA ファイルを暗号化するアルゴリズム。 AES そして RSA は、機密データを扱う政府や組織によって採用されている強力な暗号化セキュリティ規格です。長年にわたり、 AES そして RSA これらの標準規格は、ランサムウェアの世界において徐々に定番となりつつあります。というのも、これらのアルゴリズムはいずれも、以下のような悪名高い亜種の背後にある主な原動力と見なされているからです。 Cryptolocker そして Teslacrypt.
同じカテゴリに属する他のランサムウェアと同様に、例えば Redeemer, Ouelezin Zebi そして Iqll, 0xxx ファイルを暗号化してアクセスを阻止し、拡張子を変更するとともに、感染したドライブ上のすべてのフォルダに、身代金を要求するメッセージが記載されたテキストファイルを作成します。
生成された “!0XXX_DECRYPTION_README.TXT” このファイルには、被害者がデータを復号化するために従わなければならない一連の手順が記載されています。しかしその前に、被害者には、すべてのファイルが"0xxx"ウイルスによって暗号化されており、復号化ツールはビットコインで購入できる旨が通知されます。
その後、被害者には、割り当てられた固有のID(32桁の大文字の16進数コード)と、暗号化されたファイル3つを指定されたアドレスにメールで送信するよう求められます。概念実証として、被害者には、以前に送信した3つのファイルが完全に復号され、ウイルスも除去された状態でメールで返送されます。同じメール内で、被害者は指定された身代金を送金すべきビットコインウォレットのアドレスを受け取ります。最後に、この攻撃の背後にいるサイバー犯罪者たちは、 0xxx ウイルス感染者に対し、支払いが完了次第復号ツールを送付すると約束しています。
以下は、そのスクリーンショットです。 0xxx 身代金の支払い方法を被害者に指示するランサムウェアのテキストファイル:
どのように 0xxx コンピュータに感染する?
ランサムウェアは拡散のために多種多様な感染経路を利用していますが、昨今サイバー犯罪者が拡散に用いる最も一般的な方法は2つあり、 0xxx フィッシングメールやトロイの木馬マルウェアなどです。
あらゆる攻撃経路の中で最も一般的なフィッシングは、かつてないほど巧妙かつ危険なものとなっています。 フィッシングメールとは、受信者を騙してリンクをクリックさせたり、ランサムウェア攻撃につながる悪意のあるコンテンツをダウンロードさせたりする詐欺メールのことです。フィッシングメールは、銀行やクレジットカード会社など、信頼できる送信元から送られたように見せかけるように作られています。このようなメールには、ランサムウェアの媒介となるファイルが含まれている場合があります。一度ダウンロードしてインストールされると、その悪意のあるファイルは即座にシステムを感染させ、 0xxx ランサムウェア。
トロイの木馬とは、一見すると正規のソフトウェアのように見えるが、実際にはシステムやネットワーク上のデータに損害を与えるようプログラムされたマルウェアの一種です。トロイの木馬は、しばしば、何かをホストしていると称する不審なウェブサイトから誤ってダウンロードされてしまいます。 違法 アクティベーションツール("クラック"とも呼ばれる)および 偽物 次のようなアプリケーション向けのアップデート Google Chrome またはMicrosoft Office。これらがインストールされると、トロイの木馬型マルウェアが悪意のある攻撃者へのバックドアを開き、攻撃者はホストシステム上のデータを閲覧・改ざんできるようになります。攻撃者がシステムへの完全なアクセス権を獲得した場合、次のようなランサムウェアを注入し、 0xxx…は、簡単に実現できます。
検出方法 0xxx ランサムウェア?
見分けるのに役立つ指標がいくつかあります 0xxx お使いのデバイスにランサムウェアが感染している場合:
- ファイル名の拡張子に不審な変更: その
0xxxランサムウェアの最初の行動は、.0XXXすべてのファイル拡張子に対して。このランサムウェアは、元のファイル名をそのまま保持します。例えば、document.pdf~になるdocument.pdf.0XXXこれは単なるファイル名の拡張子の変更ではなく、そのファイルが暗号化されていることを示すものです。 - CPU使用率が高い: その
0xxxランサムウェアは多くのリソースを消費するため、プログラムの実行や読み込みが著しく遅くなることがあります。何千ものファイルを暗号化したり名前を変更したりする作業はCPUに大きな負荷をかけるため、システムが反応しなくなるほど動作が遅くなる可能性があります。 - ファイルにアクセスできない: 0xxxランサムウェアの主な目的は、ファイルへのアクセスを妨げることです。暗号化されると、ファイルや文書は開くことができなくなり、元の状態に戻すには復号ツールが必要となります。この復号ツールは、指定された身代金が支払われた場合にのみ提供されます。
- ネットワーク通信の異常: システムが感染している場合
0xxxランサムウェアに感染すると、インターネットの速度が低下することがあります。ランサムウェア攻撃の背後にいるサイバー犯罪者は、ファイルを操作するために、自身のサーバーと感染したコンピュータとの間に通信経路を確立することがあります。これにより、接続の問題が頻繁に発生する可能性があります。
ランサムウェアからシステムを守るには?
規模の大小を問わず、あらゆる組織はランサムウェアの脅威を過小評価してはなりません。セキュリティ体制がどれほど堅固であっても、ランサムウェアは組織や従業員のコンピュータに侵入する可能性があります。ランサムウェアの脅威から完全に免れる組織は存在しません。したがって、あらゆる形態のランサムウェアから組織のデータを保護するためには、多層的な防御策を講じる必要があります。
同僚に指導する
ランサムウェアに関する効果的な従業員研修プログラムを作成し、同僚にランサムウェアとは何か、その仕組みについて周知徹底しましょう。また、マルウェアへの感染を防ぐ方法や、万が一ランサムウェア攻撃を受けた場合の対応方法についても取り上げる必要があります。
ランサムウェアに関する最新情報やサイバー脅威に伴う危険性について、従業員に定期的にメールで通知することは、特に組織のワークフローがMicrosoft Office 365のようなクラウドベースの生産性向上ツールやコラボレーションツールに依存している場合、有効な対策となります。
ランサムウェアに関する意識向上トレーニングを定期的に実施することで、従業員がメール、添付ファイル、ウェブサイト上のコンテンツについて、詐欺的なものと正当なものを区別できるようになります。その結果、フィッシングリンクを開いたり、悪意のあるソフトウェアをダウンロードしたりといった誤った行動をとる可能性を大幅に低減できます。
メールフィルターの設定
主要なメールサービスのほとんどには、ランサムウェアを含むサイバー脅威からユーザーや同僚を守るためのフィルタ機能が搭載されています。一部のサービスでは、信頼できない送信元や不明な送信元からの不審なメールを自動的に検知・拒否するといった、高度なセキュリティ対策を提供しています。以前、私は Microsoft Defender for Office 365 のフィッシング対策およびなりすまし対策ポリシーの設定方法 そして、メールのセキュリティを最大限に高めるために必要な手順をすべて挙げました。
システムのスキャンと監視
最新のウイルス対策ソフトやマルウェア対策ソフトを使用して、定期的なシステム全体のスキャンを実行することで、ファイル拡張子の大量変更や異常なディスク使用状況など、不審な活動を検出するのに役立ちます。最新の定義ファイルを適用したウイルス対策ソフトは、ダウンロードされたマルウェアを隔離することでランサムウェアの脅威を無力化し、システムやネットワーク内での感染拡大を食い止めることができます。また、オペレーティングシステム用の最新のセキュリティパッチが公開され次第、速やかにインストールするようにしてください。
データのバックアップ
"3-2-1"のバックアップルールに従って定期的にバックアップを実行することで、ランサムウェア攻撃を受けても、被害を最小限に抑えてデータを保護することができます。"3-2-1"ルールは、データバックアップにおいて広く採用されている効果的な手法です。このルールでは、データのコピーを少なくとも3つ作成し、2種類の異なるメディアに保存するとともに、そのうちの1つをオフサイトに保管することが推奨されています。
また、ランサムウェアからデータ資産を保護するために、不変バックアップ(immutable backups)などの新しいバックアップ技術を採用することも検討するとよいでしょう。不変バックアップは、 WORM (Write Once Read Many) このモデルでは、データは書き込みが1回のみ可能なストレージボリュームにバックアップされます。そのボリューム上のデータには何度でもアクセスできますが、指定された期間中は上書き、変更、削除を行うことはできません。
データ損失後のファイル復元方法 0xxx ランサムウェア攻撃?
お使いのコンピュータが"0xxx"ランサムウェアに感染した場合、身代金を支払わない限りデータを復元することはできません。少なくとも、サイバー犯罪者たちはそう信じ込ませようとしています。ウイルス対策ソフトやマルウェア対策ソフトは、マルウェアを削除し、その拡散を防ぐことはできますが、すでに感染したファイルを復元する機能は備えていません。唯一の解決策は、感染前に別の場所にバックアップを作成しておいた場合、そのバックアップからファイルを復元することです。
包括的なデータ保護ソリューションをお探しの場合は、導入をご検討ください NAKIVO Backup & Replication. NAKIVO Backup & Replication 仮想環境、物理環境、クラウド、SaaSを含むあらゆる環境において、最高水準の保護を実現します。本ソリューションを活用して、VMware vSphere、Microsoft Hyper-V、Nutanix AHV、Amazon EC2、Windows/Linuxマシン、およびMicrosoft 365のデータを保護してください。
NAKIVO Backup & Replication バックアップデータに、ランサムウェア対策のさらなる保護層を追加します。このソリューションを利用すれば、ローカルのLinux OSストレージやAmazon S3バケット内のバックアップデータを、必要な期間、変更不可能な状態に保つことができます。これにより、その期間が終了するまで、バックアップコピーが変更、上書き、または削除されることはありません。バックアップがロックされることで、ランサムウェアによる暗号化からデータが保護され、悪意のある攻撃が発生した場合でも、迅速に復旧することが可能です。 0XXX システムに侵入する。
