サイバー犯罪者は巧妙な手口で、最近報告された人気サーバソフトウェアのセキュリティ脆弱性を利用した 「Sodinokibi」 ランサムウェアをリリースした。
Sodinokibiランサムウェアとは何か?
InfoSecの最新ニュースは、 「Sodinokibi」 というコードネームのトロイの木馬が新たに登場したことだ。現代のランサムウェアの大部分はかなり退屈で、話題にはなりませんが、これは特別です。この怪しげなキャンペーンの運営者は、CVE-2019-2725として分類されているOracle WebLogic Serverの脆弱性を兵器化した。この抜け穴は短期間しか存在しませんでしたが、重要なアップデートをまだ適用していないサーバ所有者は、この攻撃の影響を受け続けています。基本的に、詐欺師たちはこの脆弱性を利用して認証を回避し、セキュリティ保護されていないITインフラに足場を築いている。こうすることで、深刻な警告を発することなく、有害なコードをリモートで実行することができます。このバグが発見されて以来、さまざまな脅威の主体がこのバグを利用して、ボットネット・マルウェアや暗号ジャッキング・ウイルスをホストにインストールしていると報じられています。このリストに最近追加されたのは、上記のsodinokibiです。
Image may be NSFW.
Clik here to view.
侵入された環境内でこのファイル暗号化エンティティが最初に実行するのは、VSSを無効にする一連のコマンド(ボリュームスナップショットサービス)とスタートアップ修復機能です。これは、被害者がシステムやデータに対するその後の変更を修復することを防ぐことを目的とした、その種の悪意あるコードに対する典型的な戦術である。襲撃の次の段階も予測可能で、Sodinokibiは厄介なネットワークをスキャンして貴重な情報を探し、それが恐喝の中心的な対象となる。徹底的なトラバースが完了すると、犯人は暗号化によってファイルをスキューします。この結果、データにアクセスできなくなり、アクセスを回復するための唯一の前提条件は、犯罪者が所有する秘密鍵です。各人質ファイルには、ファイル名に加えて被害者固有のランダム拡張子が追加されます。たとえば、Stats.xlsxはStats.xlsx.1r3n5tsのようなファイルに変換されます。この拡張子の長さはさまざまですが、通常は6~8文字の英数字で構成されます。
Image may be NSFW.
Clik here to view.
Sodinokibiウイルスはまた、身代金紙幣を落とすことによって、ありふれたランサムウェアの型にも適合する。これは、[random]-HOW-TO-DECRYPT.txtという名前のドキュメントであり、角かっこ内の部分は、サーバ上で影響を受けるすべてのファイルに連結された拡張子と一致します。この文書では、「親愛なる友人」という言葉で被害者に対応しているが、これは彼らがお金を要求しようとしていることを考えると皮肉である。簡単に言えば、ブラックハットたちはTor Browserをインストールして、特定のページにアクセスすることを勧めている。「コンピュータが感染されました!」というタイトルのオニオンページによると、最初の3日間有効な身代金は2,500ドル相当のBitcoinで、期限が過ぎると倍になるという。被害者は仮装通貨を支払いサイトに用意されたBTC受取アドレスに送ることになっている。
2019年の6月下旬、Sodinokibiランサムウェアのオペレーターたちは巧妙な流通トリックでレパートリーを洗練させました。この新しい技術は、エンドポイントをファイル暗号化感染で汚染するKaseya RMM(遠隔監視・管理)ソフトウェアを危険にさらすことに依存している。報道によると、このサブキャンペーンは、複数のMSP(管理されたサービスプロバイダー)の防御を回避するためにRMMハックを利用し、それによって何百ものホストをSodinokibiに感染させた。これらのベンダーは、セキュリティの脆弱性を介した侵害があったとの申し立てを否定し、攻撃者は顧客の認証情報を侵害することができたと主張している。
ソディノキビの行動はここまで。今回のアウトブレイクにはもう1つ、非常に厄介な側面がある。攻撃者は追跡用の脅威を配布していると報じられています。これは、 「GandCrab 5.2」 として知られる主要なランサムウェアの一例です。このような複数の攻撃は、これまでのところ安全だが脆弱性をまだ修正していない、汚染されたユーザーとサーバ管理者の両方にとって、大きな懸念となっています。下のヒントは、ランサムレスリカバリが正しく行われたかどうかを明らかにするだろう。
Sodinokibiのランサムウェアウイルスの自動除去
それはこのような感染症を扱うことになると、評判のクリーニングツールを使用して開始するための場所です。このワークフローにこだわりは、ランサムウェアのすべてのコンポーネントが発見され、影響を受けるコンピュータから根絶されることを保証します。
- ダウンロードし、クリーニングツールをインストールして起動し、コンピュータのスキャン]ボタンをクリックしますSodinokibi駆除ツールをダウンロード
- 待ち時間はそれだけの価値があります。スキャンが完了すると、あなたのPC上で検出されたすべての悪意のあるまたは望ましくない可能性のあるオブジェクトをリストしたレポートが表示されます。先に行くと、自動的にあなたのマシンからアンインストール身代金トロイの木馬を得るために修正脅威のオプションをクリックします。次のステップは、暗号化されたファイルを復元することを意図しています。
Sodinokibiのランソムウェアの暗号化ファイルの復旧方法
押収された個人情報は関係なく、暗号化されたままになりますので、適切な感染を削除すると、修正プログラムの一部でしかありません。確認し、ファイルを復元するチャンスを得るには、以下の方法を試してみてください。
オプション1:バックアップ
それはランサムウェア攻撃の枠組みの中で、トラブルシューティングに来るとき雲が驚異を働かせます。あなたが遠隔地にデータのバックアップを保持している場合は、ちょうどすべて暗号化されたアイテムを回復するために、バックアッププロバイダに収容それぞれの機能を使用します。
オプション2:リカバリツール
Sodinokibiウイルスの研究は、それが被害者のデータを処理する方法に関する重要な事実を明らかにする:それは元のファイルを削除し、それが暗号化されて、実際に自分のコピーです。一方で、それはコンピュータから消去何が完全に消えていないことは常識であり、特定の技術を介してメモリの外にドラッグすることができます。回復のアプリケーションは、これを行うことが可能であるので、この方法は確かに試してみる価値はあります。
Data Recovery Proをダウンロードする
オプション3:シャドウコピー
Windowsのオペレーティングシステムが自動的にファイルやボリュームのバックアップルーチンを実行し、ボリュームスナップショットサービス、またはVSSと呼ばれる技術が組み込まれています。この点で1つの重要な前提条件は、システムがオンに切り替えRestore機能を持つことです。それがアクティブであった場合には、いくつかのデータセグメントを正常に回復することができます。
あなたは、または自動的に仕事をする特殊なアプリケーションによって、OSに組み込まれている以前のバージョンの機能を使用して、このアクティビティを実行することができます。
- 元のバージョン機能
ファイルを右クリックし、プロパティをクリックします。元のバージョンのタブを選択し、最新の自動バックアップを確認します。元の場所に戻すこともできますし、新しファイル先まで移すこともできます。Image may be NSFW.
Clik here to view.
- シャドーエキスプローラアプレット
自動ツールのシャドーエキスプローラのようなソフトでは元のバージョンのファイルを管理することができます。個のソフトは無料なので、使うのにダウンロードとインストールをしてください、パソコンのプロフィールを構築してから、復元ができます。右側からドライブを選択し、ファイルを右クリックすると復元の用意ができて、輸出するとファイルが指定の場所に復元されます。Image may be NSFW.
Clik here to view.
問題は解決されましたか?チェックして、参照してください
ランサムウェアのようなコンピュータの脅威は巧み除去を回避するために、侵入先のコンピュータの内部でそのコンポーネントを難読化、あなたが想像できるよりもステルスであってもよいです。したがって、追加のセキュリティスキャンを実行することにより、クリーンアップの確認ができます。