ランサムウェアとは:どのように機能し、どのように削除するか
ランサムウェアとは何ですか?
ランサムウェアは、システム内に保存されているユーザーの重要な暗号化悪意のあるソフトウェアの一部です。攻撃者の動機は、被害者のユーザーから違法なお金を強要することです。したがって、データ暗号化が成功した直後に、暗号ウイルスは、復号化ソフトウェアを取得し、ロックされたファイルへのアクセスを取り戻すために、被害者から膨大な身代金を要求します。マルウェアは、必要な復号化を取得するために要求された料金を支払う方法についての指示を含む、影響を受ける各フォルダーに身代金のメモをドロップします。身代金は、BitCoinsなどの暗号通貨で通常支払われる数百ドルから数千ドルまでさまざまです。
ランサムウェアの仕組み
ファイル エンコード マルウェアは、さまざまな欺瞞的な手法を使用して、対象のコンピューターに侵入できます。それでも、最も一般的な配信方法はスパムメールキャンペーンです。このキャンペーンでは、ハッカーはしばしば「重要」「公式」または人気のある会社や機関から来ている「重要」を装っているユーザーに詐欺的な電子メールの数を送信します。
ただし、これらのメールには、Microsoft Office や PDF ドキュメント、実行可能ファイルなどの複数の形式の悪意のある添付ファイルが含まれます。開いたり、実行したり、実行したりすると、すぐに暗号ウイルス感染プロセスが開始されます。これらの添付ファイルは、特にユーザーを欺き、管理アクセスを許可するソーシャルエンジニアリングツールが組み込まれている場合、被害者のデバイスを引き継ぐ可能性があります。他のいくつかのより危険な種類のランサムウェアは、ユーザーの承認を必要とせずに感染したPCにセキュリティ目標を悪用します。
ランサムウェアがターゲットコンピュータに入ると、ユーザーのデータの一部または全部をロックすることが最も一般的なアクションであるいくつかのことを行うことができます。その後、攻撃者のみが提供できる一意の (数学的) キーがなければ、侵害されたファイルを解読することはできません。影響を受ける人々は、ファイルがアクセスできなく、被害者が追跡不可能なBitCoin支払いを犯罪者の暗号財布アドレスに転送した場合にのみロックが解除されることを説明するメッセージが表示されます。
時には、ハッカーは、その上に、被害者のデバイスを停止する法執行機関であると主張し、その後、被害者が当局に攻撃を報告することを検討しない「罰金」として強要を要求する場合があります。場合によっては、要求された身代金が支払われなかった場合、犯罪者は重要なデータを公表することを脅かします。しかし、データ暗号化は、被害を受けた人々からお金を強要しようとする最も一般的なテクニックです。
ランサムウェアのターゲットは誰ですか?
サイバー犯罪者は、暗号ウイルスで攻撃するさまざまな方法を持つ組織を選択します。時には、彼らはしばしばより小さなセキュリティチームと、ウイルスが防御にアクセスしやすくする様々なファイル共有を行う絶望的なユーザーベースを持っているので、大学をターゲットにするかもしれません。さらに、政府機関や医療施設などの組織は、一般的にファイルにすぐにアクセスする必要があるため、ランサムウェア開発者の説得力のあるターゲットです。機密データを持つ法律事務所や組織は、妥協のニュースを静かに保つために要求された支払いを行うことを熱望しているかもしれません。これらの企業は、リークウェア攻撃に対して個別に敏感である可能性があります。ただし、これらのカテゴリのいずれかに属していない場合でも、これらのウイルスの一部が自動的かつ任意にウェブ上に広がるため、暗号マルウェアの被害を受ける可能性があります。
ランサムウェア攻撃を防ぐ方法
ファイル暗号化マルウェアに感染するリスクを回避するために、いくつかの防御手順を適用できます。これらの手順は、よく使用されるセキュリティ対策であるため、あらゆる種類の攻撃から防御を強化するために、次の手順に従う必要があります。
- ソフトウェアの機能を明確に把握していない限り、ソフトウェアをインストールしたり、管理者権限を取得したりしないでください。
- オペレーティング システムにパッチを適用し、最新の状態に保ち、悪用される危険性が低い状態に保ちます。
一定のベースで自動的にファイルをバックアップし続けます!バックアップはランサムウェア攻撃を停止しませんが、後でウイルスを取り除いた後にこれを使用して感染データを復元できるため、被害の影響を軽減することができます。
ランサムウェアを削除する方法
PC がファイル エンコードの脅威に感染している場合は、ワークステーションへのアクセスを回復する必要があります。以下の手順を実行すると、Windows 10 デバイスの制御を回復するのに役立ちます。
- セーフ モードで Windows 10 を再起動します。
- マルウェア対策ソフトウェアのインストール
- デバイスをスキャンしてランサムウェアプログラムを見つける
- PC を以前の状態に復元する
これらの手順を実行しながら、 これらの手順は、コンピューターからウイルスを終了し、コントロールを復元する可能性があることを覚えておいてください、 暗号化されたデータを解読しません。彼らの未読性への変換はすでに行われており、データが洗練されたアルゴリズムでロックされている場合、被害者が攻撃者だけが提供できるユニークなキーを持たずにそれらを解読することは数学的に不可能です。実際には、ウイルスを削除することにより、ロックされたデータを復元するためにハッカーに支払いを行う可能性を終了しました。
ランサムウェアの事実と数字:
暗号ウイルスは、サイバー犯罪者にとって大きな収入源です。それには多くのお金があり、市場は10年の初めから急速に拡大しました。2017年、暗号ウイルスは、支払われた強要と支出の両方の面で50億ドルの損失を引き起こし、攻撃からの回復に時間を失いました。これは2015年から15倍に増加しています。2018年第1四半期には、たった1つのランサムウェア感染であるSamSamが100万ドルの身代金を集めました。
一部の市場では、主に暗号ウイルスが発生しやすく、要求された料金を支払う傾向があります。多くの大きなレベルのランサムウェア攻撃は、魅力的なターゲットを作る病院や他の医療機関で行われています:攻撃者はそれについて考えています。これらの組織は、問題を取り除くために支払いを簡単にするのがより好きです。推定によると、ランサムウェア攻撃の45%が医療組織を標的にしており、同様に、ヘルスケア組織のマルウェア感染の85%がファイル暗号化ウイルスであると推定されています。金融サービス部門は、ウィリー・サットンが有名に述べたように、お金があるもう一つの説得力のある産業です。2017年には、金融機関の90%がランサムウェア攻撃の標的にされたと予想されています。
ランサムウェアは断っていますか?
様々な点で、それは攻撃者の選択の通貨に基づく経済的決定です:ビットコイン。被害者からの支払いの合計を抽出することは、常にヒットまたはミスされています。彼らは支払いを決定しないかもしれないし、たとえ彼らが望んでも、彼らは実際にそうする方法を理解するのに十分なビットコインに精通していないかもしれません。
暗号マルウェアの減少は、PCに感染し、そのコンピューティングパワーを使用して所有者に知らせることなくビットコイン暗号通貨を採掘する、いわゆる暗号マイニングウイルスの増加と一致しています。これは、身代金を獲得する際のトラブルのほとんどを回避するビットコインを得るためにユーザーのリソースを採用するための正確なルートであり、2017年後半にビットコインの価格が急騰するにつれて、サイバー攻撃としてより目を引くようになりました。
しかし、それはリスクが終わったという意味ではありません。暗号ウイルスの攻撃者は、膨大な量でデバイスを任意に侵害しようとする「コモディティ」攻撃と、いわゆる「ランサムウェアをサービスとして:ハッカーが借りることができるプラットフォーム」の2種類があります。主に無防備な市場セグメントと企業に焦点を当てたターゲットグループ。大規模なランサムウェア攻撃が発生した場合でも、組織に属している場合は防御する必要があります。
2018年からビットコインの価格が下がり、犯罪者の費用便益分析が後退する可能性があります。最後に、ファイル暗号化ウイルスや暗号マイニングマルウェアを使用することは、攻撃者にとってビジネス上の決定であると、マカフィーの最高技術責任者であるスティーブ・グロブマンは述べています。「暗号通貨の価格が下がるにつれて、(ランサムウェアへの)シフトが見えるのは当然です。
あなたは支払いをする必要がありますか?
あなたのコンピュータがランサムウェアによって攻撃され、すべての重要なファイルや文書を失い、適切なバックアップさえ持っていない場合、大きな問題は身代金を支払うべきですか?
一般に、法執行機関は、攻撃者への支払いを拒否します。そして、その背後にある理由は、そのようなウイルスをより多く作成し、さらなる収益のためにより多くの攻撃を引き起こすように彼らを説得するだけであるからです。暗号マルウェアに襲われた多くの組織は、すぐに”より大きな良い”という点で考えるのをやめて、ロックされたデータの価値に対する身代金の価格を測定して費用便益調査を開始します。トレンドマイクロの調査によると、企業の66%が原則として支払いを行うことに同意していないが、実際には65%が攻撃を受けたときに実際に身代金を支払っている。
ランサムウェアの攻撃者は、価格を比較的低く保ちます – 多くの場合、$ 200と$ 1500の間で、これは企業が一般的に短い通知で支払うことができる金額です。いくつかの特に洗練されたウイルスは、侵害されたPCが実行されている国を検出し、彼らの国の経済に合わせて身代金を調整します。クルックスは、貧しい国の企業に対する需要が少なく、豊かな地域の企業に対して多くを要求することが多い。
ハッカーはまた、被害者のユーザーにそれについて考えすぎている前に迅速に支払うように説得するために、与えられた時間内に支払いを行うための割引を提供します。一般的に、賞金ポイントは攻撃者の価値があるほど高く固定されていますが、影響を受けた人がファイルを回復するために支払わなければならないものよりも安いことがよくあります。そのことを念頭に置いて、一部の企業は、身代金を支払うための潜在的な要件を安全計画に組み込み始めています:例えば、暗号通貨に関与していない一部の英国の大企業は、特に身代金支払いのためにいくつかのビットコインを保有しています。
いくつかのことをここで覚えておく必要があります、あなたが扱っている人々はサイバー犯罪者です。まず、暗号ウイルスのように見える脅威は、あなたのファイルをまったくエンコードしていない可能性があります。これらは「スケアウェア」と呼ばれています。あなたが誰かに支払いをする前に、あなたがそのような寄生虫を扱っていないことを確認してください。第二に、犯罪者に強要を支払うことは、あなたのファイルを取り戻すことを保証するものではありません。犯罪者は、多くの場合、お金を取り、その後、機能復号化器を提供せずに消えます, 彼らも特定のマルウェアのための任意のそのような復号化ツールを構築していない可能性があります.
ランサムウェアの例
ファイル暗号化ウイルスは、一般的に90年代から行われてきましたが、主にビットコインのような追跡不可能な支払い方法が利用可能であるため、過去5年ほどほとんど使用されています。最も危険な暗号マルウェアのいくつかは次のとおりです。
- WannaCry – NSAによって作られ、サイバー犯罪者によって盗まれたエクスプロイトであるEternalBlueを使用して、PCからPCに自律的に広がります。
- Locky- 2016年に伝播を開始し、不安定な銀行ソフトウェアDridexと攻撃のモードでに似ていた。」この脅威の変種の1つであるオシリスは、フィッシングキャンペーンを通じて広がりました。
- GandCrab- これは、これまでで最も有利なランサムウェアの一つです。このプログラムをサイバー犯罪者に売却した同社のメーカーは、2019年7月現在、20億ドル以上の被害者の支払いを請求している。
- NotPetya – それはまた、エンターナルブルーとして採用され、ウクライナに対するロシア主導のサイバー攻撃の一部を持っている可能性があります。
- CryptoLocker- 2013年に攻撃のために利用され、現代の暗号ウイルス時代を開始し、その高さで最大500,000のシステムに感染しました。
- ロビンフッド – それは2019年にメリーランド州ボルチモア市をターゲットにした別のEternalBlueの変種です。
- サノス – この暗号マルウェアは2020年1月に発見されました。それはサービスとしてランサムウェアとして販売されています, これは、ほとんどの反ランサムウェア技術を回避することができ、RIPlaceメソッドを使用する最初のです.
- SimpleLocker- これは、モバイルデバイスに焦点を当てた最初の広く普及ランサムウェア攻撃でした。
- TeslaCrypt – それはゲームファイルをターゲットにし、影響力の期間中に絶え間ない機能強化を見ました。