WindowsPCをターゲットとするこの新しいTycoonランサムウェアに注意してください

ホーム » Microsoft

読書時間アイコン 2分。 読んだ

カレンダーアイコン 上で公開

by プラディープ・ヴィスワフ 

上の公表

この記事を共有する

読者は MSpoweruser のサポートを支援します。私たちのリンクを通じて購入すると、手数料が発生する場合があります。 ツールチップアイコン

MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む

Microsoftランサムウェア

ランサムウェア

FBIインターネット犯罪苦情センター(IC3)は昨年、「インターネット犯罪レポート」を発行しました。 レポートによると、3.5年のサイバー犯罪のコストは2.7億ドル(2019億ポンド)でした。攻撃者はランサムウェアを使用して、企業や個人ユーザーからお金を引き出しています。 BlackBerryのセキュリティ研究ユニットは最近、ヨーロッパの教育機関に影響を与える新しいランサムウェアを発見しました。 これまでに発見されたほとんどのランサムウェアとは異なり、この新しいランサムウェアモジュールはJavaイメージファイル形式(JIMAGE)にコンパイルされます。 JIMAGEは、実行時にJava仮想マシン(JVM)によって使用されるように設計されたカスタムJREイメージを格納するファイル形式です。

攻撃がどのように発生したかを次に示します。

  • 攻撃者は、被害者のマシンで永続性を実現するために、イメージファイル実行オプション(IFEO)インジェクションと呼ばれる手法を使用していました。 IFEO設定はWindowsレジストリに保存されます。 これらの設定により、開発者は、ターゲットアプリケーションの実行中にデバッグアプリケーションをアタッチすることでソフトウェアをデバッグすることができます。
  • 次に、オペレーティングシステムのMicrosoft Windowsオンスクリーンキーボード(OSK)機能と一緒にバックドアが実行されました。
  • 攻撃者は、ProcessHackerユーティリティを使用して組織のマルウェア対策ソリューションを無効にし、ActiveDirectoryサーバーのパスワードを変更しました。 これにより、被害者は自分のシステムにアクセスできなくなります。
  • Javaライブラリや実行スクリプトなど、ほとんどの攻撃者のファイルはタイムスタンプが付けられており、ファイルの日付のタイムスタンプは11年2020月15日16:22:XNUMXでした。
  • 最後に、攻撃者はJavaランサムウェアモジュールを実行し、ネットワークに接続されたバックアップシステムを含むすべてのファイルサーバーを暗号化しました。

ランサムウェアに関連付けられたzipファイルを抽出した後、「tycoon」という名前のXNUMXつのモジュールがあります。 そのため、Blackberryチームはこのランサムウェアを大物と名付けました。 以下の大物の身代金メモをチェックしてください。

このランサムウェアの詳細については、以下のリンクを参照してください。

情報源: ブラックベリー

トピックの詳細: ジマージュ, マイクロソフト, ランサムウェア, 10窓

プラディープ・ヴィスワフ

プラディープ・ヴィスワフ シールド

ソフトウェアおよびサービスの専門家

Pradeep はコンピュータ サイエンスとエンジニアリングの卒業生です。 彼はマイクロソフトの学生パートナーでもありました。 現在は大手IT企業に勤務。