MedusaLocker ランサムウェア: 完全ガイド

MedusaLocker ランサムウェアは、2019 年 9 月に初めて検出され、それ以来、医療分野を主な標的として、複数の分野にわたってシステムに感染して暗号化されてきました。MedusaLocker 攻撃者は主に、リモート サービスの脆弱性を利用して被害者のネットワークにアクセスします。攻撃者は、RDP、PsExec、SMB などのサービスを使用して、被害者のネットワーク内の他のホストに感染します。

SalvageData の専門家は、ランサムウェア攻撃から保護するために、定期的なバックアップ、強力なサイバーセキュリティの実践、ソフトウェアを最新の状態に保つなど、プロアクティブなデータ セキュリティ対策を推奨しています。そして、ランサムウェア攻撃の場合は、ただちに当社のランサムウェア回復専門家にご連絡ください。

以下も参照してください。MEOW ランサムウェア: 完全ガイド

MedusaLocker は、複数の組織、特に医療会社や製薬会社を標的にすることが知られているランサムウェアです。これは、観察された身代金の分割に基づいて、Ransomware-as-a-Service (RaaS) モデルとして動作します。名前は似ていますが、MedusaLocker が Medusa ランサムウェアと何らかの関係があるという明確な証拠はありません。

MedusaLocker ランサムウェアについて私たちが知っていることすべて

確認済みの名前

• MedusaLocker ウイルス

脅威の種類

• ランサムウェア
• クリプトウイルス
• ファイルロッカー
• 二重恐喝

利用可能な無料の復号化ツールはありますか?いいえ、MedusaLocker ランサムウェアの公開復号ツールはありません。配布方法

• フィッシングメール
• リモートサービス

結果

• ファイルは暗号化されロックされています
• データ漏洩
• 二重恐喝

MedusaLocker 身代金メモの内容

身代金メモはすべてのフォルダーに配置され、攻撃者と通信し、ビットコインで身代金を支払う方法の概要が記載されています。また、サードパーティの復号ツールを使用して暗号化ファイルの名前を変更したり、変更したり、復号化を試みたりすることに対して被害者に警告し、ファイルが永久に破損する可能性があるとして、暗号化ファイルの変更や名前変更を行わないようアドバイスしています。

自分がランサムウェアの被害者であることに気付いた場合は、SalvageData ランサムウェア除去専門家に連絡すると、安全なデータ回復サービスと攻撃後のランサムウェア除去を提供します。

MedusaLocker ランサムウェアの感染方法と暗号化

MedusaLocker ランサムウェアは、さまざまな手法を使用して被害者のネットワーク内の他のホストを拡散し、感染させます。

• リモートサービス：MedusaLocker ランサムウェアは、リモート デスクトップ プロトコル (RDP)、PsExec、サーバー メッセージ ブロック (SMB) などのリモート サービスを使用します。
• フィッシングキャンペーン：MedusaLocker ランサムウェアは、マルウェアを電子メールに添付するフィッシング キャンペーンを通じてネットワークに侵入することもあります。

MedusaLocker ランサムウェアがネットワークにアクセスすると、典型的なランサムウェア攻撃のライフサイクルに従い、被害者が自分のデータにアクセスするのをブロックします。 AES と RSA-2048 の組み合わせを使用して被害者のデータを暗号化します。MedusaLocker は、ローカル バックアップを削除し、起動時の回復を無効にし、最終的には侵害されたホストの暗号化データが含まれるファイルを含むすべてのフォルダーに身代金メモを配置することで、永続性をさらに確立します。

身代金の要求には応じないでください！地方自治体およびランサムウェア除去サービスに連絡して、ファイルを復元し、潜在的な脅威を除去してください。

既知の MedusaLocker ランサムウェア IOC

IOC は、サイバーセキュリティの文脈における「Indicator of Compromise」の略です。これは、セキュリティ侵害を指摘するデバイス上の証拠を指すフォレンジック用語です。 IOC のデータは、不審なインシデント、セキュリティ イベント、またはネットワークからの予期しない呼び出しの後に収集されますが、IOC データを定期的にチェックして異常なアクティビティや脆弱性を検出することは、サイバーセキュリティの良い実践です。IOC には、ファイル拡張子、IP アドレス、ファイル ハッシュ、電子メール アドレス、支払いウォレット、身代金メモのファイル名が含まれます。 MedusaLocker は RaaS であるため、その IOC は亜種とそれを運用しているサイバー犯罪組織によって異なります。CISA の MedusaLocker 勧告次の IOC も含まれます。既知の身代金メモのファイル名:

• データを回復する方法.html
• how_to_recover_data.html.marlock01
• 説明書.html
• 説明書を読む.html
• !!!HOW_TO_DECRYPT!!!。

既知の暗号化されたファイル拡張子:

• .1btc
• .matlock20
• .readinstructions
• .bec
• .mylock
• .deadfilesgr
• .lockfiles
• .tyco
• .fileslock
• .zoomzoom
• .marlock08
• .マーロック25

MedusaLocker ランサムウェア攻撃に対処する方法

MedusaLocker 攻撃から回復するための最初のステップは、インターネットから切断し、接続されているデバイスをすべて削除して、感染したコンピューターを隔離することです。その後、地方自治体に連絡する必要があります。米国居住者および企業の場合は、FBIそしてインターネット犯罪苦情センター (IC3)ランサムウェア攻撃を報告するには、次のようなランサムウェア攻撃に関するあらゆる情報を収集する必要があります。

• 身代金メモのスクリーンショット
• 脅威アクターとの通信 (存在する場合)
• 暗号化されたファイルのサンプル

ただし、ご希望の場合は、専門家に連絡する、それなら、感染したすべてのマシンをそのままにしておくそして、緊急ランサムウェア駆除サービス。これらの専門家は、被害を迅速に軽減し、証拠を収集し、場合によっては暗号化を元に戻し、システムを復元する能力を備えています。

システムを再起動またはシャットダウンすると、システムのリカバリが損なわれる可能性があります。稼働中のシステムの RAM をキャプチャすると、暗号化キーの取得に役立つ場合があります。また、ドロッパー ファイル、つまり悪意のあるペイロードを実行するファイルをキャッチすると、暗号化自体のリバース エンジニアリングに役立ち、データの復号化やその動作方法の理解につながる可能性があります。

1. インシデント対応プロバイダーに連絡します

サイバー インシデント対応は、サイバーセキュリティ インシデントに対応し、管理するプロセスです。インシデント対応リテイナーは、組織がサイバーセキュリティ インシデントに関して外部の支援を受けることを可能にするサイバーセキュリティ プロバイダーとのサービス契約です。これは、組織にセキュリティ パートナーを通じて体系化された専門知識とサポートを提供し、サイバー インシデント発生時に迅速かつ効果的に対応できるようにします。インシデント レスポンス リテイナーは、サイバーセキュリティ インシデントの前後に専門家によるサポートを提供し、組織に安心感をもたらします。インシデント対応リテイナーの具体的な性質と構造は、プロバイダーと組織の要件によって異なります。優れたインシデント対応リテイナーは、堅牢でありながら柔軟性があり、組織の長期的なセキュリティ体制を強化する実証済みのサービスを提供する必要があります。IR サービス プロバイダーに連絡すると、すぐに引き継ぎ、ランサムウェア回復のすべての手順を案内します。ただし、ランサムウェアを自分で削除し、IT チームと一緒にファイルを回復することにした場合は、次の手順に従うことができます。

2. ランサムウェア感染を特定する

ファイル拡張子によって、どのランサムウェアがマシンに感染したかを識別できます (一部のランサムウェアはファイル拡張子を名前として使用します)。ランサムウェア ID ツールを使用する、または身代金メモに記載されます。この情報を使用して、公開復号キーを探すことができます。

3. ランサムウェアを削除し、エクスプロイト キットを排除する

データを回復する前に、デバイスにランサムウェアが存在しないこと、および攻撃者がエクスプロイト キットやその他の脆弱性を利用して新たな攻撃を行うことができないことを保証する必要があります。ランサムウェア削除サービスは、ランサムウェアの削除、調査のためのフォレンジック文書の作成、脆弱性の排除、データの回復を行うことができます。

4. バックアップを使用してデータを復元する

データ回復のためのバックアップの重要性は、特にデータの整合性に対するさまざまな潜在的なリスクや脅威を考慮すると、いくら強調してもしすぎることはありません。バックアップは、包括的なデータ保護戦略の重要な要素です。これらは、さまざまな脅威から回復する手段を提供し、運用の継続性を確保し、貴重な情報を保存します。悪意のあるソフトウェアがデータを暗号化し、その解放に対する支払いを要求するランサムウェア攻撃に直面した場合、バックアップがあれば、攻撃者の要求に屈することなく情報を復元できます。バックアップ手順を定期的にテストして更新し、潜在的なデータ損失シナリオに対する保護の有効性を高めるようにしてください。バックアップを作成するにはいくつかの方法があるため、適切なバックアップ メディアを選択し、データの少なくとも 1 つのコピーをオフサイトおよびオフラインに保存する必要があります。

5. ランサムウェア回復サービスに連絡する

バックアップがない場合、またはマルウェアの削除や脆弱性の排除に支援が必要な場合は、データ復旧サービスにお問い合わせください。身代金を支払ったからといって、データが返されるとは限りません。すべてのファイルを確実に復元できる唯一の方法は、バックアップがある場合です。そうでない場合は、ランサムウェア データ回復サービスがファイルの復号化と回復に役立ちます。SalvageData の専門家がファイルを安全に復元し、MedusaLocker ランサムウェアによるネットワークの再攻撃を防ぐことができます。24 時間年中無休で回復専門家にご連絡ください。ランサムウェア攻撃後にしてはいけないこと。ランサムウェアを削除しない、攻撃のあらゆる証拠を保管します。それは重要ですデジタルフォレンジックそのため、専門家はハッカー グループを追跡して特定することができます。当局は感染したシステム上のデータを使用して、攻撃を調査し、犯人を見つけます。サイバー攻撃の捜査は他の犯罪捜査と変わりません。攻撃者を見つけるには証拠が必要です。

MedusaLocker ランサムウェア攻撃を阻止する

ランサムウェアを防ぐことは、攻撃から回復するよりも簡単かつ低コストであるため、データ セキュリティにとって最良のソリューションです。 MedusaLocker ランサムウェアは、ビジネスの将来を犠牲にし、その扉を閉ざすことさえある可能性があります。これらの事前対策を講じることにより、個人や組織は MedusaLocker ランサムウェア攻撃のリスクを軽減し、データが暗号化され身代金目的で保持されることから保護できます。ランサムウェア攻撃を確実に回避するためのヒントをいくつか紹介します。

• 従業員の教育サイバーセキュリティとフィッシングに対する意識を高め、フィッシングの試みを認識して回避できるようにします。
• セキュリティ対策を実施するファイアウォール、ウイルス対策ソフトウェア、侵入検知システムなど、悪意のあるトラフィックを検出してブロックします。
• 警戒を怠らないでくださいネットワークアクティビティを監視して、不審な動作の兆候がないかどうかを確認します。
• ソフトウェアを最新の状態に保つ最新のセキュリティ パッチを適用して、パッチが適用されていない脆弱性をランサムウェアが悪用するのを防ぎます。
• 強力なアクセス制御を実装し、多要素認証や定期的な資格情報の監視など、ランサムウェアオペレーターが盗まれた資格情報や脆弱な資格情報を使用してシステムにアクセスするのを防ぎます。
• 管理対象外デバイスと BYOD ポリシーを保護するデバイスの暗号化やリモート ワイプ機能などのセキュリティ対策を実装することによって。
• インターネットに接続されたアプリケーションを定期的にスキャンしてパッチを適用するランサムウェアオペレーターによる脆弱性の悪用を防ぐため。