Ragnar Locker ランサムウェア: 完全ガイド

Ragnar Locker は、少なくとも 2019 年 12 月から活動しているランサムウェアファミリです。大規模な組織をターゲットにし、被害者から大量の暗号通貨を強要しようとすることで知られています。 Ragnar Locker ランサムウェアの主な特徴は次のとおりです。 Ragnar Locker グループは、二重恐喝戦術を採用していることが知られています。この場合、身代金の支払いは、影響を受けたファイルを回復するためだけでなく、盗まれた情報が一般に公開されるのを防ぐためでもあります。一部のランサムウェア運用者は、政府、軍事組織、医療提供者 (病院)、発電所やパイプライン運営者などの重要なインフラを標的にすることに対して自主的な規則を課していますが、Ragnar Locker 脅威アクターにはそのような嫌悪感はありません。 Ragnar Locker ランサムウェアは、エネルギー会社、航空会社、高級ファッションブランドなど、さまざまな組織への攻撃に使用されています。

SalvageData の専門家は、ランサムウェア攻撃から保護するために、定期的なバックアップ、強力なサイバーセキュリティの実践、ソフトウェアを最新の状態に保つなど、プロアクティブなデータセキュリティ対策を推奨しています。そして、私はランサムウェア攻撃の場合は、弊社までご連絡ください。ランサムウェア回復の専門家すぐに。

RagnarLocker とはどのようなマルウェアですか?

Ragnar Locker は、Microsoft Windows オペレーティングシステムを実行しているデバイスに影響を与えるランサムウェアの一種です。データを暗号化し、ファイルを回復するために被害者に身代金の支払いを要求するように設計されています。Ragnar Locker グループは、二重恐喝戦術を採用していることが知られています。この場合、身代金の支払いは、影響を受けたファイルを回復するためだけでなく、盗まれた情報が一般に公開されるのを防ぐためでもあります。Ragnar Locker は通常、リモートデスクトッププロトコル (RDP) などの公開サービスを悪用して、システムにアクセスします。攻撃者は、脆弱なパスワードや盗んだ資格情報を使用してシステムにアクセスする可能性もあります。また、このマルウェアは高度な防御回避技術を使用してウイルス対策ソフトウェアをバイパスします。

確認済みの名前

ラグナルロッカーウイルス

脅威の種類

ランサムウェア
クリプトウイルス
ファイルロッカー
二重恐喝

暗号化されたファイル拡張子

感染したマシンではファイル拡張子が異なります

身代金を要求するメッセージ

身代金メモのファイル名は拡張子によって異なります

検出名

アバストWin32:RansomX-gen [身代金]
エムシソフトGeneric.Ransom.Ragnar.91E669A1 (B)
カスペルスキーTrojan-Ransom.Win32.RagnarLocker.a
ソフォストロジ/ロスロック-A
マイクロソフト身代金:Win32/RagnarLocker.BM!MSR

配布方法

マルバタイジング
オンライン詐欺
ドライブバイダウンロード

結果

二重恐喝戦術: これは、攻撃者が最初に機密データを抽出し、次に暗号化攻撃をトリガーして、ターゲットが身代金の支払いを拒否した場合に盗んだデータを漏洩すると脅す場所です。
暗号化アルゴリズム: Ragnar Locker は、カスタムマトリックスを使用した Salsa20 暗号化アルゴリズムを使用し、生成されたキーが並べ替えられた順序で埋められます。
ランダム化されたファイル拡張子: Ragnar Locker は、コンピューター名の値を取得して次のコードに渡すことで、ユーザーごとにファイル拡張子をランダム化します。

利用可能な無料の復号化ツールはありますか?

いいえ。現時点では、Ragnar Locker ランサムウェアの既知の公開復号ツールはありません。

Ragnar Locker ランサムウェアの IOC とは何ですか?

IOC (Indicators of Compromise) は、ネットワークまたはオペレーティングシステム上で観察されるアーティファクトであり、コンピュータの侵入を高い信頼性で示します。 IOC は、侵入検出システムやウイルス対策ソフトウェアを使用した将来の攻撃の試みを早期に検出するために使用できます。コンピュータシステムまたはネットワークが Ragnar Locker ランサムウェアに感染しているかどうかを判断するには、次の兆候を探すことができます。

暗号化されたファイル。ファイルが暗号化されていてアクセスできないかどうかを確認してください。 Ragnar Locker ランサムウェアは、ファイルを暗号化し、特定のファイル拡張子をファイルに追加して、復号化キーがなければファイルを使用できなくします。
身代金メモ。攻撃者が残した身代金メモを探します。 Ragnar Locker は通常、状況を説明し、身代金の支払い方法を説明するメモを残します。
異常なシステム動作。パフォーマンスの低下、頻繁なクラッシュ、予期しないポップアップメッセージなど、コンピュータの異常な動作に注意してください。
不審なネットワーク活動。 Ragnar Locker は、リモートデスクトッププロトコル (RDP) などの公開されたサービスを悪用してシステムにアクセスすることがよくあります。 RDP またはその他の異常なネットワーク接続に関連する不審なアクティビティがないかネットワークを監視します。

Ragnar Lockerの身代金メモ

Ragnar Locker ランサムウェアに関連付けられた身代金メモは、通常、暗号化プロセスの後に被害者の画面に表示されます。このメモには、標的となった組織の名前が含まれている場合があり、すべてのファイルが暗号化されており、特定のツールまたはキーを使用しないと復号できないことが記載されています。これは、Ragnar Locker 身代金メモの例です。

自分がランサムウェアの被害者であることに気付いた場合は、SalvageData ランサムウェア除去専門家に連絡すると、安全なデータ回復サービスと攻撃後のランサムウェア除去を提供します。

Ragnar Locker ランサムウェアはどのように拡散するのか

Ragnar Locker ランサムウェアは、次のようなさまざまな脆弱性を悪用してシステムに感染します。

公開サービス: Ragnar Locker は通常、リモートデスクトッププロトコル (RDP) などの公開されたサービスを悪用してシステムにアクセスします。
弱いパスワード: 攻撃者は、ブルートフォースを使用して弱いパスワードを推測したり、盗んだ資格情報を使用してシステムにアクセスしたりする可能性があります。
防御回避テクニック: Ragnar Locker は、高度な防御回避技術を使用してウイルス対策ソフトウェアをバイパスします。

Ragnar Locker ランサムウェアはどのように機能しますか?

Ragnar Locker ランサムウェアは、高度な防御回避技術を使用してウイルス対策ソフトウェアをバイパスします。Ragnar Locker ランサムウェアは、ファイルを暗号化し、ファイルを回復するために被害者に身代金の支払いを要求する特定のプロセスに従って機能します。Ragnar Locker ランサムウェアの仕組みの概要は次のとおりです。

公開されたサービスの悪用

Ragnar Locker は通常、リモートデスクトッププロトコル (RDP) などの公開されたサービスを悪用してシステムにアクセスします。

システムへのアクセスの取得

攻撃者はシステムへのアクセスを取得すると、より大きな権限を取得し、ネットワーク全体を横方向に移動しようとします。

こちらもお読みください:Cyclops ランサムウェア: 完全ガイド

機密ファイルを盗む

攻撃者は、標的のシステムから機密データを窃取します。

暗号化攻撃のトリガー

攻撃者は機密ファイルを盗んだ後、暗号化プロセスを開始し、被害者のファイルを暗号化してアクセス不能にします。

身代金メモの表示

攻撃者は被害者の画面に身代金メモを表示し、状況を説明し、身代金の支払い方法を指示します。

盗んだデータを漏らすと脅す

二重恐喝戦術では、被害者が身代金の支払いを拒否した場合、攻撃者は盗んだデータを一般に公開すると脅迫します。

身代金を支払わないでください！Ragnar Locker ランサムウェア攻撃の被害者は、事件を法執行機関に報告し、評判の高いサイバーセキュリティ専門家の支援を求めることをお勧めします。

Ragnar Locker ランサムウェア攻撃に対処する方法

重要：Ragnar Locker IOC を特定した後の最初のステップは、インシデント対応計画 (IRP) に頼ることです。理想的には、24 時間 365 日連絡できる信頼できる専門家チームを備えたインシデント対応担当者 (IRR) がいて、データ損失の防止、身代金の支払いの軽減または排除、法的責任への対応を迅速に講じることができます。この記事の公開時点で私たちが知る限り、ランサムウェア回復の専門家チームがとる最初のステップは、感染したコンピューターをインターネットから切断して削除することによって隔離することです。接続されているあらゆるデバイス。

同時に、このチームはあなたの国の地方自治体への連絡をお手伝いします。米国居住者および企業にとっては、地元のFBI現地事務所そしてインターネット犯罪苦情センター (IC3)。ランサムウェア攻撃を報告するには、次のようなランサムウェア攻撃に関するあらゆる情報を収集する必要があります。

身代金メモのスクリーンショット
ランサムウェア攻撃者との通信 (存在する場合)
暗号化されたファイルのサンプル

ただし、IRP または IRR がない場合でも、ランサムウェアの削除と回復の専門家に連絡する。これが最善の行動であり、ランサムウェアの削除、データの復元、将来の攻撃の防止に成功する可能性が大幅に高まります。を推奨します。感染したすべてのマシンをそのままにしておくそして電話するランサムウェア緊急復旧サービスシステムを再起動またはシャットダウンすると、回復プロセスが危険にさらされる可能性があります。稼働中のシステムの RAM をキャプチャすると、暗号化キーの取得に役立つ場合があります。また、ドロッパーファイルをキャプチャすると、リバースエンジニアリングが行われて、データの復号化やデータの動作の理解につながる可能性があります。

Ragnar Locker ランサムウェア攻撃から回復するためにしてはいけないこと

絶対ですランサムウェアを削除しない、攻撃のあらゆる証拠を保管します。それは重要ですデジタルフォレンジックそのため、専門家はハッカーグループを追跡して特定することができます。当局は感染したシステム上のデータを使用して、攻撃を調査し、犯人を見つけます。サイバー攻撃の捜査は他の犯罪捜査と変わりません。攻撃者を見つけるには証拠が必要です。

1. インシデント対応プロバイダーに連絡する

サイバーインシデント対応は、サイバーセキュリティインシデントに対応し、管理するプロセスです。インシデント対応リテイナーは、組織がサイバーセキュリティインシデントに関して外部の支援を受けることを可能にするサイバーセキュリティプロバイダーとのサービス契約です。これは、組織にセキュリティパートナーを通じて体系化された専門知識とサポートを提供し、サイバーインシデント発生時に迅速かつ効果的に対応できるようにします。インシデントレスポンスリテイナーは、サイバーセキュリティインシデントの前後に専門家によるサポートを提供し、組織に安心感をもたらします。インシデント対応リテイナーの具体的な性質と構造は、プロバイダーと組織の要件によって異なります。優れたインシデント対応リテイナーは、堅牢でありながら柔軟性があり、組織の長期的なセキュリティ体制を強化する実証済みのサービスを提供する必要があります。IR サービスプロバイダーに連絡すれば、その他すべてのことを対応してくれます。ただし、IT チームと一緒にランサムウェアを削除してファイルを回復することにした場合は、次の手順に従うことができます。

2. ランサムウェア感染を特定する

あなたはできるどのランサムウェアかを特定するファイル拡張子によってマシンに感染した場合 (一部のランサムウェアはファイル拡張子を名前として使用します)、そうでない場合は身代金メモに記載されます。この情報を使用して、公開復号キーを探すことができます。また、IOC によってランサムウェアの種類を確認することもできます。侵害の痕跡 (IOC) は、サイバーセキュリティの専門家がネットワークまたは IT 環境内のシステム侵害や悪意のある活動を特定するために使用するデジタル手がかりです。これらは基本的に犯罪現場に残された証拠のデジタルバージョンであり、潜在的な IOC には、異常なネットワークトラフィック、外国からの特権ユーザーのログイン、奇妙な DNS リクエスト、システムファイルの変更などが含まれます。 IOC が検出されると、セキュリティチームは考えられる脅威を評価するか、その信頼性を検証します。 IOC は、攻撃者がネットワークに侵入した場合に何にアクセスしたかの証拠も提供します。

3. ランサムウェアを削除し、エクスプロイトキットを排除する

データを回復する前に、デバイスにランサムウェアが存在しないこと、および攻撃者がエクスプロイトキットやその他の脆弱性を利用して新たな攻撃を行うことができないことを保証する必要があります。ランサムウェア削除サービスは、ランサムウェアの削除、調査のためのフォレンジック文書の作成、脆弱性の排除、データの回復を行うことができます。マルウェア対策/ランサムウェア対策ソフトウェアを使用して、悪意のあるソフトウェアを隔離して削除します。

重要：ランサムウェア削除サービスに連絡することで、お使いのマシンとネットワークに Ragnar Locker ランサムウェアの痕跡が残らないようにすることができます。また、これらのサービスはシステムにパッチを適用し、新たなランサムウェア攻撃を防ぐことができます。

4. バックアップを使用してデータを復元する

バックアップはデータを回復する最も効率的な方法です。データ使用量に応じて、毎日または毎週のバックアップを必ず取ってください。

5. ランサムウェア回復サービスに連絡する

バックアップがない場合、またはランサムウェアの削除や脆弱性の排除に支援が必要な場合は、データ復旧サービスにお問い合わせください。身代金を支払ったからといって、データが返されるとは限りません。すべてのファイルを確実に復元できる唯一の方法は、そのファイルのバックアップがある場合です。そうでない場合は、ランサムウェアデータ回復サービスがファイルの復号化と回復に役立ちます。SalvageData の専門家がファイルを安全に復元し、Ragnar Locker ランサムウェアがネットワークを再び攻撃するのを防ぐことができます。緊急回復サービスについては、24 時間年中無休で専門家にお問い合わせください。

ランサムウェア攻撃を防ぐ

ランサムウェアを防ぐことがデータセキュリティの最善の解決策です。それらから回復するよりも簡単で安価です。 Ragnar Locker ランサムウェアは、ビジネスの将来を犠牲にし、その扉を閉ざすことさえある可能性があります。これらは、確実に成功するためのいくつかのヒントです。ランサムウェア攻撃を回避する: