Home ロールシャッハ ランサムウェア: これまでで最速の暗号化プログラムを処理する方法

ロールシャッハ ランサムウェア: これまでで最速の暗号化プログラムを処理する方法

BabLock としても知られるロールシャッハ ランサムウェアは、中小企業を標的とする新しいマルウェアです。これは、暗号化速度の点で特に危険なサイバー脅威です。BabLock ランサムウェアは、その洗練された高速な攻撃チェーンにより、サイバーセキュリティの専門家や IT 専門家の注目を集めています。ロールシャッハには効果的な暗号化アルゴリズムがあり、あらゆる規模の企業はそれを防ぐためにロールシャッハ ランサムウェアのテクニックを認識する必要があります。

ロールシャッハとはどのようなマルウェアですか?

ロールシャッハは、被害者のファイルを暗号化してロックし、復号キーと引き換えに身代金を要求するマルウェアの一種で、2022年6月に初めて確認され、独自の暗号化技術を持っていることから専門家らが驚愕した。固定暗号化拡張子の後の 00 から 99 までの数値増分を含む、複数の拡張子のバリエーションがあります。これは、感染した 1 台のマシンに複数のランサムウェア拡張機能があることを意味します。ロールシャッハ ランサムウェアは、他のランサムウェア ファミリやグループとは関係がないようです。また、他のランサムウェア グループとは異なり、ブランドもありません。

ロールシャッハの概要

確認済みの名前

  • BabLock ランサムウェア

脅威の種類

  • ランサムウェア
  • クリプトウイルス
  • ファイルロッカー

暗号化されたファイル拡張子

  • ランダムな文字列と2桁の数字

身代金を要求するメッセージ

  • _r_e_a_d_m_e.txt

利用可能な無料の復号化ツールはありますか?

  • いいえ

検出名

  • アバストWin64:RansomX-gen [身代金]
  • エムシソフト遺伝子:Variant.Lazy.228670 (B)
  • カスペルスキーTrojan.Win64.DLLhijack.cw
  • マルウェアバイトマルウェア.AI.3750245446

症状

  • コンピューターに保存されているファイルを開けません
  • デスクトップとすべてのフォルダーに身代金要求書が表示される
  • ファイルには、ランダムな文字と 00 ~ 99 の 2 つの数字の新しい拡張子が付けられます。
  • 被害者が暗号化されたファイルを開こうとすると、手順が記載されたメモがポップアップ表示されます

配布方法

  • 脆弱なリモート アクセス (RDP など)
  • 感染した電子メールの添付ファイル (フィッシングメール)
  • Torrent Web サイト (感染したリンクまたはファイル)
  • 悪意のある広告 (マルバタイジング)

結果

  • ファイルは暗号化され、身代金の支払いまでロックされます
  • パスワードの盗用
  • 追加のマルウェアがインストールされる可能性がある
  • データ漏洩

防止

  • ウイルス対策とマルウェア対策
  • 更新されたソフトウェア
  • アップデートされたオペレーティング システム (OS)
  • ファイアウォール
  • 不明な送信元からのメールの添付ファイルを開かないでください
  • 不審な Web サイトからファイルをダウンロードしないでください
  • 安全であることが確認できない限り、広告をクリックしないでください
  • 信頼できるソースからの Web サイトのみにアクセスする

ロールシャッハはどのようにしてあなたのコンピュータに感染したのか

ロールシャッハ ランサムウェアは、次のようなさまざまな方法でコンピュータやネットワークに侵入します。

  • トロイの木馬。トロイの木馬は、あるタスクを実行することを約束しながら、別のタスクを実行するソフトウェアであり、そのほとんどは悪意のあるものです。これらは偽のプログラム、添付ファイル、その他の種類のファイルの形式をとり、被害者を欺きます。
  • 脆弱なリモート サービス。ロールシャッハ ランサムウェア攻撃が発生するもう 1 つの方法は、安全でない外部リモート サービスを介することです。攻撃者は、認証情報が既知、再利用、脆弱、または書き換えられているリモート デスクトップ プロトコル (RDP) ツールを悪用して、企業のネットワークにアクセスし、データを漏洩します。
  • 既知のソフトウェアの脆弱性。ハッカーは既知の脆弱性を持つソフトウェアを使用して企業を攻撃することもあります。そのため、すべてのソフトウェアを常に最新の状態に保ち、RDP などのリモート管理ツールを保護することが非常に重要です。 BabLock ランサムウェアの場合、このグループは合法的なセキュリティ ツールを使用しています。パロアルトネットワークスのCortex XDR最初の攻撃方法として。

ロールシャッハの身代金メモ

ロールシャッハ ランサムウェアは、身代金メモを含むテキスト ファイルのほかに、デスクトップの壁紙を、被害者にファイルを開いて詳細を確認するよう指示するテキストに変更します。

ロールシャッハ ランサムウェアの壁紙の例

復号化ID: –

こんにちは、あなたがこれを読んでいるということは、ハッキングされたということです。

すべてのシステムの暗号化、バックアップの削除に加えて、機密情報もダウンロードされました。

やってはいけないことは次のとおりです。

1) 取引が終了する前に、警察、FBI、またはその他の当局に連絡してください。

2) 回収業者に連絡し、対話を行ってもらいます。 (これにより回復が遅くなり、コミュニケーションが無駄になる可能性があります)。回収会社には行かないでください。彼らは本質的に、あなたから金を儲け、あなたを騙す単なる仲介業者です。回収会社が身代金の価格を 500 万ドルだと告げるが、実際には秘密裏に 100 万ドルで交渉し、あなたから 400 万ドルを稼いでいるというケースを私たちはよく知っています。仲介者を通さずに直接当社にアプローチした場合、支払う金額は 5 分の 1、つまり 100 万ドルになります。

3) ファイルを自分で復号化したり、ファイル拡張子を変更したりしないでください。これにより、復号化が不可能になる可能性があります。

読んだ後すぐにやるべきことは次のとおりです。

1) あなたが一般従業員の場合は、会社の CEO および IT 部門にメッセージを送信してください。

2) あなたが CEO、IT 部門の専門家、または社内で重要な立場にある人物の場合は、24 時間以内に電子メールでご連絡ください。

身代金を支払わない場合、私たちは将来再びあなたの会社を攻撃します。数週間以内に攻撃を繰り返し、あなたのネットワークからすべてのデータを削除します。これにより、会社は利用できなくなります。

ファイルを復号化できることを保証するために、無料の復号化のために複数のファイルを送信することをお勧めします。

お問い合わせメール(件名に復号IDを記載してください)

ロールシャッハ ランサムウェアの仕組み

Rorschach (BabLock) ランサムウェアは、次のようなファイルを含むマルチコンポーネント パッケージ (winutils.dll) を感染マシンに展開します。

  • 暗号化されたランサムウェア ファイル (config.ini)
  • DarkLoader、復号化およびランサムウェア インジェクター
  • 悪意のない実行可能ファイル
  • 正しいパスワードを使用して悪意のないバイナリを実行するための CMD ファイル

これは巧妙なランサムウェアであり、2022 年にはあまり事件が発生しておらず、目立たないままです。しかし、2023 年 4 月には、これまでで最速のランサムウェア暗号化ツールであるとニュースになりました。BabLock は非常に洗練されたランサムウェアであり、拡張子に 00 ~ 99 の数字を追加するなど、その独自の暗号化により見分けが容易です。また、カスタマイズ性も高いので、

1. セキュリティソリューションの回避

ロールシャッハの生成プロセスはサスペンド モードで実行され、偽の引数 (数字 1 の繰り返し文字列) を出力します。目標は、メモリ内を書き換えて、事前に定義されたタスクのリストを停止し、Windows セキュリティ システムと Windows Powershell をクリアし、Windows ファイアウォールを無効にすることです。

2. 自己増殖

その後、ロールシャッハ ランサムウェアはドメイン内の他のマシンに拡散します。その後、ドメイン上のすべてのデバイスの %Public% フォルダに自分自身をコピーします。BabLock ランサムウェアの暗号化プロセスには平均 4 分かかりますが、これも非常に高速なランサムウェアである LockBit 3.0 では、被害者のコンピュータ上のファイルの暗号化に約 7 分かかります。

ロールシャッハ ランサムウェア攻撃を阻止する

ランサムウェア攻撃を防ぐことは、攻撃から回復するよりも簡単かつ低コストです。ロールシャッハ ランサムウェアは、ビジネスの将来を犠牲にし、その扉を閉ざすことさえあります。

ロールシャッハギャング、米国の病院を標的に 100万人の患者データを盗むゼロデイとして知られる脆弱性を悪用します。これらは、開発者が新しいアップデートを通じて修正するソフトウェア違反です。 HHS によると、2022 年には 289 を超える病院がロールシャッハの被害に遭いました。これは、ロールシャッハ ランサムウェアからデータを保護するためにソフトウェアを更新し続ける必要があることを意味します。ただし、サイバー犯罪者の方がより高速で、アップデートがリリースされる前に被害者に到達する場合もあります。

1. 強力なパスワードを使用する

不正アクセスを防ぐために、各アカウントのパスワードが数字、文字、特殊文字を組み合わせてランダ​​ムに作成されていることを確認してください。

2. ソフトウェアを常に最新の状態に保つ

前述したように、ソフトウェア アップデートにより、サイバー攻撃者が悪用してビジネス ネットワークに侵入できる脆弱性が解消される可能性があります。ソフトウェアを常に最新の状態に保つと、システムのセキュリティが向上します。

推奨読書:Alpha ランサムウェア: 新たなサイバー脅威に対処する方法

3. 定期的なバックアップをスケジュールする

バックアップは、自然災害やサイバー攻撃によってデータが失われた場合でも、データを復元する最も効率的な方法です。また、ロールシャッハ攻撃などの災害後に仕事に戻るための最も早い方法でもあります。

4. サイバーセキュリティソリューションを使用する

サイバー セキュリティ サービスを雇うか、IT チームを派遣してデータを安全に保つことで、サイバー攻撃者によるデータへのアクセスを防ぐことができます。これらの専門家は、システムの脆弱性をスキャンし、ビジネスのサイバーセキュリティ プロトコルと認識を向上させるための対策を作成できます。

5. 回復計画を用意しておく

データ復旧計画 (DRP) は、ランサムウェア攻撃などの災害に対処する方法についての戦略を策定する文書です。これにより、より迅速な復旧とビジネスの継続が可能になります。詳細なガイドでデータ復旧計画の作成方法をご覧ください。

ロールシャッハ ランサムウェア攻撃に対処する方法

ロールシャッハ攻撃から回復するための最初のステップは、インターネットから切断し、接続されているデバイスをすべて削除して、感染したコンピュータを隔離することです。その後、地方自治体に連絡する必要があります。米国居住者および企業の場合は、地元のFBI現地事務所そしてインターネット犯罪苦情センター (IC3)ランサムウェア攻撃を報告するには、次のようなランサムウェア攻撃に関するあらゆる情報を収集する必要があります。

  • 身代金メモのスクリーンショット
  • ロールシャッハ俳優とのコミュニケーション(いる場合)
  • 暗号化されたファイルのサンプル

絶対ですランサムウェアを削除しない、攻撃のあらゆる証拠を保管します。それは重要ですデジタルフォレンジックそのため、専門家はハッカー グループを追跡して特定することができます。当局は感染したシステム上のデータを使用して、攻撃を調査し、犯人を見つけます。サイバー攻撃の捜査は他の犯罪捜査と変わりません。攻撃者を見つけるには証拠が必要です。

デバイスを隔離して当局に連絡した後、次の手順に従ってデータを取得する必要があります。

1. インシデント対応担当者に連絡します

サイバー インシデント対応は、サイバーセキュリティ インシデントに対応し、管理するプロセスです。インシデント対応リテイナーは、組織がサイバーセキュリティ インシデントに関して外部の支援を受けることを可能にするサイバーセキュリティ プロバイダーとのサービス契約です。これは、組織にセキュリティ パートナーを通じて体系化された専門知識とサポートを提供し、サイバー インシデントが発生した場合に迅速かつ効果的に対応できるようにします。インシデント レスポンス リテイナーは、サイバーセキュリティ インシデントの前後に専門家によるサポートを提供し、組織に安心感を提供します。インシデント対応リテイナーの具体的な性質と構造は、プロバイダーと組織の要件によって異なります。優れたインシデント対応リテイナーは、堅牢でありながら柔軟性があり、組織の長期的なセキュリティ体制を強化する実証済みのサービスを提供する必要があります。

2. ランサムウェア感染を特定する

ファイル拡張子によってマシンに感染したランサムウェアを確認することもできます (ランサムウェアによっては、ファイル拡張子を名前として使用する場合もあります)。または、それが身代金メモに記載されます。この情報を使用して、公開復号キーを探すことができます。ロールシャッハ ランサムウェアの場合、Linux ベースのシステムには復号化機能が備わっています。

3. ランサムウェアを削除し、エクスプロイト キットを排除する

データを回復する前に、デバイスにランサムウェアが存在しないこと、および攻撃者がエクスプロイト キットやその他の脆弱性を利用して新たな攻撃を行うことができないことを保証する必要があります。ランサムウェア削除サービスは、ランサムウェアの削除、調査のためのフォレンジック文書の作成、脆弱性の排除、データの回復を行うことができます。

4. バックアップを使用してデータを復元する

バックアップはデータを回復する最も効率的な方法です。データ使用量に応じて、毎日または毎週のバックアップを必ず取ってください。

5. ランサムウェア回復サービスに連絡する

バックアップがない場合、またはランサムウェアの削除や脆弱性の排除に支援が必要な場合は、データ回復サービスに連絡する必要があります。身代金を支払ったからといって、データが返されるとは限りません。すべてのファイルを確実に復元できる唯一の方法は、そのファイルのバックアップがある場合です。そうでない場合は、ランサムウェア データ回復サービスがファイルの復号化と回復に役立ちます。SalvageData の専門家がファイルを安全に復元し、ロールシャッハ ランサムウェアがネットワークを再び攻撃しないことを保証します。緊急回復サービスについては 24 時間年中無休で弊社の専門家にお問い合わせいただくか、お近くの回復センターを見つけてください。

Related Posts

iPhoneでGoogle翻訳をデフォルト翻訳アプリとして設定する方法

iPhoneでGoogle翻訳をデフォルト翻訳アプリとして設定する方法

2025-05-22
Windows11:5の簡単な方法でドライブ文字を変更する方法

Windows11:5の簡単な方法でドライブ文字を変更する方法

2025-03-29
ソフトウェアなしでWindows 10パスワードを削除する方法

ソフトウェアなしでWindows 10パスワードを削除する方法

2025-04-30
Windows11でAndroidアプリをインストールして使用する方法:ステップバイステップガイド

Windows11でAndroidアプリをインストールして使用する方法:ステップバイステップガイド

2025-04-30
Rorschachランサムウェア:これまでのところ最速の暗号化家を扱う方法

Rorschachランサムウェア:これまでのところ最速の暗号化家を扱う方法

2025-04-30
Segi TVが動作しない問題を修正する方法

Segi TVが動作しない問題を修正する方法

2023-12-12
Google Pixel 9/8/7/6/5/4/3 を出荷時設定にリセットする方法? 5 つのクリエイティブな方法

Google Pixel 9/8/7/6/5/4/3 を出荷時設定にリセットする方法? 5 つのクリエイティブな方法

2024-10-23
VMwareワークステーションにWindows Serverをインストールする方法

VMwareワークステーションにWindows Serverをインストールする方法

2025-05-01
Yaber T1 Pro Miniプロジェクターをチェックしてください(40ドルオフ!)

Yaber T1 Pro Miniプロジェクターをチェックしてください(40ドルオフ!)

2025-09-25
Windows でニアシェア シェアを使用するにはどうすればよいですか?公平かつ丁寧な説明

Windows でニアシェア シェアを使用するにはどうすればよいですか?公平かつ丁寧な説明

2024-10-08
サインイン画面にアカウントの詳細を表示する方法

サインイン画面にアカウントの詳細を表示する方法

2025-04-30
Wordleゲームルール2025:Wordleのすべてのルールのリスト

Wordleゲームルール2025:Wordleのすべてのルールのリスト

2025-02-03
困難なくOnePlus 12/11/10/9/8/7/6をroot化する方法は? 3つの方法

困難なくOnePlus 12/11/10/9/8/7/6をroot化する方法は? 3つの方法

2024-10-11
Windows 11でタスクバーの位置を一番上に移動する方法

Windows 11でタスクバーの位置を一番上に移動する方法

2023-12-04
Windows PC でエラー コード 0x0 0x0 を修正する方法

Windows PC でエラー コード 0x0 0x0 を修正する方法

2024-01-08