ランサムウェア – ウィキペディア

ランサムウェア （から 英語 身代金 「ランサム」の場合も） 恐mail 、 恐torソフトウェア 、 Cryptotrojans また 暗号化 侵入者がコンピューターホルダーのデータへのアクセス、その使用またはコンピューターシステム全体へのアクセスを防ぐことができる悪意のあるプログラムです。プライベートデータは、外国のコンピューターで暗号化されたり、復号化や承認を求めて身代金を要求するために、お客様へのアクセスを防ぎます。

名前は一緒に構成されています 身代金 、身代金の英語の言葉、そして ウェア 、さまざまな種類のコンピュータープログラムで一般的な名前スキームによると（ ソフトウェア 、 マルウェア 等。）。 Sonicwallのレポートによると、ランサムウェアによる約6億2,300万件の攻撃が2021年に行われました。 ^[初め] 2022年に発表された調査では、2022年には脅迫的な身代金支払いの合計が2億5680万ドルで、2021年にはまだ7億5660万ドルでした。 ^[2]

このアイデアは、トロイの木馬エイズが郵便で多数の研究機関に送られた1989年にさかのぼります。しばらくすると、プログラムはハードドライブのデータを暗号化しました。画面によると、ライセンスの有効期限が切れていました。会社の名前とパナマのメールボックスアドレスが言及されました。そのため、ライセンスキーを購入してデータを再度リリースするために小切手を送信する必要があります。したがって、この手順は、強要としてすぐに認識できませんでした。加害者、アメリカの生物学者ジョセフ・L・ポップ・ジュニアは有罪判決を受けました。精神疾患のために、彼に対する調査は停止されました。

ファイルを暗号化できる最初のマルウェアは、ディスクキラーボートセクターウイルスでした。ただし、悪性プログラムは恐torのために設計されていませんが、サーバーシステムにデータ損失を引き起こすはずです。また、1989年に登場しましたが、署名によれば、エイズトロイの木馬の前にすでに書かれていました。すべてのランサムウェアがデータを暗号化したわけではなく、このタイプのよりシンプルなプログラムは、さまざまな方法でコンピューターをロックします。

ランサムウェアをインターネットに広める最初の既知の試みの1つは、2005年にトロイの木馬とサイバー犯罪者によるものでした troj_pgpcoder.a 実施した。データを解読するには、影響を受ける人々は数百米ドルを支払う必要があります。暗号通貨が自分自身を確立しているため、送金は加害者にとってはるかに容易でリスクが高まっています。したがって、2010年頃、ランサムウェアを使用した犯罪の大幅な増加がほとんど世界中で増加しました。

事件は、2011年のザクセン・アンハルト州の警察犯罪報告書に記載されています。加害者は、この状態の831個のコンピューターに恐torソフトウェアを感染させていました。 ^[3]

2012年以来、BKAトロイの木馬のさまざまなバリエーションで頻繁に事件がありました。彼は、違法行為のために法執行機関に代わってコンピューターをブロックしたふりをした。ロックを解除するために罰金を支払う必要があります。これらのトロイの木馬は通常、データを暗号化するのではなく、システムをブロックするだけでした。ほとんどの場合、損傷は簡単に改善できます。必要な金額を支払った被害者も、システムのロックを解除するための回答や指示を受けませんでした。 ^[4]

それまでの間、有料および無料のモジュラーシステム、いわゆるCrimewareキットが地下フォーラムに登場し、どのランサムウェアを作成できます。 ^[5]

2013年10月、ビットコインでの支払いを最初に要求したランサムウェアクリプトロッカーが知られるようになりました。 ^[4]

2016年には、Cryptotrojan Lockyが登場しました。これは、数万個のPCに感染し、とりわけバイロウスのフラウンホーファー研究所に感染しました。 ^[6] テスラX3クリプトウイルスは2016年2月に落ちました。レインの市庁舎のコンピューター。 ^[7] 北ライン川西部州刑事警察署によると、2015年12月1日から2016年2月29日まで、ランサムウェアによる攻撃に対して156件の報告が払い戻され、報告されていない症例の数が疑われています。 ^[8] 2015年12月に攻撃を受けたデュッセルドルフの多くの診療所やインテリア省と北ラインヴェストファーリア州の地域の省を含む113の企業と機関が影響を受けました。 ^{[8] [9]}

Kerangerは、OS XのCryptototrojanのバリアントである2016年3月に発見されました。 ^[十] 2016年6月の初めに、Fraunhofer Institute for Safe Information Technologyは、特に7つの例示的なアプリケーションでFraunhofer Instituteが発見し、それぞれのメーカーに報告されたセキュリティギャップを含むセキュリティアプリを含むセキュリティアプリが提供された場合、スマートフォンもランサムウェアの影響を受ける可能性があることを通知しました。 ^[11]

2017年5月、Wannacryは、とりわけ、非常に短い時間でいくつかのグローバル企業に落ちました。 150か国で230,000を超えるコンピューターが感染しました。この寸法のため、欧州警察署は、この発生をこれまでにないと説明しました。
電子メールの添付ファイルによる通常の配布に加えて、WannacryにはWurm Propertiesがあり、オペレーティングシステムのセキュリティギャップやユーザーの供給なしで、さらにコンピューターに積極的に感染しようとします。現在のアップデートスタンドにあるシステム（2017年4月）は影響を受けませんでした。特定のファイルと印刷サービスをリリースする必要があります。これは、特にエラー関連のコンピューターシステムが長く伴う会社の内部データネットワークで、wannaCryの後を継続する必要があります。

2021年7月、サイバー犯罪者は、KaseyaのVSAサーバーのソフトウェアのセキュリティギャップを利用しました。長い距離メンテナンスソフトウェアは、Trojan Sodinokibi.nを再生するために操作されました。ネットワーク内のデータは暗号化されました。ロシアのハッカー協会のRevilは、サイバー攻撃の責任者自身を宣言しました。
2022年、ハイブランサムソフトウェアが発見され、無害になりました。 ^[12番目]

それまでの間、ランサムウェア犯罪者は、被害者のシステムを暗号化するだけでなく、解読（「単一の大変」）のために身代金を要求するだけでなく、繊細な顧客と企業のデータを排出し、出版物（「二重拡張」を脅かす）に合格しました。 ^[13] 伸長とは、ドイツ語の恐mailを意味します。国際英語の専門言語では、よりシンプル（「シングル」）、ダブル（「ダブル」）から複数（「複数」）の強要との区別が行われます。二重の亡命の2番目の恐torは、出版物を緩和しなかったための加害者の明示的または暗黙的な金銭的主張によって特徴付けられます。

二重の恐torの例は、一連のコンティランサムウェアです。 「Conti News」という名前で、加害者はTORネットワークの暗いWebページにブログを設定しました。 ^[14] このページは、通常のインターネット上のすべての人のためのクリアWebプロキシを介してアクセス可能でした。 ^[15] 2020年8月から2022年7月まで、影響を受けた人々のための859年から869のエントリが公開され、そのデータはコンティランサムウェアによって暗号化されました。 ^{[16] [17]} その中には、何百万もの請求を支払った大企業が時々ありました。 ^[18] 2017年4月21日から2017年2月21日から2017年2月28日から2022年2月28日まで、合計65,498.197 BTCが議論されました。 ^[19] 暗号通貨の価値は、強い変動の影響を受けます。推定では、個々の入力と出口の迫害がなければ、65,000 BTCの価値は2022年2月に約2〜2億ユーロでした。 ^[20] 出版された影響を受けた人々の約53人はドイツの企業であり、他の人はドイツの関係を持っていました。 ^[17] SPIEDデータの一部は、加害者にブログにダウンロードするように提供しました。専門家は、このタイプのウェブサイトを呼び出しています。 ^[21] 2020年7月から2021年9月の間に、1年間で、研究者だけで、Contiが提供するデータの量を18.7以上のテラバイトに推定します。 ^{[17] [22]} この番号は解釈されます。 ^[23] これは、行為が行われた時間の理解によれば、大量のデータを説明することを意味します。技術的な開発を通じて、多くのデータが大きい場合の主観的な認識が変わります。将来的には、この数はより小さく理解されます。リークサイトの出版物を通じて、加害者は、支払いのために影響を受ける人々が必要であることを望んでいます。この目的のために、個人データはしばしば、低品質のデータ廃棄物とともに公開されます。一部の人は、ダークウェブ上の市場上の盗まれたデータを収益化します。 ^[24]

二重拡張の原理は引き続き拡張できます。この目的のために、盗まれたデータの加害者とOSINTの研究により、データまたはそれへのアクセスに依存する第三者が見つかります。 3番目は、その依存関係のために脅迫されます。この例は、バリューチェーンに対するSO -CALLED攻撃です。 英語 サプライチェーン攻撃 。 ^[25] トリプルと四重補助材の拡張は、これらの形式の恐mailによって特徴付けられます。 ^[26] SPIEDデータの内容に応じて、加害者のためのアクションのための他のオプションがあります。これは、あなたのために発生する可能性のある他のすべてのオプションについて、複数の拡張の概念につながります。 ^[27] Contiの例は、ソフトウェア会社のそれに匹敵する地下経済における行為の組織のために構造が作成されたことを示しました。 ^[28]

ランサムウェアの個々の形式のドイツの名前の具体的な例は、身代金、サイレント、または保護基金です。 ^[29] 身代金プレスは、単一の強要と沈黙 – lawの略で、二重の恐torを表しています。保護資金は次のように説明できます。別の攻撃では、加害者はサービスの拒否を引き起こします。サービスの拒否は、コンピューターの妨害行為の別の形式です。これにより、インターネット上で影響を受ける人々のシステムのアクセシビリティが防止されます。これは、暗号化のためにすでにプレッシャーにさらされている被害者の強制手段を表しています。

ランサムウェアは、コンピューターウイルスと同じパスでコンピューターにアクセスできます。これらは、これらの準備された電子メール添付ファイルの1つであり、Webブラウザーでのセキュリティギャップの使用、またはDropboxなどのデータサービスを介して使用されます。

たとえば、電子メールが送信され、付録のzipファイルには注文された商品を介して請求書または配信ノートが含まれていることが指定されています。 ^[5] また、連邦刑事警察署、連邦警察、GEMA、またはマイクロソフトがコンピューターで違法な活動を発見し、それをブロックしたと主張されることもあります。 ^[30]

システムの浸透とデータの脱出 [ 編集 | ソーステキストを編集します ]

ランサムウェアの暗号化の前、最中、後にいくつかの危険なプロセスが行われます。手動で動作したランサムウェアでは、攻撃されたシステムに接続された攻撃者は、影響を受けるシステムと接続されたネットワーク（浸透）を継続しようとします。攻撃者がどのように進行するかについての理想的なアイデアのために、攻撃がはるかに洗練されている場合でも、リモートメンテナンスソフトウェアを考えるのに役立ちます。浸透システムの移動は、英語用語の横方向の動きと呼ばれます。個々のコンピューターのデータがすでに暗号化された後でも、対策なしに接続されたシステムでさらに暗号化するリスクがあります。侵入者が面白くて価値があるように見えるデータを見つけたら、それらをスパイしてください。部分的に隠された匿名のチャネルを介して、データをプライベートネットワークまたは組織のネットワークからインターネットに転送し、あなたが制御したデータストレージに転送します。盗まれたデータの価値を見て評価した後、あなたは彼らが恐torまたは第三者への販売のためのさらなる使用を決定します。

DESシステムを遮断します [ 編集 | ソーステキストを編集します ]

影響を受けるコンピューターは、さまざまな方法でブロックできます。よりシンプルでより無害な脅迫の試みは、通常のシステムの開始時に表示され、閉じることができないヒントウィンドウでのみ表現されます。タスクマネージャーもブロックされています。経験の浅いPCユーザーは、この封鎖を終了する方法を知りません。たとえば、ペイサフカードやUkashカードを購入するなど、身代金を支払う唯一の方法があるようです。 ^{[最初に30]} この金額は、感染したPCの支払いシステムのバウチャー番号を入力することにより、強要者にクレジットされ、それを電子的に加害者に伝えました。暗号通貨ビットコインは、さらに匿名の支払い方法として使用されます。

ドキュメントの暗号化 [ 編集 | ソーステキストを編集します ]

ランサムウェアの特に悪性バリアントには、より有害な可能性があります。コンピューター上のファイルを暗号化します。できれば、コンピューターの所有者にとって非常に重要であり、おそらく取り返しのつかないほど重要であると想定できるファイル。ランサムウェアは通常、Windows Systemsのフォルダーで始まります 独自のファイル そして、特にオフィスアプリケーションで作成された優先文書。電子メール、データベース、アーカイブ、写真。 ^[30] 復号化パスワードがなければ、ユーザーはコンテンツにアクセスできなくなりました。
スパイウェアとは対照的に、ここでは大量のデータが延期されていません。

ランサムウェアによって暗号化されたデータを解読できるようにするために、損傷したユーザーは、デコードまたは必要なパスワードのためのソフトウェアを受け取るように、身代金を支払うように侵入者から求められます。時々、彼は最初にランサムウェアプロデューサーとの別の連絡を求められることがあります。たとえば、特定のウェブサイトに電話するか、正式なアームマスクを介して、特定の電子メールアドレスへの電子メールで。犯罪者はしばしば、警察に連絡するときにすべてのデータが破壊されると脅します。

影響を受けるコンピューターは、マルウェアによってさらに操作および監視できます。したがって、特にパスワードを必要とするアクティビティには、さらなる作業に使用してはなりません。オンラインバンキングを介して影響を受けたコンピューターから身代金を転送することは、重大な過失と見なされる必要があります。

場合によっては、攻撃者の側で暗号化されたファイルを復号化する可能性は提供されていないため、暗号化されたファイルの安全コピーがない限り、これらのファイルは取り返しのつかないほど失われます。 ^[30]

スイス連邦政権のサイバーセキュリティセンター国立センターは、そのウェブサイトで民間ユーザーと企業向けの推奨事項を公開しています。 ^[32]

• バックアッププロセス中にコンピューターにのみ接続されている外部メディアの定期的なデータバックアップ。セキュリティドライブが接続されたままである場合、アクティブランサムウェアもデータのバックアップを破壊する可能性があります。
• オペレーティングシステムを最新の状態に保ち、更新をすばやくインストールします。
• 未知の送信者からのメールには注意してください。リンクはWebサイトのマルウェアにつながる可能性があり、追加ファイルにはMaliceプログラムが含まれる可能性があります。
• ウイルス保護をインストールし、定期的に更新します。
• ファイアウォールを使用します。

ドイツ連邦情報技術局は、保護と対策に関する広範な推奨事項もリストされている状況分析と、発生したケースの推奨行動を公開しています。この分析は、企業、当局、その他の機関の専門的なユーザーとITマネージャーを対象としています。 ^[33] ウェブサイト これ以上の身代金はありません オランダ警察の国立ハイテク犯罪ユニット、ユーロポールのヨーロッパサイバー犯罪センター、および2つのサイバーセキュリティ会社によるイニシアチブであり、ユーザーにランサムウェアを説明し、感染を効果的に防止するための対策を推奨し、ランサムウェアを復mayするのを助けることを目的としています。 ^[34]

もう1つの対策は、直接上書きまたはまったく上書きしても元のデータを削除しない対応するファイルシステムの使用です。これは、LinuxのNILFSのようなバージョンファイルシステムです。もう1つのオプションは、常にスナップショットを備えたWindowsでVolume Shadow Copy Service（VSSS）などのシステムサービスを使用することです（VSSS） 英語 スナップショット ）変更が発生した場合にファイルを作成するため、バージョンのバージョンを保存します。ストレージシステムでZFSなどの広範なファイルシステムを使用する可能性もあります。 ZFSは、非常に大きなファイルシステムを使用しても、数分の短い間隔で、ファイルシステムにこれらのスナップショットを保存しても、完全なファイルシステムからライティングで保護されたスナップショットを作成するオプションを提供します。適切な構成を使用すると、ZFSなどのファイルシステムは、ランサムウェアの主に免疫があります。 ^[35]

ドイツの法律によれば、ランサムウェアの攻撃者は、コンピューターの妨害行為でファクトユニットのデータの暗号化により恐mailをコミットします。それを置くために、ブラックメールに従ってランサムウェアの商業的およびギャングベースの分布 §253 パラグラフ1、4と一緒に §303b ACTユニットのSTGBによると §52 STGB。 ^{[36] [37]} システムの故障による医療施設のサブサプライなど、ランサムウェアの結果に応じて、攻撃や効果に応じて他の事実が関連する可能性があります。

即時の措置 [ 編集 | ソーステキストを編集します ]

コンピューターの侵入を決定する際の最初の尺度は、コンピューターをすぐにオフにすることです（ いいえ 「Dill Down」ですが、電気とは別に！） – ランサムウェアウィンドウが「これを禁止していても、まだ暗号化されていない多くのファイルが暗号化されていません。
その後、さらなる手順を別の影響を受けていないコンピューターで調査できます。

ドイツの刑事訴追 [ 編集 | ソーステキストを編集します ]

2010年の調査によると、犠牲者の約4分の1が身代金を支払うでしょうが、 ^[38] また、連邦情報技術局（BSI）に、請求に応答しないようにアドバイスしています。身代金の支払い後でも、データが実際に再び解読されるかどうかはわかりませんでした。被害者の支払い意欲も特定されるため、さらなる主張は除外できません。クレジットカードを使用して支払う場合、加害者はさらに個人情報がアクセスできます。

苦情を申し立てることをお勧めします。 ^[39] 2022年の時点で、さまざまなセキュリティ当局が調整と連絡先として協力しています。 ^[40] 攻撃に関する広告と情報は、ランサムウェアの提供を可能にする刑事構造の明確化と閉鎖をサポートしています。ドイツでは、彼らの地元の警察署は、居住地の近くの対応点として関係する人々に対して責任を負います。 ^[41] 非国家組織または州の組織の場合、中心的な応答ポイントは、「Zac」と呼ばれるサイバー犯罪の原因です。特に組織には、経済の企業が含まれます。中央の対応センターは、責任ある機関に伝え、広告を採用し、現在のサイバー犯罪、特にランサムウェア現象について助言し、最初の評価を行い、知識を調整します。 ^[42]

暗号化されたデータを復元する経験 [ 編集 | ソーステキストを編集します ]

2011年から2012年2月までの期間に広まっている期間に、データへのアクセスが防止されましたが、暗号化はありませんでした。商業的ウイルス対策プログラムは、これらの害虫のいくつかを除去することができました。 MalwareBytesアンチマルウェアやAviraなどの無料プログラムで十分でした。
すべてのクリーニング、復号化、その他の手段は、「クリーンシステム」から実行する必要があります – 決して「影響を受けるオペレーティングシステム自体から」決して行わないでください。

セキュリティ研究者は、暗号化されたデータを再び解読できるランサムウェアと復号化ツールをクラックすることがあります。 ^[43] たとえば、2016年2月には、Teslacrypt 2からバージョン2.2.0に暗号化を分割することができました。 ^{[44] [45]} 2016年4月、恐torのTrojan Petya（2016年12月までのバージョン）の暗号化が一時的に壊れました。ソフトウェア hack-petya データを再度デコードできるキーを作成しました。 ^[46]

場合によっては、暗号化後にもデータレスキューが可能です。 ^[47]

• 一部のランサムウェアは、ファイルの開始のみを暗号化するだけです。多くの場合、特に容量が大きいファイル（データベースやアーカイブファイルなど）の場合、影響を受けるファイルの再構築が依然として可能です。
• 場合によっては、データキャリアで使用される暗号化の鍵は、コンピューターフォーラムの方法でまだ見つけることができ、データは解読できます。
• 多くの場合、削除されたファイルの再構築が可能です。多くの場合、ドキュメントを処理するときに一時的なファイルが作成され、その後削除されます。これまで、削除されたドキュメントは通常、ランサムウェアによって暗号化されていません。
• NASのデータバックアップはランサムウェアによって暗号化されませんが、多くの場合、削除された領域のみがランダムデータで上書きされます。ここでは、通常、データレスキューが可能です。

• Lagedossierランサムウェア In：連邦情報技術局（BSI）、2016年7月7日。
• ランサムウェア：脅威の状況、予防、反応。 In：BSI、2016年3月11日。
• ジェラルドヒンメリン： Wannacry＆Co。：自分自身を守る方法 – オンラインでハイズ。 の： heise.de。 15. 2017年5月、 2017年5月15日にアクセス 。
• ランサムウェアの決定：
• botfrei.de ：反ボットネットアドバイザリーセンター
• 説明：Trojan.gpCoder、アクティビティ、修復。 （もはやオンラインでは利用できなくなりました。）2005年5月22日、情報技術のための連邦局、からアーカイブ オリジナル 午前 2008年2月16日 ; 2013年1月3日にアクセス 。
• ステファン・アウグステン： ランサムウェアの開発と分布の方法。 Security-Insider.de、2。2015年11月、 2015年11月3日にアクセス 。
• Goldeneyeランサムウェア：脅威を認識し、従業員に警告し、感染を防ぎます。 heise.de、2016年12月7日、 2016年12月13日にアクセス 。