ネット管理者

Jigsaw ランサムウェアとは何ですか? それから身を守る方法は何ですか?

Jigsaw ランサムウェアとは何ですか、またそれから保護する方法は何ですか



2016 年 3 月に、ジグソーパズルを特集した ビリー・ザ・パペット ホラー映画のキャラクター 見た 身代金要求ページで

この恐怖は世界中の企業に恐怖を与えましたが、この恐怖は間違いのないものであることが判明しました。 ネット、 そしてそのコードを読み取って、身代金を支払う代わりにファイルを復号化する方法を見つけることができる可能性があります。



セキュリティの脆弱性にもかかわらず、Jigsaw は防御する必要があります。現在は猛威を振るっていませんが、Jigsaw には死から蘇る習性があるため、今後も復活してネットワーク管理者を脅かす可能性があります。

Jigsaw ランサムウェアについて

Jigsaw ランサムウェアは、次のようにも知られていました。 ビットコイン脅迫者 。 Windows オペレーティング システムを実行しているコンピュータのみを攻撃します。マルウェアが最初に発見されると、各サイバーセキュリティ研究所が名前を付けます。他の研究室がウイルスに名前を付けていることを知り、その名前に従う人もいれば、ほぼ同時に新しいマルウェアを特定し、その名前を自分の言葉で言い出す人もいます。したがって、一部のマルウェアは複数の文字で知られており、これは Jigsaw/BicoinBlackmailer の場合に当てはまります。



ジグソーはこの作品の主人公だった 見た ホラーフランチャイズ。これは、連続殺人犯のジム・クレイマーと呼ばれるキャラクターでした。 ジグソーキラー 。殺人事件の準備段階で、ジグソーは被害者を罠にはめて、命を救うと約束した課題を与えて挑発した。これらのタスクの指示は、「パペット」と呼ばれる人形によってテレビ モニターを通じて伝えられました。 ビリー 。この人形の写真は、マルウェアの身代金要求に表示され、その名前の由来となっています。

以前のバージョンの画面には Jigsaw という名前は表示されませんでした。しかし、月が経つにつれて、新しい亜種がリリースされ、作者は Jigsaw という名前を採用しました。

Jigsaw ランサムウェアは何をしますか?

ジグソーはシステムにアクセスします スパムメール 。このランサムウェアの亜種は、アドウェアやポルノ サイトのダウンロードでも見つかります。添付ファイルまたはダウンロードには Jigsaw のインストーラーが含まれており、ファイルを開くとアクティブになります。

Jigsaw は、firefox.exe または drpbx.exe という名前を採用することで、その存在を隠します。暗号化ウイルスのコードは次の場所にあります。 %UserProfile%AppDataRoamingFrfxfirefox.exe、 そして、それ自体の起動コマンドを起動プロセス リストに書き込みます。

ランサムウェアは、感染したコンピュータ上のすべてのデータ ファイルを暗号化します。 マスターブートレコード 。それは使用しています AES 暗号化。また、コンピューターでの起動も保証されます。プログラムがインストールされるとすぐに暗号化が開始されます。幸いなことに、Jigsaw はネットワーク内を横方向に移動しません。ダウンロードしたデバイス上のファイルのみを暗号化します。システムは暗号化しない 実行可能ファイル

暗号化プロセスが完了すると、身代金画面が表示されます。これも カウントダウン 1時間。それがゼロになると、 ファイルが削除される 。画面はボタンで構成されており、このボタンを押すと、暗号化されたすべてのファイルをリストしたテキスト ファイルが表示されます。

復号キーの身代金は、150 ドル相当のビットコインです。被害者を動機付けるために、ジグソーはファイルを削除します 1時間後 。その後、1 時間ごとに削除サイクルが実行され、アクションごとに削除されるファイルの数が増えます。支払いが行われない場合 72時間 最初のメッセージが表示された後、ランサムウェアはコンピュータ全体を消去します。

コンピュータを再起動すると、ランサムウェアが再び起動し、 1,000 個のファイルを削除する 罰として。身代金の警告には、ユーザーがマルウェアの実行プロセスを終了しようとすると 1,000 個のファイルが削除されるとも記載されています。しかし、これは次のようになりました。 虚偽 、プログラムを破るのが非常に簡単になります。

多くのサイバーセキュリティアナリストは、Jigsaw は次のような製品であると結論付けています。 アマチュア あまりよく計画されていなかったため、おそらく十代の若者は成績を上げすぎたでしょう。研究者がプロセスを簡単に発見して阻止できたことは、ハッカーがマルウェア作成の経験があまりないことを示していました。このことから、ジグソー システムは脅威というよりはむしろ挑戦だったという結論につながります。

Jigsaw ランサムウェアの身代金の支払い

身代金画面には、次の識別子が表示されます。 ビットコインウォレット 。被害者は要求されたビットコインを購入し、そのウォレットに割り当てることになっています。

この画面には、支払いが完了したら被害者が押さなければならないボタンも含まれています。次に、システムはアカウントの入金を確認し、それが検出された場合は、 プログラムを更新する すべてのファイルを復号化し、すべてのランサムウェア コンポーネントを削除して、コンピュータを元の状態に戻します。

ジグソーのバリエーション

たくさんありました ジグソーのバリエーション 、それぞれが異なる身代金画面、暗号化されたファイルに使用される異なる拡張子、および異なる侵入方法によって示されます。身代金の額もバージョンごとに変わりました。最初の具体化では 150 ドルを要求されましたが、その後の亜種の要求は 10 ドルから 380 ドルの範囲でした。オリジナルのジグソーには、 。楽しい 拡張子であり、開発者は最初にこの名前をランサムウェアに使用しました。

Jigsaw マルウェアの新しいバージョンは、デマンド画面の言語の変更、コードの改良、ランサムウェア画面レイアウトの変更、または元の Jigsaw とほぼ同一の別の名前のランサムウェアのいずれかでした。

いくつかのバリエーションが使用されています 連絡先メールアドレス いくつかの異なるアドレスが使用された暗号化されたファイル拡張子として。これは、亜種の多くがジグソー コードを入手した他の個人によって適応されたことを示唆している可能性があります。

Jigsaw ランサムウェアからの回復

サイバーセキュリティ アナリストは、Jigsaw ランサムウェアとそのすべての亜種が次のようなものである可能性があることをすぐに発見しました。 簡単に負ける 。身代金画面には、ユーザーがプロセスを停止しようとすると 1,000 個のファイルが削除されると記載されていますが、実際はそうではありません。

Jigsaw から無料で回復するには、次の手順に従ってください。

  1. を開きますタスクマネージャーそして 2 つのプロセスを強制終了します。これらはFirefoxそしてドロップボックス。あなたが持っているバリアントでは、これらのいずれかまたは両方が使用されている可能性があります。両方が見つからなくても、心配する必要はありません。どちらも実行されていないことを確認してください。
  2. を開きます起動するタスク マネージャーのタブをクリックし、そこにある Firefox や Dropbox のエントリを無効にします。
  3. をクリックして、CheckPoint ジグソーパズル ソルバーをダウンロードします。 ここ 。 JPS.zip ファイルを解凍します。
  4. 解凍したディレクトリに移動し、右クリックします。JPS.exeファイル - 選択管理者として実行
  5. ジグソーパズル ソルバーの指示に従ってください。

チェックポイントユーティリティ ジグソー プログラムを騙す 身代金が支払われたと思わせるため、すべての修復プロセスが開始され、すべてのファイルが復号化されます。また、コンピュータから Jigsaw ランサムウェアのすべての要素を削除してクリーンアップします。

ジグソーの 2 つの特徴により、扱いやすくなります。まず、感染するだけです 1台のコンピュータ 一度に;ネットワーク上でそれ自体を複製することはありません。第二に、それは すぐに発火する コンピュータにインストールした後にコピーが保存されるため、コンピュータにコピーが眠っている可能性を心配する必要はありません。

Jigsaw ランサムウェアからの保護

ジグソーはしばらくの間再び現れていません。しかし、クリエイターたちは、 決して逮捕されず、 したがって、彼らはまだ活動しており、いつでもキャンペーンを再開することができます。暗号化を元に戻す簡単な解決策はありますが、これらのハッカーは、攻撃を受けた一部の人が パニック 無料の解決策を探さずに、できるだけ早く身代金を支払います。

Jigsaw の背後にいるハッカーは、 決して特定されなかった 。彼らがどの国で活動しているのかさえ判明していませんでした。Web 上には、Jigsaw の弱点を説明する多くの研究が公開されており、ハッカーはその分析をすべて読んでいる可能性が高くなります。彼らは今そこにいるかもしれない、 硬化 ランサムウェアを打ち破るのを難しくします。

Jigsaw ランサムウェアはコンピュータ ユーザーによってダウンロードされます。したがって、このランサムウェアやその他のランサムウェアによる今後の攻撃に対する重要な保護策は、次のとおりです。 ユーザーコミュニティを教育する 不明な送信元からのメールの添付ファイルのダウンロードについて。また、ユーザーが会社のコンピュータに不正なソフトウェアをダウンロードすることを防ぐために、ユーザーに罰則を設けることも良い考えです。

インテリジェンスも備えている必要があります サイバーセキュリティ ソフトウェア すべてのエンドポイントにインストールされ、セキュリティ監視ソフトウェアに投資します。

Jigsaw ランサムウェアに対する防御に最適なツール

デスクトップ コンピュータは Jigsaw ランサムウェアに対して最も脆弱であるため、 エンドポイントの検出と応答 すべてのエンドポイントを保護するスイート (EDR) パッケージ。次のようなデータ プライバシー標準に拘束されている場合、 ヒパアPCI DSS 、 または GDPR 、機密データをあらゆる攻撃から守るためのセキュリティ ソフトウェアが必要です。

EDR システムは、元のウイルス対策システムから進化しました。 AV は既知のマルウェア リストにあるコンピューター上で実行されているファイルまたはプロセスをチェックしましたが、EDR はより洗練されています。 IT 部門がサイバーセキュリティ研究所で新しいマルウェアを認識し、調査し、ソリューションを生み出すまでには時間がかかります。その期間中に、多くのコンピュータがいわゆる「」に感染する可能性があります。 ゼロデイ攻撃 」最新の EDR システムはブラックリストに依存しません。代わりに、彼らが探しているのは、 異常な行動

健全な EDR システムは、クライアント間で攻撃に関する情報を共有します。これにより、経験を蓄積することで研究室が削減されるため、EDR の導入が完了するとすぐに 新しいウイルス 1 つのクライアント サイトで、世界中で動作しているその EDR の他のすべてのインスタンスがそれを認識します。

Jigsaw やその他のランサムウェアから保護するために必要な保護ソフトウェアの種類の 2 つの例を次に示します。

1. CrowdStrike Falcon Insight (無料トライアル)

クラウドストライク ファルコン インサイト

クラウドストライク ファルコン インサイト は、企業全体で調整された EDR です。これには、すべてのエンドポイントにインストールされたモジュールに加えて、クラウドベースの中央コントローラーが含まれます。エンドポイント エージェントは、CrowdStrike が販売するスタンドアロンの次世代ウイルス対策システムの実装です。これはと呼ばれます ファルコン・プリベント

エンドポイントエージェントは完全に 自律的 コンピューターがネットワークから切断され、Insight コントローラーに接続できない場合でも動作し続けます。通常、このモジュールはエンドポイントを監視し、分析のためにイベント データを Insight クラウド システムにアップロードします。クラウドシステムでも受信可能 自動化された脅威インテリジェンス Insight ユーザーコミュニティから。

エンドポイント エージェントが探すのは、 異常な活動 発見した場合には即座にアクションを実行できます。応答に関する指示も Insight システムから送信されます。このサービスは、プロセスの強制終了、ファイルの削除、ネットワークからのデバイスの分離、ユーザー アカウントの一時停止、不審な IP アドレスとの通信のブロックを行うことができます。これらのアクションはすべて、ジグソーを扱うのに適しています。

Falcon Insight の機能は、 ゼロデイ攻撃 既知のマルウェアのリストも含まれます。 Insight クラウド モジュールの調整機能により、1 つのエンドポイントが攻撃されるとすぐに、他のすべてのエンドポイント エージェントが警戒状態になります。

を得ることができます15日間の無料トライアルファルコンプリベントの。

CrowdStrike Falcon Insight 15 日間の無料トライアルを開始する

二。 ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus 機密データを保護するためのシステムです。このパッケージは、HIPAA、PCI DSS、GDPR などのデータ プライバシー標準に準拠する必要がある企業を支援するために設計されました。データ保護システムは、データが破損していないか不正確でないことを保証し、適切に使用できるようにその可用性を維持する必要があります。一部のマルウェア攻撃は、盗んで販売または公開することを目的としています。 個人を特定できる情報 (PII)。

DataSecurity Plus は位置を特定し、 機密データを分類します そしてそれを守ります。このシステムはファイル整合性監視を実装しており、ファイルへの不正な変更や不正な移動について警告を発します。サービスモニターは 電子メール そして USB デバイス ダウンロードをブロックし、データの漏洩を防ぎます。

このセキュリティ サービスは、Jigsaw やその他のほとんどのランサムウェアの標的となる Windows システムを保護します。このパッケージは、検出された攻撃に対する自動応答を設定するためのオプションを管理者に提供します。

ManageEngine DataSecurity Plus のソフトウェアは次の場所にインストールされます。 Windowsサーバー、 利用可能です 30日間の無料トライアル

^