ランサムウェア「Maze」「Egregor」「Sekhmet」によって暗号化されたファイルの復号メモ
■概要 2022年2月8日に「Maze」「Egregor」「Sekhmet」の開発者であると自称する「Topleak」という名前のユーザが、BleepingComputerフォーラムでこれらの復号のためのマスターキーを投稿しました。投稿によると、マスターキーの投稿は昨今の逮捕やサーバのテイクダウンとは無関係であり、計画されていたことであると語られています。また、これらの関わっていたチームのメンバーは、決してこのような活動に戻ることはなく、ランサムウェアのソースコードは全て消去するとも書かれてありました。 以下は、この投稿された複数のマスターキーを用いてEmsisoftが復号ツールをリリースしていましたので試したメモです。 ■感染 復号を試すには、まず、当該ランサムウェアに感染しファイルを暗号化させる必要があるため、まず手頃な「Maze」を検証環境上で感染させました。下図、左が感染前、右が感
侵入型ランサムウェア攻撃を受けたら読むFAQ
ランサムウェアを用いた攻撃は、一台から数台の端末の感染被害から、業務停止を引き起こす大規模な感染被害に至るものまでさまざまです。本FAQでは、企業や組織の内部ネットワークに攻撃者が「侵入」した後、情報窃取やランサムウェアを用いたファイルの暗号化などを行う攻撃の被害に遭った場合の対応のポイントや留意点などをFAQ形式で記載します。 JPCERT/CCでは、こうした攻撃を他のランサムウェアを用いた攻撃と区別し、「侵入型ランサムウェア攻撃」と呼びます。 ネットワーク内部の複数のシステムでファイルの拡張子が変わり開封できなくなった、自組織から窃取されたとみられるファイルを暴露する投稿が行われた、または攻撃者から通知が届いたなどの状況を確認している場合、この攻撃の被害を受けている可能性があります。被害に遭われた企業や組織のCSIRTおよび情報セキュリティ担当の方は、インシデント対応を進める上での参考
ランサムウェア被害時の初動対応を解説した資料--JPCERT/CCが公開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます JPCERT コーディネーションセンター(JPCERT/CC)は1月13日、ランサムウェアによる被害が判明した際の初動対応でとるべき行動や留意点などについて解説した資料「侵入型ランサムウェア攻撃を受けたら読むFAQ」をウェブサイトで公開した。 資料は、(1)ランサムウェアの被害を受けた場合の連絡先となるサイバーセキュリティ専門機関や警察、(2)セキュリティベンダーなどの窓口や相談・報告する内容と、初動対応で行うべき調査や検討のポイント、(3)「身代金を支払うべきか?」といったよくある質問への回答――の3章で構成されている。 資料の対象は、ランサムウェアの被害に遭った組織のほか、組織のセキュリティ対策部門や担当者、警察や各種業界を所管する
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Ransomware Actors Attack Most Often on Fridays
Top Ransomware Detection Techniques
Ransomware Detection Through Threat Hunting
