Phobosランサムウェアは、2017年10月に欧米で感染例があった後、感染のないランサムウェアでした。
しかし、2018年の冬以降に欧米にて感染し始め、2019年初頭から日本国内の感染事例が出てきました。
2019年初頭の身代金要求画像です。
Dharmaランサムウェアの身代金要求画像に似ています。タイトルバーにはPhobosの文字があり、右下にはPhobosのロゴマークがあります。ただ、24時間以内に犯罪者から返答がなければここにメールを送れというメールアドレスの記載がなくて中途半端です。
その後、国内の感染で使われた身代金要求画像は、
となり、文章が非常に多くなりました。返答がなければここに送れというメールアドレスが2つになりました。
万が一メールが届かない場合のことを考えての記載だと思いますが、もうひとつの理由があるように思えます。
Phobosランサムウェアの前身であるDharmaランサムウェアでは、開発元の犯罪者は感染配布する犯罪者をダークウェブ上で募集して、被害者との交渉を感染配布した犯罪者に行わせています。通常の商売であれば、代理店として機能するのでしょうが、なにせ犯罪者です。被害者からの金の半分以上を開発元に支払って、被害者のデータ復号をしてやるほど人徳のある人達ではありません。金をもらったら、それっきりの事例がDharmaでは後を絶ちません。
それを改善する為に、開発元のメールアドレスを記載しているのではないかと思っています。
Phobosランサムウェアは拡張子を次のように変化してきています。
.phobos
.phoenix
.acton
.actin
.actor
.adage
.Adame
.help
.mamba
.blend
.acute
.1500dollars
.banjo
.banta
.BANKS
.barak
.deal
.calix
.Caleb
.Dever
.devil
.Calum
.deuce
この流れから、マイクロソフトの分類は「Phoenix ransomware」とされています。
これだけの拡張子に変わりながら感染拡大しているという事は、犯罪者に安定的にもうけが出ている事だと思います。
2019年秋以降の身代金要求画像は次のように変化しました。
タイトルが「encrypted」と変わり、右下のPhobosのロゴマークはなくなりました。
その後、
と変わりました。「In case of no answer 24hours …」の文がなくなりました。万が一メールが届かない場合には、開発元が対応するぞという事なのでしょう。
今回は久しぶりにブログを書きましたので、詳しい内容は次回にしたいと思います。
当社では2通りの解決方法を持っています。
犯罪者と交渉をしないでデータを取り戻す手法も開発しています。感染後すぐに依頼されれば、高い取得率があります。時間の経過とともに取得率は下がります。
取得率が100%近い復号サービスもあります。
無料相談(10分程度)もしていますので、取りあえずの措置を説明しています。
被害に遭われた方々のお力になれると思います。
