「.mars」拡張子に暗号化するMARSランサムウェアの身代金要求ファイル(!!! MARS_DECRYPT.TXT)
クリックすると拡大表示
データファイルの拡張子を「.mars」に変えて暗号化をしてしまいます。
元のファイル名.mars
に置き換えられます。
身代金要求ファイルは「!!! MARS_DECRYPT.TXT」です。
感染経路は、emotet等のスパムメール、ソフトウェアのダウンロードからの侵入と分析している所が多いようですが、当社では感染がWindows ServerのVM内、Hyper-V内の被害が多発している事から他の感染経路による被害の可能性があると考えています。
→2021/4/21追記 emotetの犯罪グループは2021年1月に制圧されました。その為、marsランサムウェアの感染経路は限られてきました。その防止方法についてはコンサルティングにてご説明しています。
暗号化されたファィルと身代金要求ファイルだけをコピーしたHDDを送るから元に戻してくれといわれるITサービス会社さんが後を絶ちません。ご依頼はVMイメージをお送りいただくか、VMイメージを展開したノートPC等をお送りいただかないと元には戻せません。
→2021/4/21追記 レンタルサーバー内のVMにも対応できるようになりました。お困りの方はご相談ください。
暗号化されたファィルと身代金要求ファイルだけをコピーしたから、感染領域をクリアしたと言われたITサービス会社さんがありましたが、永遠にデータは戻りません。ご自分で処理する前にご依頼ください。
MARSランサムウェアの特徴として、desktop.telegram.org のテレグラムを利用した犯罪者との交渉を要求されるのが特徴です。
→2021/4/21追記 犯罪者のサーバー位置の特定ができています。捜査関係者様からのお問い合わせがあればご説明いたします。
実行ファイルは、rkxcukva.exe 55KB です。
セキュリティソフト各社の分類は次の通りです。
Microsoft VirTool:Win32/RemoteExec
Symantec Remacc.Remadmin
Kaspersky HackTool.Win32.Remoxec.c
当社に依頼されたmarsランサムウェアの身代金は、USD $500 から $3000でした。海外では$500の報告ばかりです。
身代金要求文の中で、暗号化したファイル数に応じて身代金を決定しているから値引き要求をするなと書かれていますが、少ない暗号化ファイル数であっても国内の被害者には$3000の要求が多くなっています。
当社では2通りの解決方法を持っています。
犯罪者と交渉をしないでデータを取り戻す手法も開発しています。感染後すぐに依頼されれば、高い取得率があります。時間の経過とともに取得率は下がります。
取得率が100%近い復号サービスもあります。
データを戻した後の再発防止コンサルティング、感染経路調査コンサルティング、業務再運用コンサルティングをしています。
無料相談(10分程度)もしていますので、すぐに行う措置を説明しています。
被害に遭われた方々のお力になれると思います。
暗号化されてしまう被害に遭うと何か月か置いてから2次感染、3次感染と被害が続きます。適切な再発防止措置が必要です。
どのようなケースであってもデータを戻す復号サービスをしています。お困りの方はご連絡下さい。
※当社プログの記事を勝手に引用しているCyberSecurity.comという業者がいます。その寄せ集めの情報には、かなり誤った情報が書かれています。当社の記事は実際にランサムウェアに対応した作業や事実に基づく内容です。当記事は転載禁止です。
