復号ツール
ランサムウェア感染の典型的なパターンは、どこかのWebサイトを開き、何かのソフトウェアをうっかりダウンロードしてインストールしてしまうことです。ダウンロードやインストールをしたことに、気づきもしないかもしれません。しばらくの間は何事もありませんが、あるとき突然、自分のファイルが根こそぎ暗号化されてしまい、暗号化を解く代わりに金銭を要求する通知が突きつけられます。まさか、と思いながら確認してみると、ファイルがすべて開けなくなっている…。そして、ファイルの拡張子が怪しげなものに変わっているのに気付きます。もしかすると「.crypt」という拡張子かもしれません。
まさにこんな状況に陥ったのなら、ランサムウェア「CryptXXX」に感染した可能性があります。CryptXXXは悪質なトロイの木馬で、ファイルを暗号化するだけでなく、個人データとビットコインも盗みます。しかし、朗報があります。CryptXXXに感染したシステムを復旧するフリーツールが存在するのです。
CryptXXXとは
とにかく復号手順を知りたい、という場合は、次の項へ進んでください。ここでは、CryptXXXについて説明します。
4月15日、Proofpointのリサーチャーたちは、Anglerエクスプロイトキットを利用してWindowsデバイスに感染する新種のランサムウェアを発見しました(英語記事)。このランサムウェアには特に名前が付けられていなかったため、リサーチャーたちはCryptXXXと呼び始めました。おそらく、感染したファイルの拡張子が.cryptになってしまうことと、Anglerの第2の名称が「XXX」であることから来たものでしょう。
CryptXXXは、興味深いランサムウェアです。PCに感染すると、短時間のうちに、PCに接続されているデータストレージ上のファイルをすべて暗号化します。CryptXXXがインストールされてから行動を開始するまでには時間がありますが、こうすることで、どのWebサイトからCryptXXXがダウンロードされたのかをわかりづらくしています。
ファイルを暗号化して人質とし、身代金を要求するランサムウェア。被害を受けないために一番重要なのは「事前対策」です。10のヒントをご紹介。(vvvの件についても少し触れます) https://t.co/EUPsqRsXxc pic.twitter.com/H4pUV94zsZ
— カスペルスキー 公式 (@kaspersky_japan) December 7, 2015
暗号化が終了すると、CryptXXXはテキストファイル、画像ファイル、HTMLファイルを作成します。画像ファイルは、デスクトップの壁紙として設定されます(おそらく、メッセージをより明確に伝えるためでしょう)。HTMLファイルはブラウザーで表示され、テキストファイルは予備としてハードディスク上に置かれます。中の文章はどれもほぼ同じです。
文章は、ファイルは(かなり強力な暗号アルゴリズムである)RSA4096で暗号化された、元に戻して欲しければビットコインで$500を払え、という内容です。また、支払い方法の詳細を確認するには、Torブラウザーをインストールして指定のリンクからOnionドメインのWebサイトへアクセスするように、との指示もあります。Onionサイトには支払いフォームがあり、FAQ(よくある質問)まで用意されています。至れり尽くせりです。
これだけでは終わりません。CryptXXXは感染先のハードディスク内に保管されているビットコインを盗み、自分に利するようなその他データもコピーします。
ひどい話だが、手立てはある
今時のどのランサムウェアにも効くような復号アルゴリズムは、なかなか見つからないのが常です。そのため、被害に遭った人は身代金を支払わざるを得ない状況に陥ることが多々ありです。もっとも、身代金を支払うのは、最後の手段にするべきですが。
幸いなことに、CryptXXXは、解読できないほど難しいマルウェアではありませんでした。Kaspersky Labでは、暗号化されたファイルを元に戻すためのツールを作成しました。
ファイルを暗号化して拡張子を「.crypt」に変えてしまうランサムウェア、Cryptxxx。暗号化されてしまったファイルを復号するツールを、当社で無料公開しています。 https://t.co/CdHsy65cMt pic.twitter.com/bdAjE7zNFh
— カスペルスキー 公式 (@kaspersky_japan) May 10, 2016
このツール「RannohDecryptor」は元々、ランサムウェアRannohによって暗号化されたファイルを復号するために作られたもので、後に何度か機能追加が行われています。現在、CryptXXXによって暗号化されたファイルにも対応可能となっています。
ファイルを復号するには、CryptXXXに暗号化されてしまったファイルの元のバージョン(暗号化されていない状態のファイル)が、最低1つ必要です。暗号化されずにいるファイルが多いほど、復号が機能します。
手順は以下のとおりです:
- ツールをダウンロードして起動する。※すぐにダウンロードが始まります
- 画面中ほどの[Change parameters]リンクをクリックし、スキャンするディスクのタイプを選択します(Hard drives=ハードディスク、Removable drives=リムーバブルディスク、Network drives=ネットワークドライブ)。[Delete crypted files after decryption](復号した後で暗号化されたファイルを削除)チェックボックスは、オンにしないでください。オンにするのは、復号されたファイルが正しく開くことを100%確認できた後にしましょう。
- [Start scan]リンクをクリックし、暗号化されたファイル(暗号化されていない元ファイルが残っているもの)の場所を指定します。
- 元ファイルを指定するように指示されるので、指定します。※CryptXXX v2(バージョン2)に感染した場合は、元ファイル指定の指示は表示されません。こちらの記事もご参照ください
- RannohDecryptorは「.crypt」拡張子を持つその他ファイルを検索開始します。ツール内で指定したファイルのサイズが大きいほど、多くのファイルが復号されます。
※注:RannohDecryptorは、CryptXXX v1およびv2に対応しております。
※注:RannohDecryptorほか当社の無償提供ツールはサポート対象外となっております。ご了承ください。
事前に対策しよう
怖いもの知らずでいるよりも、CryptXXXに感染しないようにあらかじめ対策しておきましょう。当社の復号ツールは現在のところ機能していますが、同じランサムウェアのもっと高度な変種が現れるのは時間の問題です。感染した暗号化済みファイルを元に戻せないように、サイバー犯罪者側がマルウェアのコードを変えてくることは珍しくありません。TeslaCryptの例が、そうでした。一時期は有効な復号ツールが存在したのですが、今ではもう通用しなくなっています。
「Invoice」がどうだとかいう謎の英語メールを受け取っている方にお読みいただきたい記事。ランサムウェアTeslaCrypt 2.2.0が世界のあちこちでメールでばらまかれています。https://t.co/LZl125S9dN pic.twitter.com/teFz0QjyTN
— カスペルスキー 公式 (@kaspersky_japan) December 18, 2015
また、CryptXXXが個人データとビットコインも盗むのだと言うことをお忘れなく。こういったものを犯罪者の手に渡すのは、得策ではありません。
対策を講じるには、以下のルールに従いましょう。
- 定期的にバックアップを取る。
- OSとブラウザーの重要な更新は、すべてインストールする。CryptXXXが利用するAnglerエクスプロイトキットは、ソフトウェアの脆弱性を利用してCryptXXXのダウンロードとインストールを行います。
- 適切なセキュリティ製品をインストールする。カスペルスキーの製品であれば、カスペルスキー インターネット セキュリティ(カスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)が、ランサムウェアに対する多層防御機能を備えています。
ランサムウェアから身を守るためのヒントは、こちらの記事で詳しくご紹介しています。
※2016年5月16日更新:ツール使用手順の記述を、よりわかりやすい形に編集
※2016年5月20日更新:ツール使用手順に、CryptXXX v2に対応する場合の記述を追記
※2016年5月24日更新:ツール使用手順に、ツールが対応するCryptXXX のバージョンに関する記述を追記
