CryptXXXバージョン3に対応する無料復号ツール

2016年12月20日

2016年4月、「CryptXXX」の名で知られるランサムウェアがリリースされました。CryptXXXは、悪名高いエクスプロイトキットであるAnglerやNeutrinoを介して配布されます。このマルウェアを作成した者たちは、CryptXXXに感染した被害者のポケットからビットコインウォレットへお金が流れていくのを、ソファに寝そべって悠然と眺めているつもりだったことでしょう。しかし、事は彼らの思惑どおりに運びませんでした。

CryptXXXの発見(英語記事)から数日後、Kaspersky LabのエキスパートはCryptXXXのファイル暗号化アルゴリズムにミスがあることを突き止め、復号ツールの作成に漕ぎ着けました。それが、CryptXXXに暗号化されたファイルを復号可能な無料ツール「RannohDecryptor」でした。

居心地良くソファにおさまっていた犯罪者たちは、飛び起きてバグの修正に取り掛かることになりました。こうして新バージョンのCryptXXXが流布し始めましたが、そのわずか数日後、当社のエキスパートはCryptXXXバージョン2に対応するようにRannohDecryptorをアップデート。このマルウェアの新バージョンに感染した人でも、身代金を支払わずにファイルを復号可能になりました。

新しいバージョンも阻止された犯罪者たちは、もはや誰も復号ツールを作り出せないことを願いつつ、たちまちバージョン3を作成したのでした。

今回は、ほぼ思惑どおりでした。CryptXXX バージョン3は、かなりの期間にわたって世界中の人々を脅かしました。ファイルを暗号化し、ファイルを元通りにするのと引き換えに身代金を要求するだけでなく、さまざまなアプリケーションから認証情報をかすめ取ることも可能でした(英語記事)。

バージョン3の流布は5月に始まり、当社エキスパートの推定によると感染者は数十万人に上ると見られました。カスペルスキー製品だけがCryptXXX v.3を検知し、感染使用という試みをおよそ80,000件阻止。全攻撃の約4分の1が米国の人々を標的としている一方、ロシア、ドイツ、日本、インド、カナダにて検知された感染試行回数を合算すると全体の28%に及びました。

身代金の要求メッセージはCryptXXXのバージョンによって異なりますが、ほとんどが上記の例と同じです

しかし、何事も永遠には続きません。このたび当社の復号ツール「RannohDecryptor」は、CryptXXXバージョン3にも対応可能となりました。このツールは、暗号化されて拡張子が「.cryp1」「.crypt」「.crypz」になってしまったファイルの復号が可能です。RannohDecryptorは、当社のサポートサイトおよび「No More Ransom」プロジェクトのポータルサイト(英語サイト)から入手いただけます。

万一CryptXXXの被害に遭った場合は、上記いずれかのWebサイトよりRannohDecryptorをダウンロードしてお使いください。CryptXXXにより暗号化されたファイルのほとんどを復号可能なこのツールは、無料でご利用いただけます。

Kaspersky Labのセキュリティエキスパートであるアントン・イワノフ(Anton Ivanov)は、次のように述べています。「ランサムウェアの被害に遭った方々には、金銭の支払いは控えていただきたい、そのときに復号ツールが存在していなくてもいずれ用意される可能性は高いので、影響を受けたファイルを保存して辛抱強くお待ちいただきたい、とお伝えしています。このCryptXXX v.3のケースが我々のアドバイスの裏付けになるでしょう。世界中のセキュリティエキスパートたちは、ランサムウェアの被害者を手助けするための活動に継続的に取り組んでいます。遅かれ早かれ、大半のランサムウェアに対するソリューションは見つかることでしょう」。

このアドバイスに加え、先を見越してあらかじめ対策を講じておくこともお勧めします。そもそも、ファイルを暗号化されないようにする方が、はるかに好都合です。そのためには、次の2つの基本的対策をお忘れなく。

  1. 取り外し可能で、コンピューターに常時接続されていないメディアに、日頃からデータをバックアップする。
  1. 性能の高いセキュリティ製品をインストールする。なお、先日実施された第三者機関の調査では、カスペルスキー インターネット セキュリティカスペルスキー セキュリティのWindows対応プログラム)がランサムウェアに対して非常に高い防御力を示しました。