復号ツールになりすますZorab:STOPに暗号化されたファイルをさらに暗号化

ランサムウェア「STOP」によって暗号化されたファイルを復号するためのツールになりすます、別のランサムウェア「Zorab」。

ランサムウェアに自分のファイルを暗号化されてしまったことに気付いたとき、人はどうするでしょうか。最初はおそらく慌てるでしょう。それから心配になり、犯人に身代金を払わないでデータを元に戻す方法を探し始めます(払っても元に戻せる保証はないですし)。おそらく、解決策をGoogle検索で探すか、SNSで助けを求めることでしょう。実はそれこそ、ランサムウェアZorabの作者たちが望むことでした(リンク先は英語)。Zorabは、STOP/Djvuという別のランサムウェアに暗号化されたファイルを復号するとうたうツールの中に潜んでいました。

釣り餌に使われた、偽物のSTOP用復号ツール

STOP/Djvuという暗号化型ランサムウェアは、暗号化したファイルの拡張子を.djvu、.djvus、.djvuu、.tfunde、.uudjvuに変えてしまいます(どの拡張子になるかはSTOP/Djvuのバージョンによって異なる)。Zorabの作者たちは「STOP/Djvuによって暗号化されたファイルを復号する」とうたうツールを公開しましたが、実際には、このツールは暗号化されたファイルを再度暗号化してしまいます。被害者からするとダブルパンチです。

STOPの初期のバージョンによって暗号化されたファイルは、2019年10月にEmsisoftから復号ツールがリリースされており(英語)、復号可能です。しかし、もっと新しいバージョンでは、現代のテクノロジーでは解読できない、より信頼性の高い暗号アルゴリズムが使われています。そのため、少なくとも現時点では、STOP/Djvuの最近のバージョンに対する復号ツールは存在しません。

「現時点では」と付け加えたのは、いずれ復号ツールが現れる可能性があるためです。暗号アルゴリズム中にエラーがある(または単に弱い暗号化を使用している)場合、または、警察が犯罪者の運用するサーバーを特定して差し押さえた場合が主なケースです。マルウェア作者が自発的に復号鍵を公開する場合も確かにありますが、その可能性は大変低く、仮に鍵が公開されたとしても、被害を受けた人がデータ復旧に使えるようなツールを情報セキュリティ各社で開発しなければなりません。こうしたレアケースの一つがランサムウェアShadeの例で、今年4月に当社は復号ツールを公開しました。

復号ツールが偽物であることを見抜くには

匿名の善意の人が復号ツールを作ってどこかに公開してくれる可能性は限りなくゼロに近く、ましてやそのようなツールを手に入れる場所への直接のリンクを掲示板やSNSに投稿してくれることなどまずありません。本物のそういったツールが公開されているのは情報セキュリティ企業のWebサイト上か、ランサムウェア対策に特化したWebポータル(https://noransom.kaspersky.com/ja/など)です。それ以外の場所に公開されているツールについては、まずは疑うのが賢明です。

サイバー犯罪者は、慌てる心に付け込みます。彼らは、暗号化型ランサムウェアによってファイルを暗号化されてしまった人が、どんな藁にでもすがるだろうと分かっています。自分が手に入れようとしているのが確かに本物の復号ツールだと思っても、心を落ち着け、客観的になり、そのWebサイトの真偽を確認することが大切です。少しでも怪しいと感じるところがあったら、そのツールの使用を避けてください。

Zorab などのランサムウェアから身を守るには

  • 疑わしいリンクをクリックしない。また、信頼性が危ぶまれる出所から手に入れた実行可能ファイルは実行しない。復号ツールを探す場合は、当社のhttps://noransom.kaspersky.com/ja/nomoreransom.org(複数企業および団体による共同プロジェクト)といったランサムウェア対策のWebサイト、あるいはセキュリティ製品のベンダーのWebサイトで探すようにしましょう。それ以外の場所で見つかったツールについては、作者について、またそのツールを配布するWebサイトについて、正当性を十分に確認してから入手することを強くお勧めします。
  • 重要なファイルのバックアップコピーを作成しておく
  • 既知のランサムウェアを検知し、未知のランサムウェアに遭遇した場合にはその存在を特定してファイル変更の試みを阻止する、信頼できるセキュリティ製品を使用する。

企業向けには、他社のセキュリティ製品が導入された環境でも動作する、ランサムウェア対策に特化した無料ツール「Kaspersky Anti-Ransomware Tool」をご用意しています(リンク先は英語)。万一、防御を破ってランサムウェアが侵入した場合でも、追加の防御層として機能します。

ヒント