暗号化されたファイルを復号するツール:ランサムウェアYatronおよびFortuneCryptの場合

2019年10月25日

ランサムウェアは、一般のコンピューター利用者にとってもエキスパートにとっても、大きな頭痛の種です。ランサムウェアに暗号化されたファイルを元に戻すのは簡単なことではなく、多くの場合は復旧が不可能です。それでも、まったく望みがないわけではありません。このたび、Kasperskyのエキスパートは、ランサムウェア「Yatron」「FortuneCrypt」によって暗号化されたファイルを復号するツールを開発し、公開しました。

Yatronによって暗号化されたファイルを元に戻す方法

Yatronは、「Hidden Tear」という暗号化型ランサムウェアをベースにしています。Hidden Tearとその拡張版であるEDA2に関しては、少々普通でない話があります。数年前のこと、トルコのリサーチャーであるウトゥク・セン(Utku Sen)氏が、教育と研究を目的に、これらマルウェアを作成してインターネット上にソースコードを公開したのでした。その遺産は今にも受け継がれています。Hidden Tearを元にしたランサムウェアの新種は今でも見つかっており、Yatronもその1つにすぎません。

幸いなことにYatronのコードにはバグがあり、当社エキスパートは復号ツールを作成することができました。ロックされてしまったファイルの拡張子が「.yatron」である場合は、No More RansomWebサイトから復号ツールをダウンロードしてご利用ください。

FortuneCryptによって暗号化されたファイルを元に戻す方法

もう1つのランサムウェア「FortuneCrypt」は、C/C++ やPythonのような高度な言語ではなく、かなりシンプルなBlitzMax(BASICの派生言語)を使用しています。当社がこれまでマルウェアを追跡してきた中で、この言語に遭遇したのは今回が初めてです。

当社エキスパートは、このマルウェアの暗号化アルゴリズムに欠陥があることに気づき、復号ツールを開発することができました。FortuneCryptによる暗号化の被害に遭った場合も、復号ツールをNo More RansomのWebサイトからダウンロードすることができます。

ランサムウェアの被害に遭ったら、どうすべきか

何よりも、身代金を支払わないでください。支払ってもサイバー犯罪者の活動を促進するだけであり、データを元に戻せる保証はありません。まずはNo More RansomのWebサイトにて、該当する復号ツールを探すことをお勧めします。No More RansomはKaspersky、インターポール、オランダ警察など世界各地のサイバーセキュリティ企業および法執行機関のエキスパートによって作成されたもので、ランサムウェアによる被害を少しでも和らげることを目的としています。ここに公開されている復号ツールは何百種ものランサムウェアプログラムに対応しており、いずれも無料で利用することができます。

ランサムウェアに感染しないために

最後に、ランサムウェアに感染しないためのヒントをご紹介します。

  • よく知らないWebサイトや疑わしいWebサイトから、ソフトウェアやアプリをダウンロードしないようにしましょう。ソフトウェアやアプリの名前に怪しいところがないように見えても、名前とは関係のない、危険なものが含まれているかもしれません。
  • よく知らない差出人から届いたメールに記載されたリンクをクリックしたり、そういったメールに添付されたファイルを開いたりしないでください。不審なメールや心当たりのないメールを友人や同僚から受け取った場合には、相手に電話して、こういったメールを実際に送ったのか、ファイルやリンクを開いても大丈夫かを確認しましょう。
  • 使用しているOSや、よく使うソフトウェアやアプリには、最新のアップデートをインストールしましょう。ランサムウェア開発者がよく使う脆弱性を塞ぐことができます。
  • 信頼できるセキュリティ製品をインストールしましょう。ソフトウェアやアプリがセキュリティ製品の無効化を要求してきても、無効にはしないでください。
  • 重要なデータはバックアップを取り、クラウド上、USBメモリ、その他外付けドライブに保存しましょう。