Petyaランサムウェアにバグ:復号ツールが開発される

2016年4月13日

バグを歓迎することなど、普通はありません。でも、今回は例外です。

Petyaランサムウェアのコードに見つかったバグ、つまり欠陥のおかげで、身代金を支払わなくてもデバイスのロックを解除できるツールが開発されました。

petya-ransomware-fb-3

デバイスを使い物にならなくするランサムウェアPetyaについて注意を促す記事を、当ブログでは先日公開したところでした。@Leostoneと名乗るTwitterユーザーに、大いなる拍手と称賛を送りたいと思います。

この人のTwitterアイコンは卵なので、この復号ツールが本当に動くのかと疑う人もあるでしょう。そこで、当社の調査チームに確認を依頼しました。

その結果、このツールが本当に機能することが確認されました。ただし、いくつか問題点があります。まず、@leostone氏はこの復号ツールをWebページとして作成しました。このWebページでデータの復号鍵が生成されるのですが、現時点で、このページになかなかアクセスできないという問題が発生しています。どうやら、今すぐ問題を解決したいと願うPetya被害者が多すぎて、このページのホスティングプロバイダーが対応しきれないようです。

また、復号するには、ハードディスクを取り外して別のPCに取り付けなければなりません。続いて、ハードディスクのあるセクターから特別なデータを抽出し、それをBase64デコーダーでデコードして、このサイトにアップロードすると…鍵が手に入ります。これをPetyaに食わせれば、ハードディスクが復号されます。

このとおり、手順はかなり複雑で、ある程度のスキルが要求されます。この手順を、別のTwitterユーザー、ファビアン・ウォーサー(Fabian Wosar)氏が簡略化してくれました。この作業の面倒なところを代わりにやってくれる特別なツール、Petya Sector Extractorを開発したのです。それでも、ハードディスクを取り外し、それを差し込むPCを見つけなければなりませんが、それさえ何とかすれば、このツールが必要なデータを抽出し、処理してくれます。その後は、ツールから出力されたデータを、@leostoneのWebページにあるフォームに入力するだけ。これで、鍵を入手できます。

Petya sot

Kaspersky Labの調査チームは、このツールがPetyaのプログラム上の欠陥を利用していることも確認しました。ということは、企業が脆弱性にパッチを適用するのと同じように、データを復号できてしまう不具合が修正された新バージョンのPetyaが、おそらく1週間かそこらのうちに登場するでしょう。

もし、Petyaの被害に遭ってしまったけれども480ドル余りの身代金を支払いたくないという場合は、https://petya-pay-no-ransom.herokuapp.com/にアクセスして、このツールを試してみてはいかがでしょう。また、Petya Sector Extractorはこちらからダウンロードできます(ダウンロードリンク)。ただし、これらのツールを使用するには、ある程度の技術的ノウハウが必要です。復号に必要な手順と技術については、Bleeping Computerのチームが解説してくれています(英語記事)。