すでにお伝えしたとおり、継続的に進化してきたランサムウェア「TeslaCrypt」の作成者が、突如として配布停止を決め、マスター復号キーを公開しました。このマスターキーを使えば、最新バージョンのTeslaCryptに暗号化されたファイルの復号が可能です。
Kaspersky Labのマルウェアアナリストが、このマスターキーを利用して当社のRakhniDecryptorツールをバージョン1.15.10.0にアップデートしました。RakhniDecryptorは、ランサムウェア数種の被害を受けたファイルを復号するために作られたツールです。今回のアップデートにより、TeslaCrypt v3およびv4にも対応可能になりました。
アップデート前のRakhniDecryptorは、TeslaCrypt v1およびv2の影響を受けたファイルに対応していました。マスターキーが公開されたことで、TeslaCrypt v3およびv4にも対応するようになった次第です(v3とv4は、カスペルスキー マルチプラットフォーム セキュリティなどのカスペルスキー製品で検知名Trojan-Ransom.Win32.Bitmanとして検知)。
ランサムウェアの被害に遭い、暗号化された後のファイル拡張子が以下のいずれかの場合、当社のツールでファイルを復元できる可能性がありますので、ぜひお試しください:
「.xxx」「.ttt」「.micro」「.mp3」、または暗号化前と同じファイル拡張子
「vvvウイルス」とも呼ばれたランサムウェア、TeslaCryptのマスターキーが公開されました。TeslaCryptの全バージョンに対応する復号ツールが提供されています。その経緯。https://t.co/YiqsiaHOiA pic.twitter.com/OSdmht1sdc
— カスペルスキー 公式 (@kaspersky_japan) May 20, 2016
ファイルを復号するには、以下の手順に従ってください。
- 当社のサイトからRakhniDecryptorをダウンロードし、お使いのPCにインストールします(リンクをクリックすると、すぐにダウンロードが始まります)。
- RakhniDecryptor.exeを実行します。
- [Change parameters]リンクをクリックします。
- スキャンするオブジェクトを選択します。ハードディスクだけを選択すればよいケースがほとんどですが、リムーバルディスクがインストールされていたり、ネットワークドライブに接続されていたりする場合は、これらも選択してください。
- [Delete crypted files after decryption](復号した後で暗号化されたファイルを削除)を選択すると、暗号化されたファイルをハードディスクから削除できますが、このオプションは選択しないでください。暗号化されたファイルが正しく復号されたことを確認してから、復号前のファイルを削除することをお勧めします。[OK]をクリックします。
- [Start Scan]ボタンを選択します。
- [Specify the path to one of encrypted files]ダイアログで、復元する必要があるファイルを選択し、[Open]をクリックします。
- ファイルの復元が完了するまで待ちます。この処理には、しばらく時間がかかる可能性があります。
※注:RakhniDecryptorほか当社の無償提供ツールは、サポート対象外となっております。ご了承ください。
当社のツールが、ファイルの復元に役立ちますように。他のランサムウェアの被害に遭わないためにも、事前に対策を講じることをお勧めします。たとえば、カスペルスキー マルチプラットフォーム セキュリティでは、ランサムウェアがファイルの暗号化を開始する前に食い止めることができます。