Shadeというランサムウェアを覚えていますか?今回改めてShadeについて取り上げるのは、もうこのランサムウェアが脅威ではなくなったことをお知らせするためです。当社では以前、Shadeによって暗号化されてしまったファイルを元に戻すための復号ツールを開発しましたが、これまでは古いバージョンのShadeにしか対応していませんでした。このたび、それより新しいバージョンのShadeにも対応したツールを、当社では先日公開しました。
ランサムウェア「Shade」とは
Shade(別名:Troldesh)は、2015年に拡がり始めたたちの悪い暗号化型ランサムウェアです。Office文書、画像、アーカイブその他のファイルを暗号化し、元に戻す代わりにお金の支払いを迫ります。Shadeが暗号化してしまったファイルには独特の拡張子が付きますが、Shadeのタイプによっては「.breaking_bad」「.da_vinci_code」といった拡張子が使われていました。Shadeはまた、感染先のコンピューターでファイルを暗号化してしまった後に、別のマルウェアをダウンロードしていました。
2016年、当社のマルウェアアナリストは、当時存在していたバージョンのShadeによって暗号化されたファイルを復号するツールを作成しました。これが可能だったのは、警察との連携、復号鍵を含むサーバーの押収、そしてセキュリティリサーチャー間の連携があってのことでした。
しかしShadeを操る犯罪グループは活動をやめたわけではなく、この復号ツールが使えないような新たな種類のShadeを作り出し続けました。Shadeの拡散は続き、2019年半ばまで活発な活動が見られていました。
Shadeの背後にいる人々
事態は徐々に変化しました。2019年終盤から2020年初めにかけて、Shadeに感染する人の数は、前年に比べて著しく減少しました。その後、Shadeを操っていた犯罪グループが、このマルウェアを放棄すると発表しました。さらにはこれまで生じさせた被害に対して謝罪すると共に、ファイルを復号するための鍵を75万件、公開したのでした(リンク先は英語)。
まさに、復号ツールをアップデートするチャンスであり、私たちはこの機を逃しませんでした。新しい復号ツールは、noransom.kaspersky.comにて公開されています(「Shade Decryptor」でページ内を検索してください)。このツールは、Shadeの全バージョンに対応しています。
これまで私たちは、復号ツールが今なくても、身代金を支払わないことをお勧めしてきました。ツールがいずれ、開発される可能性があるためです。今回は、その一例となったと考えています。
後で対処するより予防を
Shadeにファイルを暗号化された方々がファイルを取り戻せるようになったことは、とても喜ばしいことです。しかし、最初からファイルを失うことがなければ、なお良しです。そこで、ランサムウェアの被害に遭わないための基本を、ここで改めてお伝えしたいと思います。