もう身代金は払わない

2016年7月29日

昨年、Kaspersky Labはオランダ警察と共同で「NoRansom」というWebサイトを立ち上げました。ランサムウェア「CoinVault」の被害者がデータへのアクセスを取り戻すための支援を目的とするサイトです。このサイトは後に拡張され、TeslaCrypt、CryptXXXなどの暗号化型ランサムウェアによって暗号化されたファイルを復号するための無料ツールも追加されました。

nomoreransom-featured

そしてこの度、当社はランサムウェアとの戦いにおいて、大きな一歩を踏み出します。オランダ警察、ユーロポール、Intel Securityと共同で、ランサムウェア対策サイト「NoMoreRansom.org」を開設しました。今後、復号ツールを当サイトに集約していくことを予定しています。

開設に伴い新たに追加されたのは、ランサムウェア「Shade」(英語記事)の被害に遭ったファイルを復元するためのツールです。他のツールと同じく、無料でご利用いただけます。

Shade

Shadeは、2015年初頭に登場した暗号化型ランサムウェアのファミリーで、スパムメールまたはエクスプロイトキットを主な媒介として拡散します。危険度が高いのはエクスプロイトキットの方で、標的にファイルを開かせなくても、感染サイトにアクセスさせるだけで感染します。

Shadeは標的のシステムに侵入すると、犯罪者の指揮統制(C&C)サーバーに暗号化キーをリクエストします。C&Cサーバーを利用できないときは、事前に埋め込まれていた暗号化キーの1つを使用します。つまり、インターネットに接続されていないPCでも、システム内に侵入していればShadeは動作可能です。

続いて、このランサムウェアはファイルの暗号化を開始します。暗号化の対象となるファイル形式は、Microsoft Officeファイル、画像、アーカイブなど150種類以上です。暗号化されたファイルの名前には、「.xtbl」または「.ytbl」という拡張子が追加されます。暗号化が完了すると、身代金を要求するメッセージが画面に表示されます。

shade-ransom-demand

攻撃はファイルの暗号化に留まりません。被害者が復号ツールの検索や身代金の工面に追われる間に、Shadeは他のマルウェアを続々とPCにダウンロードします。

無料復号ツールの使い方

Shadeに感染してしまった場合、身代金を支払わなくても、暗号化されたファイルを取り戻すことができます。

  1. NoMoreRansom.orgにアクセスします。
  2. ページを下へスクロールすると、Shade用の復号ツールのダウンロードボタンがあります。2つあるうちの1つはIntel Security製の復号ツール、もう1つはKaspersky Lab製の復号ツールのダウンロード用ボタンです。いずれかをクリックしてツールをダウンロードしてください。
    ※ここでは、Kaspersky Lab製復号ツールの手順を説明します。
  3. ダウンロードしたファイル(ShadeDecryptor.zip)を解凍します。
  4. ShadeDecryptor.exeを実行します。
  5. [Kaspersky ShadeDecryptor]ウィンドウで、[Change Parameters]リンクをクリックします。
kaspersky-shade-decryptor-1
  1. スキャンするディスクのタイプを選択します(Hard drives=ハードディスク、Removable drives=リムーバブルディスク、Network drives=ネットワークドライブ)。
  2. 同じウィンドウで[Delete crypted files after decryption](復号した後で暗号化されたファイルを削除)を選択すると、暗号化されたファイルをハードディスクから削除できますが、このオプションは選択しないでください。ファイルが正しく復号されたことを確認してから、復号前のファイルを削除することをお勧めします。
kaspersky-shade-decryptor-2
  1. [OK]をクリックしてメイン画面に戻り、[Start scan]をクリックします。
kaspersky-shade-decryptor-3
  1. [Specify the path to one of encrypted files]ウィンドウで、暗号化されたファイルを1つ選択し、[Open]をクリックします。
  2. 被害者のIDを自動検出できない、という内容のメッセージが表示されたら、readme.txtファイルのファイルパスを指定してください。readme.txtは身代金の要求メッセージであり、文章中に被害者のIDが含まれています。

※注:当社の無料ツールは、サポート対象外となっております。ご了承ください。

これでファイルは復号されるはずです。今後またランサムウェアの被害に遭うことのないように、自衛策を講じるのをどうぞお忘れなく。対策については、こちらの記事をご参照ください。また、当社のカスペルスキー インターネット セキュリティカスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)は、ランサムウェアによる被害を防止する機能が備わっています。よろしければそちらもご検討ください。