Windowsデバイスに感染し、ファイルのロックに加え、データの複製とビットコインの窃取を行う極めて悪質なランサムウェア、CryptXXXによって暗号化されたファイルを復号化するツールを開発、公開しました。
[本リリースは、2016年4月27日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]
Kaspersky Labは、日本を含む世界各地で感染が増大しているランサムウェアの被害者を保護する取り組みを進めています。その一環として、最近感染が確認された「CryptXXX」によって暗号化されたファイルを復号化するツールを開発しました。CryptXXXはWindowsデバイスに感染し、ファイルのロックに加え、データの複製とビットコインの窃取を行う極めて悪質なランサムウェアです。
CryptXXXには、メールの添付ファイルとWebサイトへのリンクから誘導される、Angler エクスプロイトキットが埋め込まれたWebサイトにアクセスすることで感染します。感染するとファイルの拡張子が「.crypt」に変更され、「強力な暗号化アルゴリズムRSA-4096によってファイルを暗号化した」旨のメッセージとともに、データ復元の対価としてビットコインによる支払いが要求されます。
現在、活動中のランサムウェアは50種類以上あるとみられ、暗号化には複数のアルゴリズムが用いられています。CryptXXXでは、暗号化の方法が不完全だったため、復号化ツールの開発が可能でした。
Kaspersky Labのシニアマルウェアアナリスト ヒョードル・シニツィン(Fedor Sinitsyn)が開発したこの復号化ツールでは、暗号化されてしまったファイルの元ファイルが1つでも残っていれば、残りのファイルを復元できる可能性があります。
復号化の詳細については、Kaspersky Dailyをご覧ください。
なお、CryptXXXで使用されるAnglerエクスプロイトキットは、カスペルスキー製品の脆弱性攻撃ブロック技術によって感染の初期段階で検知でき、HEUR:Exploit.SWF.Agent.gen、PDM:Exploit.Win32.Generic、HEUR:Exploit.Script.Generic名で検出・ブロックします。
ランサムウェアによる感染を防ぐため、以下の対策をお勧めします。
- 定期的にデータのバックアップをとる。
- OSとブラウザーの更新は必ず行う。CryptXXXが使用するAngler エクスプロイトキットは、ソフトウェアの脆弱性を利用します。
- セキュリティ製品をインストールし、最新の状態にする。カスペルスキー マルチプラットフォーム セキュリティは、ランサムウェアに対する多重防御の仕組みを備えています。