2019年10月25日

Kaspersky、ランサムウェア「Yatron」と「FortuneCrypt」によって暗号化されたファイルを元に戻すツールをアップデート

これら両方のランサムウェアには、標的のファイルの取り扱い方法に関して問題があったため、調査チームは暗号化されたファイルを元に戻す方法を見つけることができました。このアップデート版のツールは、No More Ransom(ノーモアランサム)ポータルサイトから入手できます。

[本リリースは、2019年9月26日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyの調査チームは、ランサムウェアの「Yatron」および「FortuneCrypt」によってファイルを暗号化されたユーザーが、身代金を支払わずにデータを取り戻せるよう、「Rakhni Decryptor」ツールをアップデートしました。このアップデート版はNo More Ransom(ノーモアランサム)ポータルサイトから入手できます。

ランサムウェアは個人、企業の両方にとって脅威であり、サイバー犯罪組織は日々、ユーザーを騙すために新種のマルウェアを開発しています。ランサムウェアによってファイルが暗号化されてしまうと、権限を手に入れたサイバー犯罪組織のなすがままになり、ユーザーはファイルに再度アクセスするために多額の金銭を要求されることとなります。

YatronとFortuneCryptはこの種の典型的なマルウェアです。YatronはいわゆるRaaS(Ransomware as a Service)アフィリエイトプログラムに属し、その開発者は悪名高いエクスプロイトEternalBlueとDoublePulsarを、このランサムウェアの拡散ツールとして利用する予定だと報告されていました。Yatronは、標的のファイルを暗号化する際に、ファイルの拡張子を「.Yatron」に変更します。Kasperskyは、その状態のファイルを検知して、元の状態に戻す(復号する)ことのできるツールを開発しました。

もう1つのFortuneCryptは、BlitzMaxコンパイラを使い公開情報に基づいて記述されており、ゲーム開発の初期段階に関わる人向けに開発されたプログラミングフレームワークであるという点で特殊です。

これら両方のランサムウェアには、標的のファイルの取り扱い方法に関して問題があったため、調査チームは暗号化されたファイルを元に戻す方法を見つけることができました。

Kasperskyのセキュリティエキスパートであるオルハン・マメドフ(Orkhan Mamedov)は次のように述べています。「それほど広がりを見せていないこれら2つのマルウェアを、ランサムウェアの脅威情勢における重大な進展であるとはみなせませんが、サイバーセキュリティコミュニティが成功度の小さいランサムウェアに注意を払わなくても良いわけではありません。同コミュニティでは、現在ランサムウェアに対して協調して取り組んでいますが、その目標は、標的となったユーザーがファイルを取り戻すための支援をすることに加え、犯罪組織にとってのランサムウェアビジネスを、できる限り難しくコストのかかるものにすることです。対処できるランサムウェアファミリーが増えるほど、サイバー犯罪組織がその活動によって利益を得ることが難しくなります。私たちが公開した新しい復号ツールはこの目標に貢献するもので、これで終わりではありません」

ランサムウェア攻撃の標的となり、ファイルの暗号化やデバイスがロックアウトされてしまった場合は、次の対策を講じることを推奨します。
1.ファイルの暗号化やデバイスがロックされた場合、身代金は支払わないでください。金銭を支払っても、サイバー犯罪組織の今後の攻撃を助長するだけです。
2.管轄の法執行機関に連絡し、その攻撃について報告してください。
3.そのランサムウェアの名前をできる限り調べてみてください。この情報は、サイバーセキュリティの専門家がその脅威を復号し、ファイルに再度アクセスできるようにするために役立ちます。
4.攻撃を受けた場合でもファイルを復元できるように、バックアップを取っておいてください。
5.常に最新のソフトウェアパッチをあて、導入しているサイバーセキュリティソリューションを最新の状態に保つようにしてください。

No More Ransomは、2016年にオランダ警察庁、ユーロポール、McAfee、Kasperskyが協力して立ち上げたプロジェクトです。サイバーセキュリティ企業のエキスパートと法執行機関などが連携し、ソリューションの共有やランサムウェア被害の阻止に取り組んでいます。