Kasperskyの脅威調査チームが企業や組織を狙う標的型のランサムウェア「Yanluowang」を解析、ファイルを暗号化するアルゴリズムに脆弱性を発見しました。その結果、暗号化されたファイルの復号ツールを開発することに成功し、このたび公開しました。
[本リリースは、2022年4月18日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyの脅威調査チームは、2021年10月に初めて発見され、企業や組織を狙う標的型のランサムウェア「Yanluowang」(中国の神、閻羅王:えんらおう に由来)を解析し、ファイルを暗号化するアルゴリズムに脆弱(ぜいじゃく)性があることを発見しました。このたび当チームは、サイバー犯罪者側が用意した復号キーを使用せずに暗号化されたファイルを復号するツールを開発、公開しました。このツールは、当社がランサムウェアの脅威を阻止するために立ち上げたプロジェクト「No Ransom」Webサイトから無料でダウンロードすることができます。
当社のテレメトリによると、Yanluowangは主に米国、トルコ、ブラジルの大企業に感染を試みています。サイバー犯罪者側のオペレーターが主に手動で感染先コンピューターのファイルを暗号化し、ファイル拡張子は「.Yanluowang」に変更されます。犯罪者が残したランサムノート(身代金を要求する通知)には、被害者が警察に通報すれば、感染したコンピューターの全てのファイルを削除し、その後もDDoS攻撃とその企業の従業員のコンピューターをランサムウェアに感染させ、企業全体を攻撃すると脅しています。
「Yanluowang」ランサムノートの例
当社のエキスパートがYanluowangランサムウェアを解析したところ、暗号化アルゴリズムに脆弱性があることを発見し、暗号化されたファイルを復号するツールを作成することに成功しました。復号には少なくとも一つの暗号化される前のファイルと、当社が用意した復号ツールを使用する必要があります。その後、条件に応じて暗号化されたファイル類を独自に復号することができます。
Kasperskyのセキュリティリサーチャー、ヤニス・ジンチェンコ(Yanis Zinchenko)は次のように述べています。「Yanluowangは標的を定めて感染を試みるため、その対象範囲は広くありませんが、ランサムウェアは全て無効化することが重要です。ランサムウェアは世界共通の脅威であり、サイバーセキュリティのコミュニティーが協力してランサムウェアに対抗することが必要です。私たちの貢献がYanluowangに攻撃された組織の助けになることを願っています」
■ Yanluowangに関する詳細は、Securelistブログ(英語)「How to recover files encrypted by Yanluowang」でご覧いただけます。
「Yanluowang」復号ツールは、「Rannoh」復号ツールに追加しています。このツールは、Kasperskyがランサムウェアの脅威を阻止するために立ち上げたプロジェクト「No Ransom」Webサイトから無料でダウンロードすることができます。
