ESETは現地時間18日、ランサムウェア「TeslaCrypt」で暗号化されたファイルを復号するツール「TeslaCrypt decryptor」を公開した。
TeslaCryptは、感染したPC内のファイルを強制的に暗号化し、復号する代わりに金銭の支払いを要求するランサムウェア。「TeslaCrypt V3/V4」では、ファイルが暗号化された上で拡張子が「.XXX」「.ttt」「.micro」「.MP3」などに変更される。感染すると「Torブラウザー」でしかアクセスできないウェブサイトに誘導され、Bitcoinでの支払いを促される。
ESETのアナリストが、TeslaCryptの感染者に案内されるウェブサイトで、匿名でユニバーサルマスター復号鍵を要求したところ、TeslaCryptの開発者が暗号化を解除するユニバーサルマスター復号鍵の提供に応じたという。
ユニバーサルマスター復号鍵として公開された256ビットの文字列と開発者からのメッセージ
TeslaCrypt decryptorはこれをもとに開発された復号ツール。TeslaCrypt V3/V4への感染で、拡張子が「.XXX」「.ttt」「.micro」「.MP3」に変更されたファイルの復号に対応する。
TeslaCrypt decryptorを利用するには、ダウンロードした実行ファイルに復号したいファイルをドラッグ&ドロップする。管理者権限でコマンドプロンプトを起動してESETTeslaCryptDecryptor.exeの保存先に移動し、ドライブを指定して実行することで、暗号化されたファイルを検索して実行することも可能。
ESETでは、3月2日から9日の約1週間で、「TeslaCrypt」および「Locky」ランサムウェア感染を狙った不審メールが20万件以上確認され、なかでも特にESETでの検出量で日本が53.72%と突出していたという。
感染の引き金となるメールに添付されるマルウェア「JS/TrojanDownloader.Nemucod」や「JS/Danger.ScriptAttachment」は、現在もなお高い数値で検出が続いているという。
国内のJS/TrojanDownloader.Nemucodの検出状況(2016年5月19日12:00時点)
国内のJS/Danger.ScriptAttachmentの検出状況(2016年5月19日12:00時点)
(岩崎 宰守)
関連リンク プレスリリースhttp://canon-its.jp/eset/malware_info/news/160519/ ESET公式ブログの該当記事(英文)http://www.welivesecurity.com/2016/05/18/eset-releases-decryptor-recent-variants-teslacrypt-ransomware/
関連記事
連載
清水理史の「イニシャルB」
ランサムウェアに感染! あなたならどうする? 500ドルで得るもの失うもの
2016年5月16日
ランサムウェア「CryptXXX」に暗号化されたデータの復号ツールをKasperskyが無償公開
窓の杜
2016年5月10日