ランサムウェアにより暗号化されたファイルの復号ツールを公開

トレンドマイクロの統計によると、ランサムウェアの検出台数は、2015年10月から増加傾向を示しており、2016年に入ってからもその脅威は止まるところを知りません。2016年2月以降全世界におけるランサムウェアの検出台数は急増傾向にあり、3月だけでも3万件に達しています。

図1: 全世界におけるランサムウェア検出台数の推移(2015年10月~2016年3月)
図1: 全世界におけるランサムウェア検出台数の推移(2015年10月~2016年3月)

■ 2015年末から見るランサムウェアの変遷

世界的にランサムウェアによる被害が深刻になっている中、ランサムウェアの手口はさらに凶悪化してきています。2015年12月に vvvウイルスと呼ばれる「CRYPTESLA」(「RANSOM_CRYPTESLA」として検出)の亜種が話題になりましたが、同じころに“暗号化したデータをインターネット上に公開する”と脅迫してくるランサムウェア「CHIMERA」(「Ransom_CRYPCHIM」として検出)が出現しました。2016年になってからは、メール経由での拡散を中心とする「LOCKY」(「Ransom_LOCKY」などの検出名で検出)が2月に出現し、3月には全世界の検出台数の42%を占めました。また、3月にはPCのマスターブートレコード(MBR)を上書きし感染した端末を起動不能にする「PETYA」(「RANSOM_PETYA」として検出)、4月には標的型サイバー攻撃の手法を取り入れて感染した端末からネットワーク内部で横展開を行う「SAMAS」(「RANSOM_CRYPSAM」などの検出名で検出)、Windowsの正規ツールを利用して感染を拡大する「PowerWare」(「RANSOM_POWERWARE」として検出)や、「Angler Exploit Kit(Angler EK)」および「BEDEP」を利用して拡散される「CryptXXX」(「RANSOM_WALTRIX」として検出)と呼ばれるランサムウェアが出現しています。

図2: 2015年12月以降のランサムウェアの変遷
図2: 2015年12月以降のランサムウェアの変遷

■ 「CRYPTESLA」は活動を停止

攻撃手法という観点でも変化を見せているランサムウェアですが、一方で「CRYPTESLA」は2016年5月に入りその活動を停止しました。「CRYPTESLA」を拡散させていたサイバー犯罪者は、「CRYPTESLA」のプロジェクト終了を宣言し、人質に取っていたファイルを復元するためのマスターキーを公開しました。このような例は初めてではありません。2015年5月にも暗号化型ランサムウェア「Locker」(「TROJ_CRYMLOCK」として検出)の作成者が謝罪し、暗号化されたファイルの復号鍵を公開したことがありました。

「CRYPTESLA」は2016年第1四半期の日本国内におけるランサムウェア検出ファミリTop3に入っており、日本でも影響が大きいランサムウェアでした。

図3: 国内法人ユーザにおけるランサムウェア検出ファミリ Top3(2016年第1四半期)
図3: 国内法人ユーザにおけるランサムウェア検出ファミリ Top3(2016年第1四半期)

図4: 国内個人ユーザにおけるランサムウェア検出ファミリ Top3(2016年第1四半期)
図4: 国内個人ユーザにおけるランサムウェア検出ファミリ Top3(2016年第1四半期)

データ暗号化のためにインターネット経由で C&Cサーバを利用する初のランサムウェア「CryptoLocker」が2013年9月に出現して以来、暗号化型ランサムウェアにより暗号化されたデータの回復はほぼ不可能になっていました。しかし、今回のようにマスターキーが公開された場合は、例外としてデータの復号が可能になり、これまでに「CRYPTESLA」の被害にあったユーザにとっては朗報となるでしょう。
ただし、こういったケースは稀であり、ランサムウェアによって暗号化されたデータが復号可能になる保証はどこにもありません。

最近では、米国カンザスシティの病院で、ランサムウェアに感染し身代金を支払ったにもかかわらず、ファイルを完全復旧できず再び身代金を要求された事例が報道されています。この事例は、一度身代金を払ったところで必ずしもデータが取り戻せる保証はないことを示唆しています。ランサムウェアが引き続き深刻な脅威であることは間違いありません。

■ ランサムウェアファイル復号ツール公開

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。

法人向けダウンロードURL:http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
個人向けダウンロードURL:https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx

また、トレンドマイクロでは、ランサムウェアの被害に遭われている法人・個人を対象に無料相談窓口も開設していますので、お困りの方は一度ご相談ください。

 

※協力執筆者:岡本 勝之

 

Related posts:

  1. 「vvvウイルス」の正体とは? ランサムウェア「CrypTesla」の流入は限定的
  2. ランサムウェア「CrypTesla」を拡散させる一連のマルウェアスパム攻撃を詳細分析
  3. 暗号化型ランサムウェア「CryptXXX」、「CRYPTESLA」の後継となるか
  4. 最新モバイル脅威事情:1年で4倍!急増するモバイルへのランサムウェア攻撃