2016年1月12日

株式会社Doctor Web Pacific

2016年はLinuxを標的としたランサムウェアLinux.Encoder.3の登場によって幕を開けました。このトロイの木馬について分析を行った結果、これまでのLinux向けランサムウェアとは異なる特徴が明らかになりました。

Linux.Encoder.1 のコードにはエラーがあるということが、あるアンチウイルス企業によって公表されています。それらのエラーは、その情報を考慮したと考えられるウイルス開発者によって直ちに修正されました。 Linux.Encoder のこれまでのバージョンと同様、 Linux.Encoder.3 は未知の脆弱性を持った様々なコンテンツマネジメントシステム内に埋め込まれたシェルスクリプトを使用してWebサイトのホームディレクトリに侵入します。このトロイの木馬はルート権限を必要とせず、Webサーバーの権限を使用することでホームディレクトリ内にある全てのファイルを暗号化します。Doctor Webテクニカルサポートには Linux.Encoder.3 による被害を受けたWebサイトオーナーからのリクエストがいくつか寄せられています。

Linux.Encoder.3 によって使用される暗号化アルゴリズムにも変更が加えられていますが（前述のアンチウイルス企業による情報を参考にした結果）、暗号化されたファイルにはこれまでと同様に.encrypted拡張子が付いています。 Linux.Encoder.3 の主な特徴は、暗号化前のファイルの作成日および更新日を記録し、暗号化したファイルの日付をそれらで置き換えるという点にあります。このトロイの木馬のコピーはいずれも独自の暗号化キーを持ち、それらは暗号化されたファイルのパラメータおよびランダムに生成される値に基づいて作成されています。

Linux.Encoder.3 の持つ構造的特徴のおかげで、暗号化されたファイルは復号化することが可能です。しかしながら、そのバグについての詳細な情報を含んだ新たな分析結果が前述のアンチウイルス企業によって公表されてしまったことから、今後ウイルス開発者によって修正が行われ、復号化がより困難になる可能性があります。したがって、近い将来 Linux.Encoder の新たな亜種が登場することになると予測されます。

Linux.Encoder.3 によってファイルを暗号化されてしまった場合は次の手順に従ってください。

• 警察に連絡してください。
• いかなる場合でも、暗号化されたファイルを含むディレクトリのコンテンツを変更しようとしないようにしてください。
• サーバーからファイルを削除しないでください。
• 暗号化されたデータをご自身で復元しようとしないでください。
• Doctor Web technical support に連絡してください（無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみ利用可能です）
• トロイの木馬によって暗号化されたファイルをリクエストチケットに添付してください。
• ウイルスアナリストからの返答をお待ちください。大量のリクエストが寄せられるため、時間がかかる場合があります。

無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみが利用可能となっています。Doctor Webでは全てのファイルの復号化を保証することはできませんが、暗号化されたデータの復元に全力を尽くします。