2015年11月20日

株式会社Doctor Web Pacific

Linux.Encoder.1と名付けられた、Linuxを標的とする新たな暗号化ランサムウェアの登場は、Linuxのような安全なシステムでさえランサムウェアの餌食となりうることを明らかにし、世界中の一般ユーザーやITスペシャリストから大きな反響を呼びました。その後、このファミリーに属する少なくとも2つの亜種が発見されています。今回、Linux.Encoder.2と名付けられたそのうちの1つについて報告します。

このトロイの木馬には「2」という番号がついていますが、セキュリティリサーチャーに発見されていなかっただけで、実際はもっと以前に作製されたものです。また、少し前にLinux.Encoder.0と名付けられたトロイの木馬が発見されており、このLinux.Encoder.0は、このトロイの木馬ファミリーの最初のバージョンであると考えられます。Linux.Encoder.2は2015年9月から10月にかけて拡散され、その後Linux.Encoder.1が登場しました。

Linux.Encoder.1と異なり、は別の擬似乱数ジェネレータを用い、OpenSSLライブラリ（Linux.Encoder.1ではPolarSSL）を使用してファイルを暗号化します。暗号化はAES-OFB-128モードで行われ、コンテキストは128バイトごとに（8 AESブロックごと）再初期化されます。また、Linux.Encoder.2では動作に大きな変更が加えられています。

現時点で、いずれのファイル復号化ユーティリティも感染したサーバーからシェルスクリプトを削除することがないため、サイバー犯罪者はそれを使用してシステムを再度感染させることが可能です。Doctor Webテクニカルサポートでは、ファイルの復号化をリクエストされたユーザーのシステムから別の悪意のあるプログラムも削除し、残ったスクリプトを使用した攻撃からシステムを保護します。

Dr.Web for LinuxウイルスデータベースにはLinux.Encoder.2のシグネチャが追加されています。Doctor Webでは、このマルウェアによって暗号化されたファイルを高確率で復元する新しい手法を開発しました。Linux.Encoder.2によってファイルを暗号化されてしまった場合は次の手順に従ってください。

• 警察に連絡してください。
• いかなる場合でも、暗号化されたファイルを含むディレクトリのコンテンツを変更しようとしないようにしてください。
• サーバーからファイルを削除しないでください。
• 暗号化されたデータをご自身で復元しようとしないでください。
• Doctor Webテクニカルサポートに連絡してください（無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみ利用可能です）
• トロイの木馬によって暗号化されたファイルをリクエストチケットに添付してください。
• ウイルスアナリストからの返答をお待ちください。大量のリクエストが寄せられるため、時間がかかる場合があります。

無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみが利用可能となっています。Doctor Webでは全てのファイルの復号化を保証することはできませんが、暗号化されたデータの復元に全力を尽くします。