2014年11月10日
株式会社Doctor Web Pacific
Doctor WebによってTrojan.Encoder.2843と名付けられたこの亜種は、JavaScriptのスクリプトを含んだ小さなファイルを装ってメールに添付され、大量配信によって拡散されていました。このファイルは起動されると自身のボディからトロイの木馬の動作を可能にするアプリケーションを抜き取ります。このバージョンは2015年11月2日より拡散が確認されています。
この悪意のあるプログラムは比較的変わった動作ルーチンを持っています。まず、暗号化されたダイナミックリンクライブラリ(DLL)をWindowsのシステムレジストリに追加し、explorer.exe内に小さなコードを挿入します。このコードがレジストリからメモリ内にファイルを読み込み、そのファイルに制御を移行させます。
システムレジストリ内には暗号化するファイルのリストも追加されます。Trojan.Encoder.2843は各ファイルに対して大文字のローマ字から成るユニークなキーを生成します。ファイルはBlowfish ECBを用いて暗号化され、セッションキーはCryptoAPIを用いてRSAアルゴリズムで暗号化されます。暗号化されたファイルには.vault拡張子が付いています。
Doctor Webではこのマルウェアによって暗号化されたファイルを高確率で復号化する新たな手法を開発しました。Trojan.Encoder.2843によってファイルを暗号化されてしまった場合は次の手順に従ってください。
- 警察に連絡してください。
- いかなる場合でも、ユーティリティを使用してOSを再インストール、最適化、またはクリーニングしようとしないでください。
- コンピューターからファイルを削除しないでください。
- 暗号化されたデータをご自身で復元しようとしないでください。
- Doctor Webテクニカルサポートに連絡してください(無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみ利用可能です)
- トロイの木馬によって暗号化されたファイルをリクエストチケットに添付してください。
- ウイルスアナリストからの返答をお待ちください。大量のリクエストが寄せられるため、時間がかかる場合があります。
無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみが利用可能となっています。Doctor Webでは全てのファイルの復号化を保証することはできませんが、暗号化されたデータの復元に全力を尽くします。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments