2016年3月11日

株式会社Doctor Web Pacific

3月の初め、Macコンピューターを標的とした初のランサムウェアの出現について多くのマスメディアやサイト、ブログで取り上げられました。Doctor Webでは、Mac.Trojan.KeRanger.2と名付けられたこの悪意のあるプログラムについて解析を行い、暗号化されてしまったファイルを復号化する方法を開発しました。

Mac.Trojan.KeRanger.2は当初、DMGファイルとして配信されているポピュラーなOS X向けTorrent クライアントの改変されたインストーラとして検出されました。この悪意のあるアプリケーションは有効なMacアプリ開発用証明書と署名を持っており、それによりAppleのGatekeeper保護を回避していました。

感染させたコンピューター上にインストールされると、Mac.Trojan.KeRanger.2は3日後にTORネットワーク経由でC&Cサーバーに接続し、続けて暗号化手順を開始します。まず初めに、ユーザーやルート権限を利用してアクセス可能な全てのファイルを暗号化し、次に、論理パーティション/Volumes内のコンテンツ、すなわちハードドライブおよびマウントされた論理パーティション上に保存されたファイルの暗号化を試みます。その際、ファイルはトロイの木馬の持つリストに従って暗号化されます。このリストには、テキストファイルや画像など313の異なるファイルの種類が含まれています。暗号化キーおよびサイバー犯罪者の要求を含んだファイルはサーバーからダウンロードされます。このランサムウェアプログラムによって暗号化されたファイルには「.encrypted」拡張子が付き、全てのディレクトリ内に「README_FOR_DECRYPT.txt」ファイルが置かれます。

Doctor Webではこのマルウェアによって暗号化されたファイルを高確率で復号化する新たな手法を開発しました。

Mac.Trojan.KeRanger.2によってファイルを暗号化されてしまった場合は次の手順に従ってください。

• 警察に連絡してください。
• いかなる場合でも、暗号化されたファイルが置かれたフォルダ内のコンテンツを変更しようとしないでください。
• コンピューターからファイルを削除しないでください。
• 暗号化されたデータをご自身で復元しようとしないでください。
• Doctor Webテクニカルサポートに連絡してください（無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみ利用可能です）
• トロイの木馬によって暗号化されたファイルをリクエストチケットに添付してください。
• ウイルスアナリストからの返答をお待ちください。大量のリクエストが寄せられるため、時間がかかる場合があります。

無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみが利用可能となっています。復号化リクエストの提出方法についてはこちらでご確認ください。Doctor Webでは全てのファイルの復号化を保証することはできませんが、暗号化されたデータの復元に全力を尽くします。