2016年10月11日
株式会社Doctor Web Pacific
ランサムウェア型トロイの木馬の新たな亜種は毎月のように登場しています。それらの中で Trojan.Encoder.6491 を特別なものにしているのは、このトロイの木馬がGoogleによって開発されたGo言語で書かれた初のランサムウェアであるという点です。同言語を使用して開発されたエンコーダはこれまで発見されたことがありませんでした。 Trojan.Encoder.6491 は起動されると「Windows_Security.exe」という名前で自身をシステム上にインストールし、AES暗号アルゴリズムを使用してディスク上のファイルを暗号化します。ただし、以下の文字列を含んだ名前を持つファイルは暗号化されません:
tmp
winnt
Application Data
AppData
Program Files (x86)
Program Files
temp
thumbs.db
Recycle.Bin
System Volume Information
Boot
Windows
.enc
Instructions
Windows_Security.exe
Trojan.Encoder.6491 は、拡張子によって特定することで140種類のファイルを暗号化することができます。このトロイの木馬はファイル名をBase64でエンコードし、「.enc」拡張子を付けます。例えば、「Test_file.avi」というファイル名は「VGVzdF9maWxlLmF2aQ==.enc」に変換されます。
次に、仮想通貨Bitcoinによる身代金の支払いを要求する「Instructions.html」ファイルをブラウザウィンドウ内に開きます:
Trojan.Encoder.6491 は身代金の支払先となるBitcoinウォレットを定期的にチェックし、入金が確認されると組み込まれた機能を使用して自動的にファイルを復号化します。
Doctor Webではこのマルウェアによって暗号化されたファイルを復号化する新たな手法を開発しました。 Trojan.Encoder.6491 によってファイルを暗号化されてしまった場合は以下の手順に従ってください:
- 警察に連絡してください。
- いかなる場合でも、ユーティリティを使用してOSを再インストール・最適化・クリーンアップしないようにしてください。
- コンピューターからファイルを削除しないでください。
- 暗号化されたデータをご自身で復元しようとしないでください。
- Doctor Webテクニカルサポートまでご連絡ください(無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみ利用可能です)。
- トロイの木馬によって暗号化されたファイルをリクエストチケットに添付してください。
- テクニカルサポートからの返答をお待ちください。大量のリクエストが寄せられるため、時間がかかる場合があります。
無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみが利用可能となっています。Doctor Webでは全てのファイルの復号化を保証することはできませんが、暗号化されたデータの復元に全力を尽くします。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments