Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Doctor Web、Go言語で書かれた初のエンコーダを発見し復号化技術を開発

2016年10月11日

株式会社Doctor Web Pacific


Doctor Webのスペシャリストによって、Go言語で書かれた初のランサムウェアが発見されました。 Trojan.Encoder.6491 と名付けられたこのトロイの木馬は暗号化したファイルに拡張子「.enc」を付けます。Doctor Webでは Trojan.Encoder.6491 によって暗号化されたファイルを復元する方法を既に開発しています。

ランサムウェア型トロイの木馬の新たな亜種は毎月のように登場しています。それらの中で Trojan.Encoder.6491 を特別なものにしているのは、このトロイの木馬がGoogleによって開発されたGo言語で書かれた初のランサムウェアであるという点です。同言語を使用して開発されたエンコーダはこれまで発見されたことがありませんでした。 Trojan.Encoder.6491 は起動されると「Windows_Security.exe」という名前で自身をシステム上にインストールし、AES暗号アルゴリズムを使用してディスク上のファイルを暗号化します。ただし、以下の文字列を含んだ名前を持つファイルは暗号化されません:

tmp
winnt
Application Data
AppData
Program Files (x86)
Program Files
temp
thumbs.db
Recycle.Bin
System Volume Information
Boot
Windows
.enc
Instructions
Windows_Security.exe

Trojan.Encoder.6491 は、拡張子によって特定することで140種類のファイルを暗号化することができます。このトロイの木馬はファイル名をBase64でエンコードし、「.enc」拡張子を付けます。例えば、「Test_file.avi」というファイル名は「VGVzdF9maWxlLmF2aQ==.enc」に変換されます。

次に、仮想通貨Bitcoinによる身代金の支払いを要求する「Instructions.html」ファイルをブラウザウィンドウ内に開きます:

screen Trojan.Encoder.6491 #drweb

Trojan.Encoder.6491 は身代金の支払先となるBitcoinウォレットを定期的にチェックし、入金が確認されると組み込まれた機能を使用して自動的にファイルを復号化します。

Doctor Webではこのマルウェアによって暗号化されたファイルを復号化する新たな手法を開発しました。 Trojan.Encoder.6491 によってファイルを暗号化されてしまった場合は以下の手順に従ってください:

  • 警察に連絡してください。
  • いかなる場合でも、ユーティリティを使用してOSを再インストール・最適化・クリーンアップしないようにしてください。
  • コンピューターからファイルを削除しないでください。
  • 暗号化されたデータをご自身で復元しようとしないでください。
  • Doctor Webテクニカルサポートまでご連絡ください(無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみ利用可能です)。
  • トロイの木馬によって暗号化されたファイルをリクエストチケットに添付してください。
  • テクニカルサポートからの返答をお待ちください。大量のリクエストが寄せられるため、時間がかかる場合があります。

無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみが利用可能となっています。Doctor Webでは全てのファイルの復号化を保証することはできませんが、暗号化されたデータの復元に全力を尽くします。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F