2017年3月17日

株式会社Doctor Web Pacific

Doctor Webは、 Trojan.Encoder.10465 によって暗号化されたファイルを復号化するアルゴリズムの開発に成功しました。

Trojan.Encoder.10465 はWindowsコンピューターを標的とするトロイの木馬で、Delphiで書かれています。感染させたファイルに「.crptxxx」という拡張子を付け、「HOW_TO_DECRYPT.txt」という名前のテキストファイルをディスクに保存します。このファイルには以下の内容が含まれています：

Warning!!!
All your files are encrypted with AESalgorithm!
For decrypt use this instructions: 
Download tor browser
Run tor and go to: http://vejtqvliimdv66dh.onion
Or you can use tor2web services
http://vejtqvliimdv66dh.onion.to
in log panel enter your id (CRPTksrjghkrkwkrjthkewVM)
follow next instructions
if server is down, try connect later
locker version 3.0.0

idパラメータは異なるコンピューター上で異なる値をとることができます。

Trojan.Encoder.10465 によってファイルを暗号化されてしまった場合、以下の推奨事項に従ってください：

• コンピューターからファイルを削除したり、OSを再インストールしたりしないでください。また、Doctor Webのテクニカルサポートから詳細な指示を受け取るまで、感染したコンピューターを使用しないようにすることが推奨されます。
• アンチウイルススキャンを行った場合、検出された脅威に対し修復または削除を行わないようにしてください。Doctor Webのテクニカルサポートが復号化キーを見つける際に必要となる場合があります。
• 感染がおこった際の状況についてできるだけ詳しく覚えておくようにしてください（疑わしいメールを受け取った、ウェブからプログラムをダウンロードした、ウェブサイトを訪問したなど）。
• 添付ファイルを開いた後にコンピューターが感染してしまい、その添付ファイルを含んだメールを保存してある場合は、それを削除しないようにしてください。Doctor Webのテクニカルサポートがトロイの木馬のバージョンを特定するために必要となる場合があります。

Trojan.Encoder.10465 によって暗号化されてしまったファイルを復号化するには、Doctor Webのこちらのサービスページをご利用ください。

無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみが利用可能となっています。Doctor Webでは全てのファイルの復号化を保証することはできませんが、暗号化されたデータの復元に全力を尽くします。