2018年2月5日

株式会社Doctor Web Pacific

感染させたデバイス上のファイルを暗号化し、それらを復号化するために身代金を要求する暗号化ランサムウェアは、依然として深刻な脅威となっています。Doctor Webでは、そのような暗号化ランサムウェアの新たな拡散についてユーザーの皆様に注意を呼び掛けています。

作成者によって「GandCrab!」と名付けられたこのトロイの木馬は、 Trojan.Encoder.24384 としてDr.Webのウイルスデータベースに追加されました。 Trojan.Encoder.24384 によって暗号化されたファイルには拡張子「*.GDCB」が付けられます。現時点で、このエンコーダの2つのバージョンが確認されています。

Microsoft Windows搭載デバイス上で起動されると、 Trojan.Encoder.24384 は実行されているアンチウイルスのプロセスに関する情報を収集します。続けて、繰り返し実行されることを防ぐためのチェックを行い、その後、サイバー犯罪者のリストに従ってプログラムのプロセスを終了させます。このエンコーダはディスク上に自身のコピーをインストールし、自動実行されるようWindowsシステムレジストリブランチを改変します。

Trojan.Encoder.24384 は、サービスフォルダやシステムフォルダなどのフォルダを除いて、固定ディスクやリムーバブルディスク、ネットワークディスクのコンテンツを暗号化します。それぞれのディスクは個別のスレッドで暗号化されます。暗号化が完了すると、トロイの木馬は暗号化されたファイルの数と暗号化にかかった時間に関するデータをサーバーに送信します。

トロイの木馬の使用するC&Cサーバーは、標準的方法では解決することのできないドメイン名を持っています。このサーバーのIPアドレスを取得するため、 Trojan.Encoder.24384 はコマンド nslookup を実行し、その出力内で必要な情報を探します。

現時点では、 Trojan.Encoder.24384 によって暗号化されてしまったファイルを復元することは不可能です。ファイルを保護するための最も信頼性の高い方法は、重要なすべてのデータのバックアップをタイムリーにとることです。さらに、バックアップコピーの保存先には外部ストレージを使用することが推奨されます。

Trojan.Encoder.24384の詳細(英語)