2016年6月14日

株式会社Doctor Web Pacific

コンピュータ上に保管されている情報を暗号化し、ユーザーに身代金を要求するトロイの木馬エンコーダーが、世界各地のユーザーにとって極めて大きな脅威となっています。今日では、このような暗号化ランサムウェアに属する数多くの亜種が知られています。アンチウイルスベンダーであるDoctor Webは、このような暗号化ランサムウェア対策ソリューションに豊富な経験を持っており、全てではないものの、暗号化されたファイルの解読に成功しています。成功例の一つには、CryptXXXと名付けたトロイの木馬エンコーダが挙げられます。Doctor Webでは、2016年6月初旬以前にこのトロイの木馬エンコーダーによって暗号化されたファイルを復元することが可能です。

CryptXXXとして知られる、悪意のあるプログラム Trojan.Encoder.4393は、多数の亜種が含まれるトロイの木馬エンコーダーのファミリに属する代表的なものです。幾つかのバージョンを持つこの暗号化ランサムウェアは、サイバー犯罪者により世界中に配信されています。さらに儲けを狙うウイルス作成者たちは、CryptXXXによって暗号化されたファイルを復元する有料サービスを提供しており、このサービスで得た利益の一部をこの暗号化ランサムウェア配信者に還元しています。全てのCryptXXXは単一の管理サーバ上で取引され、復号化サービスを提供するウェブサイトは通信を匿名化するTORネットワーク内にあります。このようなマルウェアを配信する様々な犯罪者たちが協同するため、サイバー犯罪者間におけるCryptXXXの人気が高まっており、世界各地で感染が増加しています。このトロイの木馬エンコーダーによって暗号化されたファイルにはcryptという拡張子が付与され、身代金を要求するファイルとして de_crypt_readme.txt、 de_crypt_readme.html 及び de_crypt_readme.png が作成されます。

2016年6月初旬までに、上記のトロイの木馬エンコーダーによってファイルが暗号化された場合には、そのようなファイルを復元できる可能性があります。ただし、ファイルの復元の成功は、様々な要因、特にユーザー自らが行なう対処に依存します。

• コンピュータからファイルの削除、OSの再インストールを行わず、Doctor Webテクニカルサポートスタッフより案内があるまでには感染したコンピュータの利用を控えてください。
• アンチウイルスによるコンピュータのスキャンを実行した場合、検出されたマルウェアに対し、修復や駆除等はしないでください。これは、ファイル復号化に必要な鍵を作成する際、検出されたマルウェアは役に立つ可能性があるためです。
• ファイルの暗号化が行われる前に行なった操作（例えば、不信な電子メール、インターネットからダウンロードされたプログラム、訪問したウェブサイト等）をお伝えください。
• メールの添付ファイルを開いた直後にファイルの暗号化が行われた場合、そのメールの削除は行わないでください。そのメールは、コンピュータに進入したトロイの木馬の亜種を判断する際に、非常に重要なものとなります。

CryptXXXに暗号化されたファイルを復元するため、アンチウイルスベンダーDoctor Webのウェブサイトにある特別なサービスページをご利用ください。感染が発生した時点で、Dr.Web Security Space (Windows対応)、 Dr.Web Anti-virus for OS X 又は Linux（バージョン10以降）、あるいは Dr.Web Enterprise Security Suite (バージョン6以降)がインストールされているコンピュータに対してのみ、このファイル復号化サービスを無料でご利用いただけます。上記以外の場合には、次のお問い合わせフォーム経由でお問い合わせください。ファイルを解析した結果、復元が可能である場合には、Dr.Web Rescue Pack有料サービスをご購入いただいた後、ファイルの復元を実施いたします。さらに、Dr.Web Rescue Pack有料サービスには、PC1台分のDr.Web Security Spaceの2年ライセンスも含まれております。

トロイの木馬暗号化ランサムウェア及び対策方法について、詳しくはこちらのページをご覧ください。