Thanatosランサムウェアの復号プログラムが公開。

f:id:nanashi0x:20180628221853j:plain

 

thehackernews.com

 

・コンピュータがThanatos Ransomwareに感染した?

・身代金を支払ってもデータが復号化されない?

・ファイルをロック解除または復号化ツールを探している?

 

この記事では、Thanatosランサムウェアの対処法を説明していく。

 

Thanatosランサムウェアについて

Cisco Talosのセキュリティ研究者は、Thanatosのトランスクリプトコードに弱点があることを発見。

これにより、被害者が暗号化されたファイルを無料で解読できるようになった。

Thanatosランサムウェアについて

Thanatosランサムウェアは、他のランサムウェアと同様にファイルを暗号化する。

犠牲者にBitcoin Cashなどの複数の暗号化方式で身代金を支払うように要求し、ファイルを復号化するのだ。

 

Ciscoの研究者は以下のように語る。

Thanatosは既に複数のバージョンが誕生しており、攻撃者によって活用されている。つまり、積極的に継続開発され成長していく脅威であり、既に数多くのバージョンが世界各地に分散している。

 

Thanatosは、Bitcoin Cash(BCH)、Zcash(ZEC)、Ethereum(ETH)における身代金支払いをサポートしている。

感染すると、影響を受けるコンピュータ上のすべての暗号化されたファイル名の拡張子が.THANATOSに変更され、ユーザーがシステムにログオンしようとするたびに端末を人質に取り、返還のために身代金を支払わねければならない旨を示す画面がポップアップ表示される。

Thanatosの厄介な点は、各ファイルで別々の暗号鍵を使用している事だ。

つまり、たとえ犠牲者が身代金を支払っても、暗号化されたファイルが復号化される事はないのである。

 

無料のThanatos Ransomware解読ツールが公開

そこで、Cisco Talosのセキュリティ研究者はマルウェアコードを分析。

Thanatosが使用するファイル暗号化手法の設計に抜け穴を見つけ、犠牲者がファイルを解読するのに役立つ無料のトランザム解読ツールを開発した。

オープンソースの無料のransomware解読ツール、“ThanatosDecryptor”は、GitHubからダウンロードでき、Thanatosのバージョン1および1.1に対して正常に動作する。

Thanatosが使用した暗号化キーは、システムが最後に起動してからの経過時間(ミリ秒)に基づいて導出されているため、CiscoTalosのセキュリティ研究者はそのロジックをリバースエンジニアリングし、WindowsEventLogとブルートフォース攻撃を使用し同じ32ビット暗号化鍵を生成するプログラムを開発したのだ。

 

Cisco Talosの研究者は以下のように語る。

Thanatosは暗号化されたファイルのファイル作成日を変更しないため、感染までの主要な検索スペースを24時間以内に約ミリ秒にさらに短縮できる。

テストに使用される仮想マシンのベースラインであった1秒間に平均100,000回のブルートフォース試行で、これらの条件で暗号化キーを正常に回復するには、およそ14分かかる。

 

Thanatosに関する詳細については、Cisco Talosが公開した詳細なブログ記事を参照してもらいたい。

 

Ransomware攻撃から身を守る方法

ランサムウェアの主な拡散方法は、以下となる。

他の有名なランサムウェアである、Locky、CoinVault、Thanatos、TeslaCryptと同様である。

ランサムウェアの脅威から身を護るためには、電子メールで送られてきた文書ファイルを警戒し、発信元が確認できない限りその文書を開かないようにすべきである。

また、MS Officeアプリケーションでマクロが無効になっているかどうかを確認しよう。

もし有効になっている場合は、実行を無効化する。

また、感染した場合に有効なのは、データのバックアップである。

常にPCに接続されていない外部ストレージデバイスに重要な文書だけでも良いのでバックアップをとっておこう。

さらに、システムにアクティブな行動ベースのウイルス対策セキュリティソフトをインストールする。

Thanatosランサムウェアのようなマルウェアを検出してブロックしてからデバイスに感染させることができるようにし、常に最新の状態に保とう。

 

This article is originally titiled as "Free Thanatos Ransomware Decryption Tool Released" from The Hacker News, and translated by Yukio Ichinose (@0x31_nose)