ニュース

ESET、ランサムウェア「TeslaCrypt」の復号鍵を開発者より入手、復号ツールを公開

 ESETは現地時間18日、ランサムウェア「TeslaCrypt」で暗号化されたファイルを復号するツール「TeslaCrypt decryptor」を公開した。

 TeslaCryptは、感染したPC内のファイルを強制的に暗号化し、復号する代わりに金銭の支払いを要求するランサムウェア。「TeslaCrypt V3/V4」では、ファイルが暗号化された上で拡張子が「.XXX」「.ttt」「.micro」「.MP3」などに変更される。感染すると「Torブラウザー」でしかアクセスできないウェブサイトに誘導され、Bitcoinでの支払いを促される。

 ESETのアナリストが、TeslaCryptの感染者に案内されるウェブサイトで、匿名でユニバーサルマスター復号鍵を要求したところ、TeslaCryptの開発者が暗号化を解除するユニバーサルマスター復号鍵の提供に応じたという。

ユニバーサルマスター復号鍵として公開された256ビットの文字列と開発者からのメッセージ

 TeslaCrypt decryptorはこれをもとに開発された復号ツール。TeslaCrypt V3/V4への感染で、拡張子が「.XXX」「.ttt」「.micro」「.MP3」に変更されたファイルの復号に対応する。

 TeslaCrypt decryptorを利用するには、ダウンロードした実行ファイルに復号したいファイルをドラッグ&ドロップする。管理者権限でコマンドプロンプトを起動してESETTeslaCryptDecryptor.exeの保存先に移動し、ドライブを指定して実行することで、暗号化されたファイルを検索して実行することも可能。

 ESETでは、3月2日から9日の約1週間で、「TeslaCrypt」および「Locky」ランサムウェア感染を狙った不審メールが20万件以上確認され、なかでも特にESETでの検出量で日本が53.72%と突出していたという。

 感染の引き金となるメールに添付されるマルウェア「JS/TrojanDownloader.Nemucod」や「JS/Danger.ScriptAttachment」は、現在もなお高い数値で検出が続いているという。

国内のJS/TrojanDownloader.Nemucodの検出状況(2016年5月19日12:00時点)
国内のJS/Danger.ScriptAttachmentの検出状況(2016年5月19日12:00時点)

(岩崎 宰守)