アバスト、ランサムウェアの復号ツールを公開 - 身代金支払いを回避

Avast Softwareは10月4日(米国時間)、「Decrypted: MafiaWare666 Ransomware - Avast Threat Labs」において、ランサムウェア「MafiaWare666」の復号ツールをリリースしたと伝えた。MafiaWare666は「JCrypt」、「RIP Lmao」、「BrutusptCrypt」、「Hades」 といったランサムウェアファミリとしても知られている。

• Decrypted: MafiaWare666 Ransomware - Avast Threat Labs

MafiaWare666は、難読化技術やアンチ解析技術が一切含まれていないとされているC#で記述されたランサムウェア。AES暗号を使用してデータを暗号化することが確認されている。Avast Softwareはこのランサムウェアの暗号化スキーマに脆弱性があることを突き止め、身代金を支払うことなく復号することに成功したと発表している。

MafiaWare666を含むこのランサムウェアファミリーは、デスクトップ、音楽、ビデオ、ピクチャ、ドキュメントなどの特殊なフォルダを検索し、さまざまな名前の拡張子のファイルとしてデータを暗号化する。Avast Softwareのセキュリティ研究者が分析したマルウェアのサンプルでは、次のような拡張子のついた暗号化されたファイルが検出されている。

• .MafiaWare666
• .jcrypt
• .brutusptCrypt
• .bmcrypt
• .cyberone
• .l33ch

暗号化処理が完了すると身代金の支払い方法を説明するウィンドウが表示され、ビットコインで支払うよう指示してくるという。身代金の要求額は50ドルから300ドルと比較的低額とされているが、もっと高額の身代金を要求する亜種の存在も確認されている。

• example of MafiaWare666 ransom notes - Avast Threat Labs

Avast Softwareは復号ツールを公開するとともに使用方法も説明している。復号ツールのダウンロード先および使用法は次のとおり。

• decryptor
• How to use the Avast MafiaWare666 ransomware decryption tool - Avast Threat Labs

これらのランサムウェアファミーリの被害を受けたユーザーが、この復号ツールを使用してデータを復旧させるとともに身代金を支払わないことが望まれる。