身代金要求ランサムウェアの開発者がまさかの暗号化解除キーを公開、攻撃から一転して降参へ

By Intel Free Press

ゲームのセーブデータやユーザープロフィールを暗号化して、暗号化を解除する代わりに身代金を要求してくるランサムウェア「TeslaCrypt」が2015年3月に発見され、「Call of Duty」「Star Craft 2」「Diablo」など著名ゲームのプレイヤーがターゲットにされてきましたが、TeslaCryptの開発者が暗号化解除キーを公開し、セキュリティ関連製品を扱うESETにより復号化ツールが公開されました。

TeslaCrypt shuts down and Releases Master Decryption Key
http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/

ESET Releases Decryptor for Recent Variants of TeslaCrypt Ransomware
http://www.eset.co.uk/Press-Centre/News/Article/ESET-Releases-Decryptor-for-Recent-Variants-of-TeslaCrypt-Ransomware

TeslaCryptはユーザーのPCに感染すると、PCに保存されているゲームの関連データを暗号化し解除するのに金銭を要求するというランサムウェアで、その仕組みの詳細は以下の記事から確認できます。

ゲームのデータを人質に身代金を要求するマルウェアが発見される - GIGAZINE

ESETのセキュリティ調査員は、TeslaCryptの開発者が2016年に入ってから同ランサムウェアを徐々に終了させようとしていることに気づき、身代金支払いに使われるサイトのサポートチャットから匿名で「暗号化解除のマスターキーを公開してほしい」と要求。TeslaCryptの開発者は調査員の要求を飲み、本当に暗号化解除のマスターキーを公開しました。以下の画像は身代金を支払うためのサイトのスクリーンショットで、暗号化解除のマスターキーと共に「we are sorry！」と書かれているのがわかります。

暗号化解除キーの公開を受けて、ESETはTeslaCryptによって暗号化されたファイルを復号化するソフトウェアをリリースしました。公開された復号化ツールを使うと、TeslaCryptによって暗号化された「.xxx」「.ttt」「.micro」「.mp3」の拡張子のファイル、もしくは拡張子がないファイルを復号できるとのことです。

Decryptor for TeslaCrypt Ransomware
http://download.eset.com/special/ESETTeslaCryptDecryptor.exe

上記URLを開いて「ファイルを保存」をクリック。

ダウンロードしたファイルをデスクトップに移動させます。

スタートメニューから「すべてのプログラム」、「アクセサリ」と進んで「コマンドプロンプト」を右クリックして「管理者として実行(A)」をクリック。

コマンドプロンプトが開いたら「cd %userprofile%¥Desktop」と入力して「Enter」を押します。「userprofile」の部分に実際のユーザーネームを入力しないよう注意が必要。

「ESETTeslaCryptDecryptor.exe」と入力して「Enter」を押します。

「Agree」をクリック。

これでESETの復号化ツールを使用できるようになりました。

暗号化されたファイルがCドライブにないか検索するには「ESETTeslaCryptDecryptor.exe C:」と入力して「Enter」を押します。他のドライブを検索したい場合は「C:」を書き換えればOKです。

「Looking for infected files...」と表示されれば、暗号化されたファイルの検索中。

幸いにも暗号化されたファイルは見つかりませんでした。暗号化されたファイルが発見された場合は、コマンドプロントの画面に従って復号化すればOKです。