2016年5月18日(現地時間)に、ESET社の開発によってランサムウェア「TeslaCrypt」で暗号化されたファイルを復号するツールを公開しました。ランサムウェア「TeslaCrypt」は、日本でもメールを利用した「ばらまき型」攻撃をきっかけに被害を受けたケースとして、過去に当マルウェア情報局でも注意喚起をしていましたが、今回ESET社はこの「TeslaCrypt」に対するユニバーサルマスター復号鍵の入手に成功し、復号ツールの開発に至りました。
※ランサムウェアとは、文書などのデータを暗号化して開けない状態にし、復号化するために身代金を要求する特徴を持ちます。
今回提供するツールでは、「TeslaCrypt V3」「TeslaCrypt V4」と呼ばれているタイプのものに対応しています。
復号ツール「TeslaCrypt decryptor」の画面
この復号ツールは、以下注意事項をご確認のうえ、こちらからダウンロードしてください。
【注意事項】
- 本ツールは暗号化されたすべてのファイルが復号できることを保証するものではありません。
- 本ツールをご利用いただく際は、一度にすべてのファイルを復号させる前に、数個のファイルで復号されるかを必ずお試しください。
- TeslaCrypt V2以前のタイプのもの、ならびにTeslaCrypt以外のランサムウェアで暗号化されたファイルには対応していません。
【使用方法】
1.ダウンロードした「ESETTeslaCryptDecryptor.exe」に復号したいファイルをドラッグ&ドロップします。
2.使用許諾書を確認し、同意された上で[Agree]をクリックします。
3.以下の画面が表示されたら復号完了です。
なお、このランサムウェア感染を狙った攻撃ですが、現在もなお最初のトリガとなるメール攻撃を用いた「JS/TrojanDownloader.Nemucod」や「JS/Danger.ScriptAttachment」は高い数値で検出が続いています。また、過去の検出状況や攻撃手法などは以前にも記事として取り上げていますので、以下の関連情報も合わせてご参考にしてください。
国内のJS/TrojanDownloader.Nemucodの検出状況(2016年5月19日12:00時点)
国内のJS/Danger.ScriptAttachmentの検出状況(2016年5月19日12:00時点)
これらのマルウェアは、ランサムウェア「Locky」感染を狙ったものに限らず、「TeslaCrypt」感染などにも使われています。今後も亜種によるメール攻撃が継続されると思われますので、メールの取り扱いにご注意ください。また、万が一ランサムウェアの感染に備え、重要なデータは定期的にバックアップを取るなどの対策を講じてください。
■ 常日頃からリスク軽減するための対策について
各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。
1. ESET製品プログラムのウイルス定義データベースを最新にアップデートする
最新の脅威に対応できるよう、ウイルス定義データベースを最新にアップデートしてください。
2. OSのアップデートを行い、セキュリティパッチを適用する
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。
3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する
各種アプリのアップデートを行い、脆弱性を解消してください。
4. データのバックアップを行っておく
5. 脅威が存在することを知る
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。
