TeslaCryptランサムウェアが暗号化ファイルの復号キー公表 自ら終了する衝撃の結末! 復元用ツール登場
 
Windowsパソコンをターゲットに、ファイルを暗号化して開けなくして復号ツールの購入を名目に身代金の支払いを要求する ランサムウェア の1つ TeslaCrypt(テスラ クリプト)<去年12月 vvvウイルス で話題になったヤツ
 
最初のバージョンが2015年3月らへんに投入され、ここ数ヶ月は競合ランサムウェア Locky(ロッキー)CryptXXX など登場で 勢いに陰り が見えてたような気もしたけど、少なくとも先月2016年4月まで活動してたはず…。
 
ところが、この TeslaCrypt が今月5月になぜかプロジェクトの終了を発表!
 
イメージ 3
謝罪までしていったい何があったの? (@_@;
 
(被害者を装った)スロバキアのセキュリティ会社 ESET の求めに応じ、暗号化したファイルを復号して復元できるマスターキー を自ら公表する衝撃の結末…。
 
TeslaCrypt shuts down and Releases Master Decryption Key - Bleeping Computer
http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/
 
ESET TeslaCryptデクリプター(復号ツール)の開発者に聞く 5月27日
http://canon-its.jp/eset/malware_info/special/160527/
 
【攻撃者が公表した復号キー 64桁の英数字】
440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE

マスターキー公表でファイル復号ツールが!

まず、BloodDolly氏 が開発してる無料復号ツール TeslaDecoder の利用方法が日本語で紹介されてます。
 
TeslaCryptによって暗号化されたファイルの復号手順メモ | (n)inja csirt
http://csirt.ninja/?p=589
 
ESET からも無料復号ツール TeslaCrypt decryptor がリリースされてます。
 
 
先月4月20日にバラ撒かれた TeslaCrypt 検体を手元で動かして数個のダミーファイルを暗号化させ、このESET復号ツール噛ましてみたら呆気なくファイルが復元され開けるように~。
 
> www.virustotal.com/ja/file/1eedc4fe07f1b9255bf32b05191d7baabf0cc2e006ba2d490c0ccee5e1ae918e/analysis/1461452476/
 
イメージ 1
 

【起動パラメータ】
ESETTeslaCryptDecryptor.exe [復号したいファイルが含まれたフォルダパス]
(復号ツールの実行ファイルにファイルやフォルダを
D&DでもOK)

 
直近の TeslaCrypt は、ファイルの拡張子を「~.mp3」「~.micro」「~.vvv」みたく変更することはなく、ファイル名はそのまま維持して内部データだけ破壊する挙動になってました。
 
イメージ 2
復号ツールを噛ませて元に戻ったファイル
 
~.backup_by_eset」という拡張子を持ったファイルは、復号失敗も想定して暗号化ファイルのバックアップとして作成されてるみたい。
 

 
[5月25日 追記...]
 
TelsaCrypt の無料復号ツール RakhniDecryptor がロシアのセキュリティ会社カスペルスキーからリリース。
 
 

 
[5月26日 追記...]
 
TelsaCrypt の無料復号ツール Ransomware File Decryptor(日本名: ランサムウェア復号ツール) がセキュリティ会社トレンドマイクロからリリース。
 
 
ファイルを復元できるランサムウェアの種類は…?
 
イメージ 4
トレンドマイクロ ランサムウェア復号ツール
 
活動終了となった TeslaCrypt 、現在も活動継続してると思われる CryptXXX 、流行ってる脅威か分からんけど SNSLocker と AutoLocky(有名な Locky とは別モノなので注意)となってます。
 

 
[6月11日 追記...]
 
TelsaCrypt の無料復号ツール Talos TeslaCrypt Decrypter が米ネットワーク機器開発会社 Cisco の傘下にあるセキュリティ部門 Talos からリリース。 <ソースコードも公開してるみたい
 
Cisco Talos Blog: TeslaCrypt: The Battle is Over
http://blog.talosintel.com/2016/06/teslacrypt-decryptor.html
 
Cisco は2015年4月に TeslaCrypt 最初期バージョンのクラックに成功し、復号するPythonスクリプトを公開してたものの、攻撃者も黙って見ておらず 2.x を投入して復元できなくなったけど、この度の更新で 2.x、3.x、4.x に対応した形。
 

 
[6月30日 追記...]
 
営利目的を認めてない無料復号ツールを使って暗号化ファイルを元に戻し、ランサムウェアの身代金要求額を上回る不合理な費用をふっかける卑劣な業者がいるとしてセキュリティ会社 Emsisoft の中の人が憤慨してます。
 
■ Fabian Wosarさんのツイート: "Recently I have gotten a lot of reports of "data recovery companies" using my decrypters and charging absurd (cont)"
https://twitter.com/fwosar/status/745260022431625216
 
オランダ/チェコのセキュリティ会社 AVG Technologies から無料復号ツール AVG Decryption Tool for TeslaCrypt 3.x ほか全6種リリース。
 
Don’t pay the Ransom! AVG releases six free decryption tools to retrieve your files | AVG Now Blog
http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/
関連するブログ記事