ランサムウェア「Gpcode」で暗号化されたファイルの復元方法が公開：Security Incident Report

ランサムウェア「Gpcode」によって暗号化されたファイルを復元する方法がKaspersky Labから公開された。秘密鍵が解読されたわけではないが、Gpcode.akの挙動を利用してファイル復元を行うことができる。

[西尾泰三，ITmedia]

　RSA1024ビット鍵で武装したマルウェアの亜種「Gpcode.ak」が発見されて以来、その秘密鍵解読のため、Kaspersky Labは世界中に協力を呼びかけている。

　力業による解析を進めているKaspersky Labだが、現実的な時間内で解析が終了するかどうかも分からず、秘密鍵が変更されればそれまでの取り組みが水泡に帰すことになる。

　Gpcode.akは起動すると、メモリ内に「_G_P_C_」というミューテックスを作成、続いて論理ディスクのスキャンを開始し、DOC、TXT、PDFなど143種に及ぶ拡張子を持つファイルを暗号化する。この際、暗号化するファイルの「隣り」に新しいファイル（元のファイルの暗号化されたデータを含むファイル）を作成、ファイルの暗号化が完了すると、元のファイルを削除するという挙動が判明しているが、このパターンから、削除されたファイルを復元しようというのが今回発表された方法の概要である。この方法は秘密鍵の解読に依存せず行うことができる。

　復元にはGPLで提供されているPhotoRecを用いる。PhotoRecについては「ハードディスクの中身を誤って消した場合のファイル復旧方法」で紹介したとおり、削除済みとしてマークされたファイル（削除済みファイル）を検索し、そのファイルをディスクにコピーすることで復元を行う。復元可能なファイル形式は多岐に及ぶ。ただし、PhotoRecではファイル名やパスを正確に復元することはできないため、Kaspersky Labでは、元のファイル名とパスを復元する無料ユーティリティであるStopGpcodeを開発、無償提供を開始している。詳しい復元方法の流れはこちらで確認できる。

　まとめると、現時点でGpcode.akに有効なのは、感染してしまった後は可能な限りHDDへの書き込みが発生するような処理を控え、感染したディスクとは異なるディスクなどを復元先として用意、PhotoRecでファイルを復元、StopGpcodeでファイル名とパスを復元するという流れになる。秘密鍵が解読されたわけではなく、PhotoRecで復元可能なケースもある意味限定的ではあるが、現時点で取れる唯一の対策であるため、万が一に備えて覚えておくとよいだろう。