ランサムウェア「Gpcode」で暗号化されたファイルの復元方法が公開:Security Incident Report
ランサムウェア「Gpcode」によって暗号化されたファイルを復元する方法がKaspersky Labから公開された。秘密鍵が解読されたわけではないが、Gpcode.akの挙動を利用してファイル復元を行うことができる。
RSA1024ビット鍵で武装したマルウェアの亜種「Gpcode.ak」が発見されて以来、その秘密鍵解読のため、Kaspersky Labは世界中に協力を呼びかけている。
力業による解析を進めているKaspersky Labだが、現実的な時間内で解析が終了するかどうかも分からず、秘密鍵が変更されればそれまでの取り組みが水泡に帰すことになる。
Gpcode.akは起動すると、メモリ内に「_G_P_C_」というミューテックスを作成、続いて論理ディスクのスキャンを開始し、DOC、TXT、PDFなど143種に及ぶ拡張子を持つファイルを暗号化する。この際、暗号化するファイルの「隣り」に新しいファイル(元のファイルの暗号化されたデータを含むファイル)を作成、ファイルの暗号化が完了すると、元のファイルを削除するという挙動が判明しているが、このパターンから、削除されたファイルを復元しようというのが今回発表された方法の概要である。この方法は秘密鍵の解読に依存せず行うことができる。
復元にはGPLで提供されているPhotoRecを用いる。PhotoRecについては「ハードディスクの中身を誤って消した場合のファイル復旧方法」で紹介したとおり、削除済みとしてマークされたファイル(削除済みファイル)を検索し、そのファイルをディスクにコピーすることで復元を行う。復元可能なファイル形式は多岐に及ぶ。ただし、PhotoRecではファイル名やパスを正確に復元することはできないため、Kaspersky Labでは、元のファイル名とパスを復元する無料ユーティリティであるStopGpcodeを開発、無償提供を開始している。詳しい復元方法の流れはこちらで確認できる。
まとめると、現時点でGpcode.akに有効なのは、感染してしまった後は可能な限りHDDへの書き込みが発生するような処理を控え、感染したディスクとは異なるディスクなどを復元先として用意、PhotoRecでファイルを復元、StopGpcodeでファイル名とパスを復元するという流れになる。秘密鍵が解読されたわけではなく、PhotoRecで復元可能なケースもある意味限定的ではあるが、現時点で取れる唯一の対策であるため、万が一に備えて覚えておくとよいだろう。
関連記事
- ハードディスクの中身を誤って消した場合のファイル復旧方法
重要なファイルを誤って消してしまい涙で枕をぬらすことになる前に、事実上、あらゆるファイルシステムのパーティションを復元し、かつ、たいていの種類のファイルを復元できるこの方法を知っておいてほしい。備えあれば憂いなし、である。 - 「ランサムウェアの解読に協力を」、Kasperskyが呼びかけ
- ファイルを人質に取るマルウェアが復活、今度は強力な暗号装備
- 「ファイルを取り戻したければ金を出せ」――身代金要求のランサムウェアが復活
- オープンソースツールを使ったハードウェア診断
あなたが相当な強運の持ち主でない限り、コンピュータの故障や破損を回避することはできない。ここでは、ハードウェアの問題を突き止めるためのオープンソースツールを幾つか紹介する。 - ディスクドライブのデータ完全消去ツール
世に数あるデータ完全消去ツールのうち、今回wipeを取り上げるのは、特定パーティーション上にある1つのブロックだけを消去するなど、実行時に指定可能なオプションがほかのツールよりも豊富に装備されているからである。 - まさかのファイル消失時にユーザーを危機から救うMagic Rescue
消してはならないファイルを削除して青ざめているあなた。ブロックデバイスにある特定のファイルタイプを検索して、指定ディレクトリ中に一括抽出してくれるMagic Rescueならあなたの助けになるかもしれない。 - ファイルのセキュリティを強化する各種の暗号化ツール
システム全体をカバーするセキュリティソリューションが必要とされる一方で、ファイルやディレクトリ単位で暗号化を施したいという状況も存在するはずである。ここでは後者の観点から役立つ暗号化ツールを幾つか紹介することにしよう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.