コーダーが感染したランサムウェアを特定するためのツールを作成

目次

• 開発者が被害者が感染したランサムウェアを特定するための無料オンラインツールを作成 - 特定されたランサムウェアのリスト

開発者が被害者が感染したランサムウェアを特定するための無料オンラインツールを作成

ランサムウェアはサイバーセキュリティ界隈での最新のバズワードです。ロサンゼルスの病院が17,000ドルを支払うことになったランサムウェア感染の後、病院が特にランサムウェア攻撃に対して脆弱であることが指摘されています。

数百種類のランサムウェアが存在する中で、どのランサムウェアに感染したのかを特定することが重要です。これは、セキュリティ研究者がいくつかの主要なランサムウェアに感染したファイルを復号化できるようになったため、役立ちます。

今、コーディングを行うマイケル・ギレスピーが、被害者がどの特定のランサムウェアに感染したかを特定するための無料オンラインツール「ID Ransomware」を作成しました。ギレスピーのツールは、表示された身代金メモや暗号化されたファイルに基づいて、52種類の異なるランサムウェアを検出し特定します。被害者は単にファイルをサイトにアップロードし、回答を待つだけです。

もしランサムウェアを認識し、復号化可能な場合、ユーザーは復号化ツールに誘導されます：

その時点でデータを復号化する方法が知られていない場合、彼または彼女は暗号化されたファイルをバックアップするようにアドバイスされ、将来的に復号化方法が発見/作成されることを期待し、問題のマルウェアに関するフォーラムのサポートスレッドに案内されます。

特定されたランサムウェアのリスト

ツールが現在特定しているランサムウェアのリストは以下の通りです：7ev3n、Booyah、ブラジルランサムウェア、BuyUnlockCode、Cerber、CoinVault、Coverton、Crypt0L0cker、CryptoFortress、CryptoHasYou、CryptoJoker、CryptoTorLocker、CryptoWall 2.0、CryptoWall 3.0、CryptoWall 4.0、CrySiS、CTB-Locker、DMA Locker、ECLR Ransomware、EnCiPhErEd、Hi Buddy!、HOW TO DECRYPT FILES、HydraCrypt、Jigsaw、JobCrypter、KeRanger、LeChiffre、Locky、Lortok、Magic、Maktub Locker、MireWare、NanoLocker、Nemucod、OMG! Ransomcrypt、PadCrypt、PClock、PowerWare、Radamant、Rokku、Samas、Sanction、Shade、SuperCrypt、Surprise、TeslaCrypt 0.x、TeslaCrypt 2.x、TeslaCrypt 3.0、TeslaCrypt 4.0、UmbreCrypt、Unknown、VaultCrypt。

ギレスピーはまた、CryptoHostランサムウェアによってパスワード保護されたアーカイブに保存されたファイルを解除するためのパスワードジェネレーターも作成しました。一方、別のコーダーが恐ろしいPetyaランサムウェアのためのパスワードジェネレーターを設置しました。

Twitterハンドル@leostoneで知られる開発者は、Petyaがマスターブートファイルを復号化するために必要とするパスワードを生成するツールを考案しました。パスワードジェネレーターを使用するには、被害者は感染したコンピュータから起動ドライブを取り外し、感染していない別のWindowsコンピュータに接続する必要があります。被害者はその後、ハードドライブからデータを抽出します。具体的には

(1) セクター55（0x37h）から始まるbase-64エンコードされた512バイトのデータをオフセット0で、

(2) セクター54（0x36）オフセット33（0x21）からの64ビットエンコードされた8バイトのノンスを取得します。

この@leostoneが作成したWebアプリにデータを入力することで、被害者はPetyaが重要なファイルを復号化するために使用したパスワードを取得できます。

これらのツールを使用すれば、ランサムウェアの脅威に効果的に立ち向かうことができます。