ランサムウェア「Thanatos」の被害からファイルを復旧するツールをTalosが無償公開

「Thanatos」による身代金要求メッセージ（Talos提供）

　米Ciscoのセキュリティ部門Talosは26日（現地時間）、ランサムウェア「Thanatos」によって暗号化されてしまったファイルを復号するツール「ThanatosDecryptor」を公開した。“GitHub”のプロジェクトページから無償でダウンロードできる。

　ランサムウェアとはマルウェアの一種で、勝手に暗号化するなどしてユーザーが大事なファイルへアクセスできないようにし、そのアクセス制限の解除と引き換えに“身代金（ランサム）”を要求する。「Thanatos」は“身代金”の支払い方法にBitcoinだけでなく、Bitcoin CashやZcash、Ethereumなど複数の仮想通貨を利用するのが特徴だ。

　「Thanatos」の厄介な点は、“身代金”支払ってもかならずしもファイルの暗号化を解除してもらえるとは限らないことだ。暗号化プロセスに問題があり、マルウェアの作成者であっても復号が行えないとのことだが、どちらにしろ勝手に暗号化されてしまえばその復旧は極めて困難となるのが普通だ。

　しかし、Talosは「Thanatos」を解析した結果、「Thanatos」が“GetTickCount()”の返り値をもとにAES256暗号化を行っていることを突き止めた。“GetTickCount()”はシステムを起動してから経過した時間をミリ秒単位で取得するWindows APIで、その返り値は32bitだ。つまり、およそ49.7日でクリアされて0日に戻るが、パッチの適用による再起動などを考えると、一般的にWindowsの連続起動時間はそれよりもかなり短い。加えて、暗号化ファイルの作成日などを手掛かりにすれば、暗号化に使われた返り値の範囲を相当絞り込むことができる。

　「ThanatosDecryptor」は、こうして暗号化キーを絞り込み、総当たり攻撃でファイルの復号を試みる。Talosによると、「Thanatos」のv1とv1.1および現在知られているすべてのサンプルで有効性を実証できているという。

　なお、暗号化されたファイルをできるだけ早く復号するには、「ThanatosDecryptor」をマルウェアの感染環境で、マルウェアが作成した暗号化ファイル（.THANATOS）に対して「ThanatosDecryptor」を利用する必要があるとのこと。