先週、文書、画像、ビデオなどを暗号化し、ファイルを人質に50ユーロ要求する、「Trojan:W32/Ransomcrypt」という名のランサム型トロイの木馬について書いた。
Ransomcryptは、Tiny Encryption Algorithm(TEA)を使用してファイルを暗号化する。キーは「ファイル固有キー」を作成するために暗号化されているファイル名の先頭の文字に基づいて変更される、「ベースキー」から作成される。ベースキーもファイル固有キーも、どちらも16バイト長だ。
エフセキュアのアナリストが、サポートチームのために、Pythonで書かれた復号化スクリプトを作成した。幸いなことに、我々が遭遇した顧客の事例は少数だった。この復号化スクリプトはRansomcryptの2つの亜種で機能する。
• Trojan:W32/RansomCrypt.A, SHA1: b8f60c64c70f03c263bf9e9261aa157a73864aaf
• Trojan:W32/RansomCrypt.B, SHA1: 1e41e641e54bb6fb26b5706e39b90c93165bcb0b
EULTはここで読める。
ダウンロード:fs_randec.zip, SHA1: 9ab467572691f9b6525cc8f76925757a543a95d8
最初に、暗号化ファイルのコピーにこのスクリプトを使用するようにという指示には、特に注意して欲しい。
「オリジナル」に使用しないこと。
Ransomcryptは、Tiny Encryption Algorithm(TEA)を使用してファイルを暗号化する。キーは「ファイル固有キー」を作成するために暗号化されているファイル名の先頭の文字に基づいて変更される、「ベースキー」から作成される。ベースキーもファイル固有キーも、どちらも16バイト長だ。
エフセキュアのアナリストが、サポートチームのために、Pythonで書かれた復号化スクリプトを作成した。幸いなことに、我々が遭遇した顧客の事例は少数だった。この復号化スクリプトはRansomcryptの2つの亜種で機能する。
• Trojan:W32/RansomCrypt.A, SHA1: b8f60c64c70f03c263bf9e9261aa157a73864aaf
• Trojan:W32/RansomCrypt.B, SHA1: 1e41e641e54bb6fb26b5706e39b90c93165bcb0b
EULTはここで読める。
ダウンロード:fs_randec.zip, SHA1: 9ab467572691f9b6525cc8f76925757a543a95d8
最初に、暗号化ファイルのコピーにこのスクリプトを使用するようにという指示には、特に注意して欲しい。
「オリジナル」に使用しないこと。