暗号化ランサムウェアが初めて登場したのは

2006~2007年

2009年1月から現在までのランサムウェアの増加率は約

1900%!!

現時点でユーザーにとって最も危険なランサムウェアはTrojan.Encoder(Cryptolockers)ファミリー―このトロイの木馬ファミリーには数千の亜種が含まれています。

2013年4月中旬から2015年3月までにDoctor Webのウイルスラボに寄せられた、トロイの木馬エンコーダーによって暗号化されたファイルの復号化リクエストは40000件を超えている。

2015年11月、Doctor Webテクニカルサポートで受け取ったTrojan.Encoderファミリー復号化リクエストがリクエスト全体の60%を超えました。そのうち他社アンチウイルス製品のユーザーが過半を占めています。

Trojan.Encoder(Cryptolockers)プログラムは多くの異なる暗号化アルゴリズムを用いています。

例えば、Trojan.Encoder.741によって暗号化されたファイルを復号化するためのキーを見つけるには

107902838054224993544152335601年

かかります。

Doctor Webの統計によると、暗号化ランサムウェアによって暗号化されてしまったファイルを復号化できる確率はたったの10%未満です。

つまり、ほとんどのユーザーは永久にデータを失ってしまっているのです!

以下の表は、Doctor Webのセキュリティエキスパートによって算出された復号化の確率の例です。

トロイの木馬別名復号化の確率
BAT.EncoderTrojan.FileCrypt.C
BAT/Filecoder.B
Trojan-Ransom.BAT.Scatter.s
20-30%
Trojan.Encoder.94Trojan-Ransom.Win32.Xorist
Trojan:Win32/Bumat!rts
Win32/Filecoder.Q
90%
Trojan.Encoder.29390-100%*
Trojan.Encoder.398Gen:Trojan.Heur.DP.oKW@aaMh5tg;
TR/Dldr.Delphi.Gen
58%
Trojan.Encoder.556Trojan-Ransom.Win32.Agent.iby,
Gen:Variant.Kates.2
3-5%
Trojan.Encoder.74121%
Trojan.Encoder.567Win32/Filecoder.CQ,
Gen:Trojan.Heur.OH3@tb9fsadcg
10-20%
Trojan.Encoder.686CTB-Locker現時点では復号化不可能
Trojan.Encoder.858
Trojan.Encoder.2843(*.vault)90%
Trojan.Encoder.266759%
Trojan.Encoder 395380%
Linux.Encoder.1, Linux.Encoder.2, Linux.Encoder.3100%
Mac.Trojan.KeRanger.2100%

* - トロイの木馬のファイルを入手可能な場合

トロイの木馬の一部の亜種では、それらによって暗号化されたファイルを復号化することができたのはDoctor Webだけであるというユーザーのフィードバックがフォーラム上に投稿されています。

Doctor Webでは2014年5月より、Trojan.Encoder.398によって暗号化されたデータを復元するためのルーチンを開発することを目的とした大規模な研究が実施されています。

現時点で、Doctor Webは90%の確率で復号化に成功している唯一の企業です。

この脅威に関する詳細についてはこちらの記事をご覧ください。

現在、復号化のために犯罪者から要求される金額は最高で1500ビットコインとなっています。

1ビットコイン=272ユーロまたは330米ドル

要求される身代金の合計は49,500ドルに達することもあります。

例え身代金を支払った場合でも、データを取り戻すことができるという保証はありません。

時には変わった例も見られます。被害者が身代金を支払いましたが、犯罪者は自分が使っているTrojan.Encoder (Cryptolocker)によって暗号化されたファイルを復元する方法が分からなかったため、ユーザーに対しサポートサービスに連絡するよう指示したのです・・・Doctor Webのテクニカルサポートサービスに!

最新のDr.Webをインストールしているユーザーは復号化サービスを無料でご利用いただけます。

90%以上
ユーザーが暗号化トロイの木馬を自分で起動させてしまっています。

Dr.Web Security Space(バージョン9以上)には、これらトロイの木馬からデータを守るために、「データ損失防止」という機能を備えています。

また、例えトロイの木馬によってファイルを暗号化されてしまった場合でも、Doctor Webにサポートをリクエストすることなく、それらのファイルを自身で復元することが可能です。

よくあるバックアッププログラムと異なり、Dr.Webではバックアップストレージを作成し、そのストレージを犯罪者によるアクセスから保護します。

暗号化ランサムウェアに関するトレーニング

#drweb

DWCERT-070-6(Windows PCおよびファイルサーバー用の暗号化ランサムウェアからの保護)コースをダウンロードして学習しましょう。このコースには、暗号化ランサムウェアによってファイルが暗号化されることを防ぐためのDr.Web コンポーネントの設定に関する詳細な情報と簡単な説明が含まれています。また、Dr.Web Security Spaceで利用可能なデータ損失防止機能に関する詳細情報も含まれています。

ダウンロード(英語)
Dr.Webをインストールしてご利用になっていたPCで、トロイの木馬によってファイルが暗号化されてしまった場合は、Doctor Webテクニカルサービスまでご連絡の上、復号化を依頼してください:
  • Doctor Webのテクニカルサービスから指示があるまで、例え仕事で必要な場合であっても、感染したコンピューターを使用しないようにしてください。
  • OSを再インストールしようとしないでください!
  • ディスク上からファイルやプログラムを削除しようとしないでください!
  • ウイルススキャンを実施した場合、修復/削除を含む、取り消しのできないアクションを実行しないでください。検出されたウイルス/トロイの木馬に対してアクションを実行する前にDoctor Webテクニカルサポートに相談するか、またはそれら全てのマルウェアのバックアップを取るようにしてください。データを復号化するためのキーを特定するために必要となる場合があります。

Doctor Webサポートサービスへのリクエスト方法はこちらをご覧ください。

コンピュータがこれらのウイルスに感染してしまった場合、警察に届け出ることを推奨します。

ご覧いただき、誠にありがとうございます。