読者です 読者をやめる 読者になる 読者になる

Encryptorランサムウェア、マスターキーを削除、ファイル復元不能に

「無情なランサムウェア管理者、サービスを停止し暗号解除マスターキーを削除」

news.softpedia.com

ランサムウェアが流行し、一部についてはセキュリティ企業から無償の暗号解除ツールが提供される中、悲劇が起きたようです。

トレンドマイクロは、ランサムウェア「Encryptor」のサーバがShodan検索にひっかかることに気付き、欧米の警察やサーバを貸し出していた業者と協力し、差し押さえました。

犯人はこの動きに気付くと即座に(他のサーバで動いていた)サービスを停止しました。差し押さえが他のサーバにも及んだことから、犯人はサービス継続を完全に断念、マスターキーを削除し、一切のファイルを(たとえ被害者が支払いを申し出ても)復元できないようにしました。

ちなみに、このEncryptorは、(他のランサムウェアの多くと同様に)元締めが中央サーバを運営し、他のクラッカーが元締めと契約、ランサムウェアを感染させて、被害者からの支払いの一部を報酬として受け取るというRaaS(サービス提供型ランサムウェア、要するにアフィリエイト)という形式をとっていましたが、支払い比率が「同業者」よりも高い(元締めの取り分は通常20〜40%なのに対してEncryptorはわずか5%)ことから「人気」のプログラムだったようです。また更新頻度も高く、盗まれたデジタル証明書を使って侵入しやすくしており、さらにLinuxサーバ版まであるなど、全体的に「優秀な」元締めだった模様です。

それにしても、サーバを差し押さえるのもいいですが、被害者が救われないですね。Encryptorの解除ツールが作られるといいのですが。