「無情なランサムウェア管理者、サービスを停止し暗号解除マスターキーを削除」

news.softpedia.com

ランサムウェアが流行し、一部についてはセキュリティ企業から無償の暗号解除ツールが提供される中、悲劇が起きたようです。

トレンドマイクロは、ランサムウェア「Encryptor」のサーバがShodan検索にひっかかることに気付き、欧米の警察やサーバを貸し出していた業者と協力し、差し押さえました。

犯人はこの動きに気付くと即座に（他のサーバで動いていた）サービスを停止しました。差し押さえが他のサーバにも及んだことから、犯人はサービス継続を完全に断念、マスターキーを削除し、一切のファイルを（たとえ被害者が支払いを申し出ても）復元できないようにしました。

ちなみに、このEncryptorは、（他のランサムウェアの多くと同様に）元締めが中央サーバを運営し、他のクラッカーが元締めと契約、ランサムウェアを感染させて、被害者からの支払いの一部を報酬として受け取るというRaaS（サービス提供型ランサムウェア、要するにアフィリエイト）という形式をとっていましたが、支払い比率が「同業者」よりも高い（元締めの取り分は通常20〜40%なのに対してEncryptorはわずか5%）ことから「人気」のプログラムだったようです。また更新頻度も高く、盗まれたデジタル証明書を使って侵入しやすくしており、さらにLinuxサーバ版まであるなど、全体的に「優秀な」元締めだった模様です。

それにしても、サーバを差し押さえるのもいいですが、被害者が救われないですね。Encryptorの解除ツールが作られるといいのですが。