台湾のセキュリティ企業、Prometheusランサムウェアの復号ツールを公開

台湾のセキュリティ企業CyCraft社は、ランサムウェア「Prometheus」の犠牲者がファイルを復元・復号化することができるアプリケーションを無料で公開しました。

このアプリケーションは、GitHubで公開されており、被害者のデータをロックするために使用された暗号化キーを総当りすることで暗号を解読します。

GitHub - cycraft-corp/Prometheus-Decryptor: Prometheus-Decryptor is a project to decrypt files encrypted by Prometheus ransomware.
Prometheus-Decryptor is a project to decrypt files encrypted by Prometheus ransomware. - GitHub - cycraft-corp/Prometheus-Decryptor: Prometheus-Decryptor is a p...

「Prometheusランサムウェアは、ファイルを暗号化するために、ランダムなパスワードを持つSalsa20を使用しています。ランダムなパスワードのサイズは32バイトで、すべての文字は可視文字です。弊社の専門家はブログ記事で、このパスワードはティックカウントをキーとして使用しているため、総当りに推測することができます」と述べています。

Prometheus Ransomware Decryptor
This year, CyCraft has been involved in several cases of Prometheus attacks. Naturally, we attempted to reverse-engineer Prometheus to gain…

Windowsユーザー向けにGUI版を用意しました。

すべての機能はGUI版でサポートされています。

プログラミングのスキルが成熟していない場合は、以下の手順でファイルを復号してください。

・復号化するファイルまたはフォルダを選択します。
・出力ファイル名または出力フォルダを選択する。
・スレッドを使用する」を選択し、PC用の2-4を入力する。(スレッドは通常、復号化ルーチンを高速化しますが、実際にはお使いのCPUコア数に依存します)
・「復号化」をクリックします。
・カウンタが表示され、現在の推測回数を示しています。
・復号化の結果が下のテキストブロックに表示されます。(複数の鍵が存在する可能性があるため、復号化ルーチンはさらに可能性のある鍵を見つけるために復号化を続けます。
・「Next one」を押すと、現在のファイルをスキップすることができます。

CyCraft社の復号ツールの唯一の欠点は、小さなファイルからしか復号キーを総当りできないこととされていますが、この復号ツールの公開は、ティックカウントグループの活動に影響を与えたようで、Prometheus gangは活動を停止したようです。

今年2月に初めて確認されたこのグループは、それまでに40社以上の被害者をリークサイトに掲載していました。このグループは、悪名高いREvilギャングとの関連性を主張して注目を集めましたが、REvilギャングがKaseyaを攻撃した後に、この関連性についての文章を削除していました。

Prometheusが沈黙した直後に、同じくThanosのコードベースをベースに活動するHaronという新しいグループが攻撃を開始したため、専門家の中にはPrometheusの運営者がHaronとしてブランド名を変えたのではないかと考える人もいます。

Thanosベースのランサムウェアは毎週のように新たな被害者を出しているため、これは遅かれ早かれ実現するかもしれません。

コメント

タイトルとURLをコピーしました