日本の警察は、被害者が無料でファイルを復元できるPhobosおよび8-Baseランサムウェア復号化ツールを公開し、ファイルの復号化に成功したことを確認した。
Phobosは2018年12月に開始されたランサムウェア・アズ・ア・サービスの運営で、他の脅威アクターがアフィリエイトとして参加し、その暗号化ツールを攻撃に利用できるようにしていた。その代わり、身代金の支払いはアフィリエイトと運営者の間で分割されました。
このランサムウェア作戦は他のランサムウェア作戦ほどメディアの注目を集めなかったが、Phobosは最も広く分布するランサムウェア作戦の1つと考えられており、世界中の企業に対する多くの攻撃の原因となっている。
2023年、関連会社のグループが、修正されたPhobos暗号化ツールを利用した8-Base作戦を開始しました。他の関連グループとは異なり、このグループはファイルを暗号化してデータを盗み、身代金を支払わなければデータを公開すると脅すという二重の恐喝を行いました。
2024年、Phobosランサムウェアの管理者と疑われたロシア人が、韓国から米国に引き渡され、13件の起訴で告発された。
今年、Phobos作戦は大規模な混乱に見舞われ、国際的な法執行機関の連携作戦によって27台のサーバーがダウンし、押収された。この作戦の一環として、8Baseランサムウェア・グループを率いていた疑いのある4人のロシア人が逮捕された。
無料のPhobos復号化ツール
日本の警察は現在、Phobosおよび8Baseランサムウェアの操作によってファイルが暗号化された組織や人々のために、無料の復号化ツールを公開している。
どのようにして復号化ツールを作成できたのかは不明だが、今年のランサムウェア一味の混乱時に得た情報によって可能になったと考えられている。
解読ソフトは日本の警察のウェブサイトからダウンロードすることができ、英語での説明もある。この復号化ツールは、ユーロポールのNoMoreRansomプラットフォームからも入手可能であり、ユーロポールと FBIはその公式な地位を示すためにプロモーションを行っている。
なお、Google ChromeやMozilla Firefoxなどのウェブブラウザは、この復号化ツールをマルウェアとして検出しており、ダウンロードや使用が困難である。しかし、この復号化ソフトをテストしたところ、悪意がないだけでなく、最近の暗号化ソフトで暗号化されたファイルの復号化にも成功している。
この復号化ツールは現在、以下の拡張子の暗号化ファイルをサポートしています:「.phobos」、「.8base」、「.elbie」、「.faust」、「.LIZARD」。
しかし、日本の警察によると、他にもいくつかの拡張子がサポートされている可能性があるとのことなので、リストに記載されている拡張子を持たないファイルであっても、復号化ツールをテストする価値はあるだろう。
テストとして、暗号化されたファイル名に.LIZARD拡張子を追加する最近のPhobosランサムウェアの亜種を仮想マシンに感染させると、以下のようになります。
ソースは こちら:
ファイルを復号化するには、復号化ツールを起動し、そのライセンス契約に同意します。Windows が長いファイル名をサポートするように設定されていない場合、この設定を有効にするようプロンプトが表示され、復号化ツールを再起動するよう要求されます。
起動後、暗号化ファイルのパスを指定し、復号化ファイルを作成する出力フォルダを選択します。準備ができたら、[復号化]ボタンをクリックします。復号化ツールは、選択したフォルダにファイルの復元を試みます。
ドライブのルートを選択すると、復号化ツールはファイルを再帰的に復号化し、出力フォルダに同じフォルダ構造を再作成します。
完了すると、復号化ツールは復号化に成功したファイル数を表示します。
ソース フォルダ 内のすべてのファイルの復号化に成功しました:
この復号化ツールは、Phobos ランサムウェアの LIZARD 変種によって暗号化された 150 ファイルすべての復号化に成功したことを確認できます。
:
Phobos および 8Base ランサムウェアの被害者は、暗号化されたファイルにリストにある拡張子がなくても、この復号化ツールを試してみてください。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; /*object-fit: cover;*/ border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
CISOが実際に使用するボードレポートデッキ
CISOは、取締役会の賛同を得るには、クラウド・セキュリティがどのようにビジネス価値を高めるかについて明確かつ戦略的な見解を示すことから始まることを知っています。
この無料で編集可能な取締役会用レポート・デッキは、セキュリティ・リーダーがリスク、影響、優先事項を明確なビジネス用語で提示するのに役立ちます。セキュリティ・アップデートを有意義な会話に変え、役員会での意思決定を迅速化しましょう。
Comments