GPcodeの暗号化されたファイルを修復するには

文:Dancho Danchev(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2008年06月17日 16時51分

  • このエントリーをはてなブックマークに追加

 バックアップは取っただろうか。1024ビットのRSA鍵を分散処理を使って直接計算しようという無益な試みに対するセキュリティコミュニティのコメントに応じて、Kaspersky Labsは暗号化されたデータのバックアップを取っていなかったエンドユーザーに対し、データ修復ツールを使うことを勧め始めた。

 現在のところ、秘密鍵なしでGpcode.akで暗号化されたファイルを復号化することは不可能だ。しかし、暗号化されたファイルを元の状態に戻す方法はある。ファイルを暗号化する際、Gpcode.akは暗号化しようとするファイルに隣接したところに新しいファイルを作成する。Gpcodeは元のファイルを暗号化したデータをこの新しいファイルに書き込み、その後元のファイルを削除する。

 ディスク上のデータが大きく変わっていなければ、削除されたデータを復活させることは可能であることはよく知られている。これが、われわれが最初からユーザーにコンピューターをリブートをせずにわれわれに連絡を取ることを勧めていた理由だ。われわれに連絡してきたユーザーに対しては、ディスクから削除されたファイルを復活させるさまざまなユーティリティを利用するよう話している。残念ながら、利用可能なユーティリティのほとんどはシェアウェアだ。われわれはGPcodeが削除したファイルを復活するのを助ける、効果的で入手可能なユーティリティが欲しいと考えていた。最終的に選んだのは、PhotoRecと呼ばれる優秀な無料ユーティリティだ。これはChristophe Grenier氏が作成したもので、GPL(General Public License)で配布されている。

 どうやればマルウェアが元のファイルを削除するプロセスの弱点を利用してGPcodeが暗号化したファイルを回復できるのか、なぜ直接暗号アルゴリズムを攻撃するのは無益なのか、将来GPcodeの作者はどう対応してくるだろうか、そして、ユーザーはこれに何ができるのだろうか。

 以前の記事 "Who’s behind the GPcode ransomware?" でも指摘したとおり、彼らは今回暗号アルゴリズムをうまく実装したが、マルウェアの作者は元のファイルを完全に削除しておらず、その手順の弱点を利用することで、データ復活技術や単純なクリックするだけのソフトウェアを使うことでファイルを復活できる可能性ある。バックアップが残っておらず、影響を受けたすべてのファイルが復活できないとすれば、1000のうち500だけでも助かれば0よりはましではないだろうか。この状況に対応できて、お金も払わない方法はどういうものだろうか。Kasperskyが公表したStopgpcodeの説明には次のようにある。

 修復手順の最後に使うために、われわれはStopGpcodeというユーティリティを作成した。これは、復活させたファイルの並べ替えと名前の変更を行うものだ。このユーティリティはディスク全体を処理し、暗号化されたファイルと復活させたファイルのサイズを比較する。このプログラムは復活させたファイルの元の場所と名前を判断する基礎情報として、ファイルサイズを利用する。このユーティリティはそれぞれのファイルの名前と場所を修復することを試み、元のフォルダとファイル名を「sorted」というフォルダの中に再作成する。ユーティリティが元のファイル名を判別できない場合は、そのファイルは「conflicted」というフォルダに保存される。

 データ復活ユーティリティのPhotoRecを利用する段階的なチュートリアルの他に、この手順を説明するビデオも用意されている。また、サードパーティのデータ復活ユーティリティウェブベースの別の手段を使うことを考えてもいいだろう。

そもそも、なぜ分散クラッキングは無駄な試みなのか。

 これは投資回収率や現実的な状況での適用可能性に欠けているためだ。相手は単純に、新しいより強力な鍵を持つGPcodeの亜種を作ればよく、亜種ごとに鍵を変えていけばいいのだ。マルウェアの作者はまた、彼らの被害者全員に対するすべての秘密鍵を持つ一般的な復号化ツールを作るようなことをせず、被害者ごとに専用に作られた復号化ツールを提供しており、最初に暗号化プロセスで使われた公開鍵の情報をたずね、その公開鍵を使って暗号化されたファイルにだけ適用できる顧客専用の復号化ツールを送っている。多くのマルウェアの変種はなるべく多くの相手を感染させようとするのに対し、GPcodeは現在のところ目標を絞ったアプローチを取っており、効率を犠牲にして品質を重視している。

GPcodeの作者は、今後どのように対応してくるか。

 GPcodeの作者、あるいは復号化ツールの要望を処理する担当者によれば、すでにより強力な暗号を使った新しいバージョンが作られつつあり、これは対サンドボックス処理、ポリモーフィング、自己増殖能力などのマルウェアが一般的に持つ機能を備えているという。これはまずい状況になる可能性がある。例えば、現在でもGPcodeの作者が使っている4つの電子メールアドレスのうち2つは、被害者への返事をするために使われてさえおらず、もしGPcodeが自己増殖を始めたら、返事の遅れ大きなものになるだろう。もし被害者にお金を払う気があったとしても、感染した人の数が彼らが専用の復号化ツールを直ちに提供できる能力を上回る状況になるはずだ。

 GPcodeの失敗は、GPcodeの恐怖を利用する戦術を取るバックアップ企業のマーケティングツールになりつつあり、マルウェアに強いバックアップ手段が再び注目を集めつつある

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化