ランサムウェア対策を手掛ける「No More Ransom」プロジェクトは10月25日、2018年に入って猛威をふるうランサムウェア「GandCrab」の複数のバージョンに対応する復号ツールを無償公開した。ルーマニアの警察当局や欧州刑事警察機構(Europol)、セキュリティ企業のBitDefenderが開発している。
GandCrabは2018年1月に発見され、不特定多数を狙ったスパムメール攻撃などを通じて拡散している。感染するとファイルが暗号化され、拡張子を「.GDCB」「.CRAB」「.KRAB」などに変更、被害者に復号のための費用と称して600~3000ドル相当の仮想通貨による支払いを要求する。Europolによれば、被害者は世界で約50万人に上ると見られている。
同ランサムウェアは、アンダーグラウンドの犯罪者コミュニティーなどを通じて、短期間に大幅なバージョンアップを繰り返している。直近では7月に確認されたバージョン4でアルゴリズムが高速のストリーム暗号「Salsa20」に変更されたほか、データサイズが1Mバイト未満のファイルは暗号化しないことでセキュリティ検知を回避するといった“凶悪化”が進む。9月に見つかった現時点で最新のバージョン5は、暗号化に変更される拡張子の種類が増やされた。
GandCrabのバージョンによって暗号化されたファイルの拡張子が異なる(出典:BitDefender)
今回No More Ransomプロジェクトが公開した復号ツールは、GandCrabのバージョン1および4、5に対応したものとなる。BitDefenderによれば、GandCrabのバージョン2および3に対応する復号ツールの開発も進めているという。
