Mac上のファイルを暗号化し身代金を要求するランサムウェア「Findzip」に感染し、暗号化されてしまったファイルを復号化する方法が公開。

スポンサーリンク

 Mac上のファイルを暗号化し身代金を要求するランサムウェア「Findzip」に感染し、暗号化されてしまったファイルを復号化する方法をMalwarebytesが公開しています。詳細は以下から。


 Findzip(OSX.Findzip.A)は2017年02月に発見されたmacOS用ランサムウェアで、Microsoft OfficeやAdobe Premiere Proのクラックツールを装い実行するとファイルを暗号化し、復号化と引き換えに身代金を要求する機能を備えていますが、このFindzipによって暗号化されてしまったファイルを復号化する方法をMalwarebytes社のThomas Reedさんが公開しています。

However, all hope is not lost! If you made the mistake of not having a backup, or if your backup was also compromised by the ransomware, there’s still a chance for you to recover. It will not be fast or easy, but by following the instructions in this article, you’ll be able to regain your files.

Decrypting after a Findzip ransomware infection – Malwarebytes Labs

復号化に必要なもの

 Findzipに感染して暗号化されてしまったファイルを復号化するには、Findzipに感染していないMacと以下のアプリやソースコードが必要で、

  1. 動作するMac
  2. XcodeかTextWrangler
  3. Xcodeのcommand-line tools
  4. PkCrackのソースコード
  5. 1つの暗号化されていないファイルと、それと対応した暗号化されてしまったファイル

パスワードクラッキングツール「PkCrack」を使用し、暗号化されていないファイルと、それと対応する暗号化されたファイルから復号化キー3つを割り出すことで復号化が可能になるそうです。

./zipdecrypt c054acf9 d1656d7b 3549626f Info.plist.crypt Info.plist.zip

 Appleは既にXProtect v2089で”OSX.Findzip.A”をブロックしているため、今後このランサムウェアの被害に遭うことは少ないと思いますが、このような手法を使わないためにもTime Machineやバックアップを定期的にしておくことをお勧めします。