Mac上のファイルを暗号化し身代金を要求するランサムウェア「Findzip」に感染し、暗号化されてしまったファイルを復号化する方法をMalwarebytesが公開しています。詳細は以下から。
Findzip(OSX.Findzip.A)は2017年02月に発見されたmacOS用ランサムウェアで、Microsoft OfficeやAdobe Premiere Proのクラックツールを装い実行するとファイルを暗号化し、復号化と引き換えに身代金を要求する機能を備えていますが、このFindzipによって暗号化されてしまったファイルを復号化する方法をMalwarebytes社のThomas Reedさんが公開しています。
If anyone has been infected with the Findzip #ransomware, this will help you decrypt your files: https://t.co/rSMooNNqwt
— Thomas Reed (@thomasareed) 2017年2月28日
However, all hope is not lost! If you made the mistake of not having a backup, or if your backup was also compromised by the ransomware, there’s still a chance for you to recover. It will not be fast or easy, but by following the instructions in this article, you’ll be able to regain your files.
Decrypting after a Findzip ransomware infection – Malwarebytes Labs
復号化に必要なもの
Findzipに感染して暗号化されてしまったファイルを復号化するには、Findzipに感染していないMacと以下のアプリやソースコードが必要で、
- 動作するMac
- XcodeかTextWrangler
- Xcodeのcommand-line tools
- PkCrackのソースコード
- 1つの暗号化されていないファイルと、それと対応した暗号化されてしまったファイル
パスワードクラッキングツール「PkCrack」を使用し、暗号化されていないファイルと、それと対応する暗号化されたファイルから復号化キー3つを割り出すことで復号化が可能になるそうです。
./zipdecrypt c054acf9 d1656d7b 3549626f Info.plist.crypt Info.plist.zip
Appleは既にXProtect v2089で”OSX.Findzip.A”をブロックしているため、今後このランサムウェアの被害に遭うことは少ないと思いますが、このような手法を使わないためにもTime Machineやバックアップを定期的にしておくことをお勧めします。
- Decrypting after a Findzip ransomware infection – Malwarebytes Labs
コメント