Lorenz ransomware decryptor recovers victims’ files for free
2021/06/29 BleepingComputer — オランダのサイバー・セキュリティ企業である Tesorion は、Lorenz ランサムウェアに対する復号器を公開したことで、被害者は身代金を支払うことなく、ファイルの一部を復元できるようになった。2021年4月に活動を開始した Lorenzは、手動で運用されるランサムウェアであり、12件の被害者から盗み出したデータを、データ流出サイトに掲載している。
Lorenz は活発な活動をしているわけではなく、他のランサムウェアと比べて、ここ数ヶ月で先細りになってきている。Lorenz ランサムウェアの復号化ツールは、NoMoreRansom からダウンロードすることが可能であり、被害者は暗号化されたファイルの一部を復元することが可能だ。一般的なランサムウェア復号ツールとは異なり、Tesorion の復号ツールは方式が異なり、特定のファイル・タイプしか復号できない。
Tesorion の研究者である Gijs Rijnders は、BleepingComputer に対し、Office ドキュメント/PDF ファイル/一部の画像タイプ/ムービー・ファイルなどの、普及しているファイル構造であれは、復号化が可能だと述べている。この復号化ツールは、すべてのファイル・タイプを復号化するわけではないが、身代金を支払わなくても、重要なファイルを復元できる。
この記事では、実際に Tesorion の復号機を使った例を示しています。XLS および XLSX などの、一般的なファイル・タイプであれば問題なく復号できます。しかし、未知のファイル・タイプやマイナーなファイル・タイプだと、復号できません。Tesorion は、この復号化ツールの提供に加えて、Lorenzランサムウェアが使用する暗号化技術に関する洞察も提供しています。Rijnders は、ブログ記事の中で、暗号化の実装方法のバグによりデータが失われ、身代金を支払ってもファイルが復号化されない可能性があると説明しています。このバグにより、ファイル・サイズが 48 Byte の倍数になるたびに、最後の 48 Byteが失われると説明しています。かりに、マルウェアの作者から復号化ツールを入手したとしても、これらのバイトは復元できないそうです。
IoT OT Security News 