Free decryptor released for Atom Silo and LockFile ransomware
2021/10/27 BleepingComputer — Avast がリリースしたのは、AtomSilo と LockFile ランサムウェアの被害者が身代金を支払うことなく、ファイルの一部を無料で復元するための復号化ツールである。今日の未明に Avast は、Babuk ランサムウェアの被害者がファイルを無料で復元するための、別の復号化ツールもリリースしている。
Avast の説明によると、この復号ツールは、未知のファイル、または、独自のファイル、全くフォーマットのないファイルを復号できない可能性があるという。Avast の Threat Intelligence Team は、「復号化プロセスにおいて、Avast AtomSilo 復号化ツールは、既知のファイル形式に依存して、対象となるファイルが正常に復号化されたことを確認する。そのため、一部のファイルには、復号化されない可能性がある」と述べている。
この復号ツールは、AtomSilo と LockFile が類似しているため、両方のランサムウェア系統に対して機能する。Avast Threat Labs によると、このランサムウェア解読ツールは、今月初めにAtomSilo ランサムウェアの弱点を発見した、RE-CERT のマルウェア・アナリストである Jiří Vinopal との共同作業により作成された。
AtomSilo と LockFile の被害者は、Avast のサーバーから復号ツールをダウンロードし、復号ツールの UI 従って、ディスク・パーティション全体を復号できる。BleepingComputer におけるテストでは、Atom Silo のサンプルで暗号化されたファイルを、Avast の無料の復号化ツールにより復元している。
LockFile ランサムウェアの動きは、2021年7月に初めて確認された。このギャングは、ProxyShell と PetitPotam の脆弱性に対するパッチが適用されていないサーバーを悪用して、Windows ドメインを乗っ取り、デバイスを暗号化していた。LockFile ランサムウェアは、ファイルを暗号化する際に、暗号化されたファイルの名前に .lockfile という拡張子を付け、[被害者名]-LOCKFILE-README.hta というフォーマットで身代金請求書を投下する。
特に興味深いのは、LockFile の配色と身代金請求書のレイアウトが、LockBit ランサムウェアと類似している点だが、この2つのグループには何の関係もないようだで。
Atom Silo は、新たに発見されたランサムウェアであり、その運営者は、パッチが適用されていても、積極的に悪用されているバグをターゲットにしており、最近では Atlassian Confluence Server/Data Center を攻撃している。
SophosLabs の研究者たちによると、Atom Silo が使用するランサムウェアは、LockFile とほぼ同じとなる。しかし、Atom Silo の運営者は、エンドポイント・プロテクション・ソリューションを妨害する、悪意の DLL をサイドロードするなど、攻撃の調査を極めて困難にするための、新しい技術を使用しているようだ。
昨日に「Babuk ランサムウェアの復号ツールが無償でリークされた」という記事をポストしましたが、これも Avast からのリリースです。他にも、「BlackByte ランサムウェア:バグにより複合キーが漏れ出したようだ」などに記したように、複合キーのリークが続いています。おそらく、ランサムウェアに対する調査/研究が進み、さまざまな情報が集められた結果だと思います。この流れが続くと良いですね。
IoT OT Security News 