従来のマグニバー(Magniber)ランサムウェア復旧ツールを GUI 形式に改善し、4月8日以降から確認された可変長のベクトルにより復旧が不可能な部分をサポートしている。(ただし、拡張子、キー情報と共に暗号化/復号ファイルのペアが存在する場合に限る)
新しい復旧ツールは暗号化の拡張子情報を入力しさえすれば該当するキー(Key)、ベクトル(IV)情報が表示される構造を持つ。拡張子に対するキー、ベクトル情報は復旧ツール内部に「magniber.db」という名前のデータベースファイルで管理され、アップデートを継続して提供していく予定である。(2019年10月現在は終了)もし拡張子入力後にキー、ベクトル情報が表示されない場合、復旧が不可能であり、「magniber.db」ファイルがアップデートされる必要がある。
[復旧ツールの使用方法]
1) 感染した PC に「MagniberDecrypt.exe」ファイルをダウンロードおよび実行します。
– 復旧時にドライブを自動で検知するため、インストールパスは重要ではありません。
2) 復旧ツールを実行すると、同じパスにインストールファイルが含まれるフォルダが生成され、自動でプログラムが実行されます。プログラムウィンドウが表示されたら、暗号化の拡張子を入力する部分に暗号化されたファイルの拡張子を入力して「OK」ボタンをクリックします。
事例(1):拡張子を入力すると、Key と IV 値が両方表示される
拡張子を入力して「OK」ボタンをクリックしたときに Key と IV 値が存在する場合、「Start」ボタンをクリックするとファイルが自動で復元されます。暗号化されたファイルは削除されません。したがって、復号のため別途容量を確保しておく必要があります。
事例(2):拡張子を入力すると、Key 値だけが存在する(IV値なし)
拡張子を入力したときに Key 値だけが存在する場合、元のファイルと暗号化されたファイルが必要です。元のファイルはランサムウェアに感染したときに接続されるページで提供している復旧作業を通して取得する必要があります。一定時間が経過すると、当該サービスページにアクセスできなくなるため、感染した時点で復旧ファイルをバックアップしておく必要があります。
元のファイルと感染したファイルのペアが確保できた場合、復旧ツールで「元のファイル」、「暗号化されたファイル」に、それぞれのファイルパスを入力します。「…」ボタンをクリックすると、ファイルを選択できます。入力後、「Start」ボタンをクリックするとファイルが自動で復元されます。感染ファイルは削除されません。
事例(3):拡張子を入力すると、サポートされていないという警告ウィンドウが表示される(magniber.dbファイルのアップデートが必要)
1)拡張子を入力したとき、警告ウィンドウが表示された場合は本記事に添付されている「magniber.db」ファイルのアップデートが必要です。「magniber.db」ファイルには拡張子、Key、IV値が保存されており、継続的にアップデートされる予定です。
2) ASEC ブログを通してデータベースファイルがアップデートされた場合、「MagniberDecrypt.exe」ファイルを実行したパスと同じパスに生成されたフォルダ(「AhnlabMagniberDecrypt」)に移動して「magniber.db」ファイルを上書きします。
[注意]
「magniber.db」ファイルをアップデートした場合、元の「MagniberDecrypt.exe」を再実行すると「magniber.db」ファイルが初期化されます。したがって、復旧ツールを終了したあと再び実行する場合は、AhnlabMagniberDecrypt フォルダに存在する「MagniberDecrypt.exe」を使用してください。
事例(4):magniber.db ではなく、手動で値を入力する必要がある場合
復旧ツールの右上にある「プロフェッショナル用」にチェックを入れて、キーとベクトル情報を直接復旧ツールに入力します。入力後、「Start」ボタンをクリックするとファイルが自動で復元されます。暗号化されたファイルは削除されません。したがって、復号のため別途容量を確保しておく必要があります。
*復旧ツールのダウンロード:https://www.ahnlab.com/kr/site/download/product/productVaccineList.do
(上記ページにアクセスし、「MagniberDecrypt.exe」ファイルをダウンロード)
「AhnLab が提供する専用のアンチウイルスおよびランサムウェア復旧ツールは、ユーザーが非営利目的でダウンロードし、インストールおよび利用することができますが、営利的な目的による使用は禁止されています。
営利的な目的による利用・販売・再販行為が確認された場合、法的措置を講じる場合があります。」
[4月19日] – Update!!
[4月12日]
* 以下のページで従来「表」形式で提供していた拡張子/キー/ベクトル情報は、数量が多いため、今後はDBファイルとExcelファイル形式で添付して提供します。
* 過去に Github で公開された Magniber ランサムウェアの復旧関連のソースコードでは CHUNK_SIZE が128バイトになっているが、現在国内で出回っている形式は0x100000バイトである。この値が変更されない場合、一部の復旧されたファイルの最後にパディングデータが存在し、実行時に破損ファイルとして認識されることがある。
– https://gist.github.com/evilsocket/b89df665e6d52446e3e353fc1cc44711
※ 現在、Magniber ランサムウェアに対する復旧ツールのアップデートは、ランサムウェアの暗号化方式の変更等を理由に、サポートを終了しています。
Categories:対応ガイド