Threatpost - The First Stop For Security News

4月13日(米国時間)、Threatpostに掲載された記事「Jigsaw Ransomware Decryption Tool｜Threatpost｜The first stop for security news」が、研究者らによってランサムウェア「Jigsaw」に対処する方法が発見されたと伝えた。Jigsawは1時間ごとにファイルを削除していくランサムウェア。150米ドル(約1万000千円)を支払わなければ随時ファイルが削除されていく。攻撃者によれば再起動しても意味がなく、その場合には1000個ファイルが削除されるとされている。

Jigsawが活動を始めると、ホラー映画「ソウ(SAW)」にでてくるビリー人形(Billy the Puppet)を連想させるような、「I want to play a game with you. Let me explain the rules: All your files are being deleted(ゲームをしようじゃないか。ルールはこうだ。君のすべてのファイルが削除されていくんだ)」という警告文が表示される。Jigsawという名称もこの映画にでてくる殺人鬼の名前から取られている。

最初の1時間で入金しなければ1個ファイルが削除され、次の1時間に入金がなければ2個ファイルが削除される。このように1時間ごとに削除されるファイルの数が指数関数的に増加していく仕組みになっている。Jigsawに感染したユーザーはBitcoinで入金する方法も知らないことから、多くの場合は何もできずにファイルが削除されていくと説明がある。

研究者らはこのランサムウェアの動作を止める方法を見つけたと説明。Windows Task Managerを起動してfirefox.exeプロセスとdrpbx.exeプロセスを同時に終了すればよいとされている。特定のランサムウェアに暗号化されたディスクを復号化する方法が発見されるなど、ランサムウェアに対応する方法の報告が相次いでいるが、ランサムウェアに対する最も有効な対策はバックアップを取っておくことだとされている。