Document2.zipを開いてOffice/画像/動画/TEXTがlockyされ、
復号にお金を払えという、脅迫型が猛威を振るっていますが、
お金を払ったところで、脅迫に負けて払えば次の時限爆弾が
埋め込まれるだけで、その脅迫を一生受け続ける事になります。

このLockyは、Win32/Filecoder.Locky.Aですから
元々を辿ればTrojan.Encoderの亜種です。
そのものずばりは避けますが、
やってることはphpで書くと以下のようなことをしてるだけ。
<?php
$str = "ファイル名文字列";
$str = mb_convert_encoding($str,"SJIS","rand()");
?>

この場合のEncodeは[mb_convert_encoding]がやってくれてます。
phpの関数に含まれているので、encode-decodeも簡単に出来ます。





Lockyを復元するには、[mb_convert_encoding]に変わるソフト、
もしくは関数が無いとほぼ復元(99.99%以上)は不可能です。

Trojan.Encoderは多くの異なる暗号化アルゴリズムを用います。
例えば、Trojan.Encoder.741によって暗号化されたファイルを
復号化するためのキーを見つけるには
107902838054224993544152335601年
かかります。Dr.WEBが公式見解として明らかにしています。

もしLockyが暗号化復号化アルゴリズムをアプリケーションに
していたとしても、暗号化するのにTrojanを用いているのに、
復号化にTrojanを用いないわけがありません。



現在、復号化のために犯罪者から要求される金額は最高で
1500ビットコインとなってます。1コイン＝330米ドルです。
要求される身代金の合計は49500ドルに達することもあります。
身代金を支払っても、ファイルを取り戻せる保証はありません。

もし個人が感染し身代金を払ったとして、かつ、
もしファイルの復号化に成功したとして、
復号化にTrojanを使用しているのは間違いないので、

多分ランサムウェアPETYAにやられてMBRを書き換えられます。
今度はMBRというWindowsが起動する以前の場所に埋め込まれ、
もしPetyaに感染してしまえば、身近なPC全てのハードディスク
を処分しなければ完全な駆除は不可能です。


http://blog.trendmicro.co.jp/archives/13106

MBRへ感染させれるということは自動増殖タイプですから、
MBRへ初期化コードを送るのにはPCへの接続が絶対必要ですので、
接続した途端自動増殖させるコードを実行させるなど簡単です。


ちなみに復号化が成功する確率は以下の通りです。

Trojan-Ransom.BAT.Scatter.s → 20-30%
Trojan.Encoder.94 Filecoder.Q → 90%
Trojan.Encoder.741 → 21%
Trojan.Encoder.567 → 10-20%
Trojan.Encoder.686 CTB-Locker → 現時点では復号化不可能
Trojan.Encoder.858 → 90%
Trojan.Encoder.2667 → 59%
Trojan.Encoder 3953 → 80%



Lockyについては、もう一度ブログに書きます。
悪意あるTrojanなどは、パソコンが簡単にいつでも使える状態にある。
これが感染を簡単に素早く広げれる肝の部分であることは間違いない。
このあたりについて、書こうと思います。

Lockyされた内に、Windowsバックアップやその他拡張子ファイルが
ある場合、BKUPリカバリにHDDが1台、自動実行予防にHDDが1台、
Red HatかFreeBSDが動作するサーバに接続用HDDが1台必要でしょう。
自動実行されるかどうか検証された訳ではないので、
完全駆除を考えるなら、妥当な策だと思います。
Linuxも普及したCentではウィルス側が対策出来ているかもしれません。