新しいPhobosランサムウェア用復号ツール、被害者が無料でファイルを復元可能に

日本の警察は、Phobosおよび8-Baseランサムウェアの被害者が無料でファイルを復元できる復号ツールを公開しました。BleepingComputerは、このツールがファイルの復号に成功することを確認しています。

Phobosは2018年12月に開始されたランサムウェア・アズ・ア・サービス（RaaS）型のオペレーションで、他の脅威アクターがアフィリエイトとして参加し、暗号化ツールを攻撃に利用できるようになっていました。身代金が支払われた場合、その支払いはアフィリエイトと運営者の間で分配されていました。

このランサムウェアオペレーションは他のランサムウェアほどメディアの注目を集めませんでしたが、Phobosは世界中の多くの企業を攻撃した、最も広く拡散したランサムウェアオペレーションの一つと考えられています。

2023年には、アフィリエイトの一部が8-Baseオペレーションを開始し、改変されたPhobos暗号化ツールを利用しました。他のアフィリエイトと異なり、このグループはダブルエクストーション（二重脅迫）を行い、ファイルを暗号化するだけでなくデータも盗み、身代金が支払われない場合は公開すると脅迫しました。

2024年には、Phobosランサムウェアオペレーションの管理者とみられるロシア国籍の人物が、韓国からアメリカに身柄を引き渡され、13件の罪で起訴されました。

今年、Phobosオペレーションは大規模な妨害を受け、国際的な法執行機関による共同作戦で27台のサーバーが押収・停止されました。この作戦の一環として、8Baseランサムウェアグループのリーダーとされるロシア人4名が逮捕されました。

無料のPhobos復号ツール

日本の警察は現在、Phobosおよび8Baseランサムウェアによってファイルが暗号化された組織や個人向けに、無料の復号ツールを公開しています。

どのようにしてこの復号ツールが作成されたのかは明らかではありませんが、今年のランサムウェアグループ摘発時に得られた情報が活用されたと考えられています。

復号ツールは日本警察のウェブサイトからダウンロードでき、英語の手順書も提供されています。また、EuropolのNoMoreRansomプラットフォームからも入手可能であり、EuropolやFBIも公式ツールとして紹介しています。

なお、Google ChromeやMozilla Firefoxなどのウェブブラウザはこの復号ツールをマルウェアとして検出してしまうため、ダウンロードや利用が難しい場合があります。しかし、BleepingComputerがテストした結果、この復号ツールは悪意のあるものではなく、最近の暗号化ツールで暗号化されたファイルも正常に復号できることが確認されています。

現在、復号ツールは以下の拡張子が付いた暗号化ファイルに対応しています：「.phobos」、「.8base」、「.elbie」、「.faust」、「.LIZARD」。

ただし、日本の警察によると、他にも対応している拡張子がある可能性があるため、リストにない拡張子でも復号ツールを試す価値があります。

テストとして、BleepingComputerは最近のPhobosランサムウェアの亜種で、暗号化ファイル名に.LIZARD拡張子を付加するものを仮想マシンに感染させました。下図をご覧ください。

ファイルを復号するには、復号ツールを起動し、ライセンス契約に同意します。Windowsが長いファイル名に対応していない場合は、その設定を有効にするよう促され、その後復号ツールを再起動する必要があります。

起動後は、暗号化されたファイルのパスを指定し、復号後のファイルを保存する出力フォルダを選択します。準備ができたら復号ボタンをクリックすると、復号ツールが指定したフォルダにファイルの復元を試みます。

ドライブのルートを選択することも可能で、その場合は復号ツールが再帰的にファイルを復号し、同じフォルダ構造を出力先フォルダに再現します。

復号が完了すると、復号に成功したファイル数が表示されます。

BleepingComputerは、この復号ツールがPhobosランサムウェアのLIZARD亜種で暗号化された150個すべてのファイルを正常に復号できたことを確認しています。

Phobosおよび8Baseランサムウェアの被害者は、暗号化されたファイルの拡張子がリストにない場合でも、この復号ツールを試すことをお勧めします。復号できる可能性があります。