FunkSecランサムウェア用の復号ツールが、アンチウイルスプロバイダーAvastの研究者によって開発され、無料でダウンロードできるようになりました。
Avastの親会社Genのマルウェア研究者であるLadislav Zezul氏は、最近のブログ投稿で、彼のチームが法執行機関と協力し、FunkSecランサムウェアグループの被害者が無料でファイルを復号できるよう支援したと述べました。
グループのデータリークサイトに基づき、研究者たちは113人の被害者を特定しました。
分析によると、このグループは当初データの持ち出しと恐喝に注力し、その後攻撃に暗号化を取り入れたと考えられています。
彼らの活動のタイムラインから、最初の被害者は2024年に最初に確認されたランサムウェアサンプルより前に現れ、活動は少なくとも2025年3月中旬まで続いていたことが示されています。
「現在このランサムウェアは死んだと見なされているため、復号ツールを一般公開しました」とZezul氏は記しています。
低スキルのランサムウェアオペレーション
FunkSecは2024年後半に登場しました。グループの運営者はAI支援によるマルウェア開発を行っていたようです。
2025年1月のCheck Pointのレポートによると、FunkSecの活動は、ハクティビズム活動に関与する未熟な実行者によって行われていた可能性が高いとされています。
Check Pointの研究者は、AI支援の利用が「作者の明らかな技術的未熟さにもかかわらず、迅速な反復開発に寄与した可能性がある」と記しています。
Check Pointの脅威インテリジェンスグループマネージャーであるSergey Shykevich氏は、2025年2月にウィーンで開催された同社のCPX 2025カンファレンス中に、InfosecurityにFunkSecについて語りました。
「Funksecのランサムウェアはあまり高度ではなく、背後にいる実行者もあまり技術的ではありません。他のランサムウェアのコードを流用し、AIを使って挑戦しました。しかし、我々がテストしたところ、ランサムウェアは動作し、標的となったマシン上のサービスを妨害し、データを暗号化しました」とShykevich氏はInfosecurityに語りました。
FunkSec復号ツールの使い方
FunkSecランサムウェアの典型的な特徴としては、暗号化されたファイルに「.funksec」という拡張子が付与され、標的となったシステムのすべてのフォルダに「README-{random}.md」という身代金要求メモが存在することが挙げられます。
GenのZezul氏は、組織がFunkSec復号ツールを無料で利用するための手順を示しています:
- 64ビットWindows用の復号ツールをAvastからダウンロードします
- 復号ツールを実行:管理者としてファイルを開くと、ステップバイステップのガイドが表示されます
- ライセンス情報を確認した後、次へをクリックします
- 復号するファイルを選択:暗号化されたファイルが含まれるドライブまたはフォルダを選択します(ローカルドライブはデフォルトで選択されています)
- バックアップオプションを有効にしたまま(推奨)、復号をクリックします。処理が完了するまで待ちます
翻訳元: https://www.infosecurity-magazine.com/news/funksec-ransomware-decryptor/