Threatpost - The First Stop For Security News

6月27日(米国時間)、Threatpostに掲載された記事「New CryptXXX Can Evade Detection, Outsmart Decryption Tools|Threatpost|The first stop for security news」が、ランサムウェア「CryptXXX」の最新版(バージョン3.100)が登場しており、公開されている復元ツール(RannohDecryptor)が利用できなくなっていると伝えた。CryptXXX 3.100よりも前のバージョンであればRannohDecryptorによる復元が可能だとされている。

CryptXXXはここ最近特に感染が広まっているランサムウェア。アップデートも頻繁に実施されており、主にスパムメールの形式を取って感染を広げている。今回、セキュリティファームのSetinelOneによって発見された最新のCryptXXXは、正規のアプリケーションであるCyberLink PowerDVD Cinemaが利用するDLLであるかのように振るまうことで、ランサムウェアとして認識されにくくなっているという。

SetinelOneの説明によれば、ファイルの暗号化はRSAおよびRC4を組み合わせて行われており、拡張子として.cryp1が使われるとのこと(これよりも前のバージョンでは拡張子として.cyptzおよび.cryptが使われていた)。このランサムウェアは身代金として1.3ビットコイン(766米ドル、日本円で7万8000円ほど)を要求するとしており、すでに総額4万6000米ドル(約470万円)ほどが支払われたようだ。