✅ レポートタイトル：ランサムウェアの復号化:「Windows Locker」の分析と復号化のためのツール

S2W脅威インテリジェンスセンターは、ランサムウェア「Windows Locker」の分析と復号化に関するレポートを発行しました。

「Windows Locker」の復号化ツールに関してご確認いただける難易度の高い脅威インテリジェンスレポートです。

✅ レポートの要約：

1) レポートの紹介

S2Wの脅威インテリジェンスセンターは、2025年に登場したランサムウェアを継続的に追跡しており、今年登場したランサムウェアのうち、分析を通じて復号化可能なランサムウェア「Windows Locker」を確認して復号化ツールを製作しました。

2) 「Windows Locker」

「Windows Locker」は、.NETで書かれたマルウェアであり、コードにスペイン語が含まれているという点からスペイン語を使用するユーザーが開発したものと確認されます。

3) ファイル暗号化方式

ファイル暗号化に使用されるAESキー値とIV値は、PBKDF2アルゴリズムによって生成され、そのアルゴリズムで使用されるソルト値、反復回数、およびInput値が固定的に使用されるという点で、キー値とIV値は固定されて使用されます。

4) レポートの結論

「Windows Locker」の暗号化方法に致命的な欠陥を使用して「Windows Locker」の復号化ツールを開発し、当該ツールを介してランサムウェア「Windows Locker」の被害を受けたシステムのファイルを修復する上で重要な役割を果たすものと予想しています。

（詳細は下記「脅威検出の推奨事項及び対策方法」より確認可能）

📌 復号化方法とは

暗号化の過程でAESキーを生成するときにPBKDF2アルゴリズムを使用しました。

PBKDF2アルゴリズムで48バイトのランダム値を生成する時点で、salt値、反復回数、inputが固定的に使用されます。

このような点で、ファイルの暗号化に使用される32バイトのAESキー値と16バイトのIV値は、すべてのファイルに固定的に使用されます。

これらの機能を使用して、S2W脅威インテリジェンスセンターは、「Windows Locker」で暗号化されたファイルを復号化するツールを作成しました。

当該ツールは、GitHubに公開された下記リンクの復号化ツールよりご確認いただけます。

https://bit.ly/4c4QbdM

✅ 脅威検知の推奨事項と対策方法：

- S2W脅威インテリジェンスセンターは、常に新しいランサムウェアを追跡しており、分析を通じて復号化可能なランサムウェアを発見しました。
- 「Windows Locker」は.NETで書かれたマルウェアで、コードにスペイン語が含まれているという点からスペイン語を使用する開発者が製作したものと推測されます。
- C2接続アドレスなどの未完成部分が存在するという点で、今後更新される可能性があります。
- 当該ランサムウェアでファイルの暗号化に使用されるAESキーとIV値が固定的に使用されるため、これらの暗号学的欠陥によって復号化ツールを制作しました。
- 具体的な分析画像とコードの専門は、下記リンクよりご確認いただけます。（英語）

🧑‍💻 レポート作成者: S2W 「TALON」 (2025年3月26日基準)

👉 レポート詳細: https://bit.ly/3XygdQF

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。