PC内のファイルを暗号化して身代金を要求する犯罪で用いられる「ランサムウェア」のうち、「Phobos」「8Base」による暗号化を解除してファイルを復号するツールを警察庁が開発しました。

ランサムウェアPhobos/8Baseにより暗号化されたファイルの復号ツールの開発について|警察庁Webサイト

https://www.npa.go.jp/news/release/2025/20250717001.html

ランサム被害に復号ツール、警察庁が開発 きっかけはダークウェブ:朝日新聞

https://www.asahi.com/articles/AST7K32NST7KUTIL01ZM.html

ランサムウェア無効化ソフト、警察庁が独自開発し公開…ボタン一つでデータ復旧できる仕組み : 読売新聞

https://www.yomiuri.co.jp/national/20250717-OYT1T50160/

警察庁によると、「Phobos」「8Base」は世界各国で少なくとも2000件の被害が確認されているランサムウェアです。復号ツールは関東管区警察局サイバー特別捜査部が開発したもので、2025年6月に欧州警察機構(ユーロポール)にも提供されたとのことです。



ダウンロードは以下のURLから可能。なお、(PDFファイル)使用ガイドラインに注意書きがあるように、アンチウイルスソフトによってマルウェアだと判断される場合があります。実際にダウンロードしたところ、ブラウザによってはダウンロード時に行われるウイルススキャンでマルウェアだと判断されて削除されてしまいました。

ランサムウェアPhobos/8Baseにより暗号化されたファイルの復号ツールの利用について|警察庁Webサイト

https://www.npa.go.jp/bureau/cyber/countermeasures/ransom/phobos.html

ブラウザでのダウンロードが完了しても、少しするとWindows標準のセキュリティ機能によってファイルが消されてしまいました。「Windowsセキュリティ」の「保護の履歴」から該当するものを見つけ出し、「復元」。



ダウンロードしてきたのは「phdec_gui_v1.0.0.zip」ですが、実際にはZIPファイルではなく実行ファイル(EXEファイル)なので拡張子をリネームして実行します。当然、わけのわからないアプリだということで「WindowsによってPCが保護されました」というダイアログが表示されるため、「詳細情報」をクリック。



「実行」をクリックします。



残念ながら、手元の環境では「このアプリはお使いのPCでは実行できません」との表示が出て、起動できませんでした。



実際にどのように使うことになるのか、警視庁が動画を公開しています。



問題なく利用できる環境だと、実行ファイルはこのようなアイコンで表示されるようです。



起動すると利用規約への同意を求められるので「同意する」をクリック。



環境によっては、ファイルパスの長さ制限に関するダイアログが表示されるので「OK」をクリック。



ユーザーアカウント制御のダイアログが表示されるので、管理者パスワードを入力して「はい」をクリック。



「OK」をクリックして、ソフトを再起動します。



ソフトの起動画面はこんな感じです。



暗号化されたファイルは、ファイル名も元が何か分からないようなランダムな文字列になっています。



テキストエディタで開いても、中身を把握することはできません。



そこで、この復号ツールの「Encrypted folder/file path」という入力欄に、暗号化されたファイルの保存されているフォルダーの位置を指定。当該フォルダーを入力欄にドラッグ&ドロップすることでも指定できます。



同様に、下の「Output folder path」に、復号したファイルの出力先を指定。



その下の「Encrypted」をクリックすると復号が行われます。



復号されたファイルが次々と出力先フォルダーに書き出されていきます。



先ほどは読めなかったファイルがちゃんと読めるようになりました。