これがランサムウェアのやり方かっ!
ランサムウェアというのが巷で流行っているようです。私のお客さんもランサムウェアにやられてしまったらしくヘルプ要請がきたので対応しました。
ランサムウェアは初めて耳にしますが、その手口は以下のようになります。
(A)メールの添付ファイルを開く、またはWEBサイトのファイルを開くと感染
(B)パソコン内部のワード・エクセル・PDF・jpgなどなど一般的に使うファイルを全て暗号化して {hogehoge}-{hogehoge}.zepto というようなファイル名にされる。
(C)「この暗号を解くための鍵が欲しければビットコインで指定した金額を支払いをしろ」という請求画面がデスクトップに張り付けられる。
という流れになります。
支払いをビットコインで求められるあたりが現代っぽいですね。
とりあえず私がやったこと
この場合の課題は大きく分けると2つ。
(1)暗号化されたデータの救出
(2)ウイルス・マルウェアの除去
それぞれを見ていきましょう。
(1)暗号化されたデータの救出
暗号化されたデータの救出 に関しては、ShadowExplorerというソフトを使って一部のファイルのみ救出できたという結果に終わりました。Windows8が自動で保存してくれるシャドウコピーという元ファイルのコピーを拾ってくるのですが、エクセルやワードファイルなどは名前は正常ですがファイルが破損してて開けないものが多かったです。
暗号化されたファイルの復号を試みようと試行錯誤してみましたが、無理っぽかったです。
数か月前のランサムウェアで解読済みのものについては、カスペルスキーが無償のデクリプトツールを配布してくれています。カスペルスキーぐらいのメジャーなセキュリティソフト会社のツールだと安心感がありますよね。
ただ、カスペルスキーの復号ツールも今回の.zepto ファイルに関しては、まだ対象になっていないようでダメでした。
(2)ウイルス・マルウェアの除去
データの救出について方針が固まったので、Windows8を直前の復元ポイントまで戻しました。復元した上で、ウイルス対策ソフトやセキュリティーツールを使いました。
・Microsoft Safety Scanner を使ったマルウェアの除去
マイクロソフトが提供してくれてるツールなので、安心して使えます。
・AVGアンチウイルス無料バージョンでのスキャニング&脅威除去
無料版でもかなり優秀です。AVGは最近アバストに買収されましたね。
上記の2つをを行いました。結構たくさんのマルウェアやウイルスといった脅威を除去できました。
「外付けHDDに保存してあるデータも多いし、復活させられないデータについてはしょうがない」とお客様が言ってくださっているので、不完全ではあるものの、仕事は終わりました。
だがしかし!一つだけ問題が残ったのです。
それがデスクトップ背景画像の警告文です。
デスクトップ背景が変えられない!
ウイルスに感染してからこの画像が張り付いたままになっています。ほかのソフトは問題なく動かせるのですが、こんな背景画像だと仕事に集中できませんよね。
Windows8のデスクトップで右クリックして、「個人設定」からデスクトップの背景を変更しても、忌々しいあの画像は消えません。「何回やっても、何回やってもデスクトップ画像が変えられない…」まさに「エアーマンが倒せない」状態です。
困ったものだ。
レジストリから設定されてるわけでもないっぽい
通常のUIからの変更が効かないとなると次に疑うべきは、レジストリですね。レジストリはWindowsの裏設定の塊みたいなイメージです。
「ファイル名を指定して実行」から「regedit」でレジストリエディタを起動してチェックしてみます。
場所は、以下の通り。
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper
の値が変な画像へのパスになってるんじゃないかって疑ってかかりましたが、特に問題ありませんでした。
(参考URL)
デスクトップの背景(壁紙)のレジストリをコマンドで設定する方法【共通編】
https://automationlabo.com/wat/enc/des/wallpaper/
犯人は TranscodedWallpaper.jpg だった
色々と調べた結果、下記のマイクロソフトサポートサイトに答えが書いてありました。
「方法 2: 破損した TranscodedWallpaper.jpg」のところです。
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Themes\
にアクセスします。
このキャッシュされてる画像が真犯人です。この画像を削除します。
一つ上の階層にある「TranscodedWallpaper」も削除します。
この2つのファイルを削除した状態で、通常の手順通りに「Windows8のデスクトップで右クリックして、「個人設定」からデスクトップの背景を変更」すると・・・
「TranscodedWallpaper」がまた生成されています。正常に復活したようです。
CachedFilesフォルダを見ると、ちゃんと指定した画像が見えています。
うまくいきました!!
同じウィルスじゃなくても役に立つトレンドマイクロの有用な情報
以下のURLはトレンドマイクロ社が提供している、ウイルス除去の方法についてのページです。いくつか読んでみると、ウイルスがWindowsのどの設定を狙って攻撃をしてくるのかがわかってきます。レジストリのここをチェックすればいいのか、という指針が立てられたりもするので私はかなり参考にさせていただきました。
マルウェアなどのコンピューターウィルスの痕跡を除去したいと思ったときは、ウイルス対策ソフトでのスキャニングと合わせてレジストリなどのチェックもしてみるとよいかと思います。
(参考URL)
まとめ
以上が、今回ランサムウェアに感染したPCに行った手順のすべてです。ま、実際はここに書いたことの10倍くらい試行錯誤しました。ただ、私自身セキュリティの専門家というわけではなく、問題に対して好奇心を持って取り組んでるだけなのでベストな対応ではない部分もあるかと思います。
実際、データ復旧業者にお願いして何十万とか払えばキレイにデータも戻してくれるでしょうから。ただ、困ってるお客さんを放っておけないですし、調べるとWindowsの深い部分まで理解が進むし、うまくいけばお客さんにも喜ばれるので、やりがいはあります。
一連の対策を行っていて感じたのは、「ZEPTOランサムウェアの対策ツールダウンロードはコチラ!」みたいに書いてあって、「スキャンまではできるけど実際に除去するには購入が必要です」という類のものが少なくなかったということ。
こちとら少しでも早くマルウェア地獄から解放されたいという気持ちが強いので、「ワンクリックで解決」みたいな甘いオファーはとっても魅力的です。でも、ホントに大丈夫なのかどうかしっかりと判断してから使うようにしましょう。まずは既に有料でつかっているセキュリティソフトがあるならそれを使うとかサポートデスクに連絡するといった方法もアリだと思います。
ネットの情報は玉石混交ですので、しっかりと見極めて有効に使っていきたいですね。
コメント