KyojiOhnoのブログ

作曲家、編曲家、ピアニストそして製作会社の経営者ですが、ここでは音楽以外の社会一般のことの雑感について書きます。

PCがランサムウエア.lockyに感染!! 除去と復旧作業の内容

全く不覚だった。不覚の極みといっていい

数日前からWindowsがランサムウエア感染しブラウザ以外のファイルが殆ど開けられなくなった。RSAコーデイングという高度な暗号化されてしまい、秘密のキーがないとあけられないというスグレモノ、これは今企業で猛威を奮っているウイルスである。

ランサムー身代金、要するにハッカーの指定するウエブサイトで金を払えば秘密のキーであけられるという仕掛け、つまりパソコン自体がスパムの人質になったということで、よく知られているのはCryptoWall (もしくはCrypt0Wall)だが私が感染したのはLockyだ、

■Lockyファイル暗号化ランサムウェア 日本語で身代金要求ウイルスに注意!
http://blogs.yahoo.co.jp/fireflyframer/33962346.html

Lockyパソコンが感染すると次のような表示が出る

そしてパソコン内のほぼ全てのword pdf excel jpg等が以下のようなファイル表示になり開くことができなくなってしまう


何度も調べたがこれはRSAコーデイングされたファイルは残念ながら秘密のキーがない限り解読はほぼ不可能だという

ランサムウエア感染の影響としては
・感染PCの有効な操作ができなくなる
・感染PC内のファイルやネットワーク共有上のファイルが暗号化され、利用できなくなるランサムウェアの駆除を行っても暗号化されたまま残る)
・要求された「身代金」を支払うことによる金銭的な被害

事の起こりは昨日、私自身が忘れていた英語のFacebookアカウントが復活したメールをもらってから英語のアカウントを削除、パスワードの変更を行った。

その後Facebookから「重要な変更が生じたので確認して欲しい」というメールが来た。

実はこれが「ワナ」だったのだ

よく考えればパスワード変更やアカウント削除くらいでこんな「確認してほしい」というメールなど来ない。ハッカーたちはわたしが存在すら忘れ去ったアカウントに侵入して、私がそれに対してアカウント削除や現在普段使っているアカウントのパスワード変更といった行動をすることを見越して、すかさずワナのメールを送ってきたのだ。

そこでそのワナのメールを開けたら最後、そのランサムウエアにものの見事に感染した。

この感染に関してマカフィーなど全く無力だった。
いざという時にこのウイルスソフトは全く役立たずだった。

そんなわけでこのくそ忙しい時にパソコンの復旧作業に追われた。まずWindows 7なの感染以前PCの状態への復元を試みる。
しかしなんとファイルがみんなコーデイングされているため復旧ポイント自体をPCが認識せず、断念。

結局「スパイハンター」というウイルスソフトを使い何とか除去できることができた。
スパイハンターについては一部のサイトで「偽ウイルスソフト」であるかのような記述があるが、私がトレンドマイクロを始め一定の信頼に足るサイトで確認したところ、少なくとも偽ウイルス対策ソフトやスパイウェアではないようである。

spyhunter
http://www.enigmasoftware.com/products/spyhunter/

ちなみにYahoo!知恵袋でスパイハンターがあたかもウイルスであるかのように書いていたコメント主の貼ったリンクの方がよっぽど怪しげなサイトであった、2つあったうちの1つは寧ろこちらのサイトの方がウイルス感染の可能性大ではないか、と思われるサイトであったということをつけくわえておく(やはり見知らぬサイトのリンクなど安易にクリックするものではない(汗))

ちなみに用心のためもう1つAntimalwareというウイルス除去ソフトも導入した。
http://www.malwarebytes.org/

結論からいってで削除できたとは思うが、結局ファイルの暗号解読ができない。

調べたらこのRSAの暗号解読はほぼ不可能とのこと
カスペルスキーでもダメだという
windows初期化か PC自体を買い替えるか、こうなるともうPC自体を初期化するしか方法はないかもしれない

幸いにして一年前、重要なファイルを外付けのハードデイスクでバックアップしてあったので、それをベースに復旧作業を始めている。

具体的には

1.パソコン内の全てのLockyファイルを削除する。
  残念ながら暗号化されたファイルは全て現時点ではあきらめるしかない。またランサムウエアを削除したとはいってもこれらの暗号化されたファイルがハッカーたちの仕掛け(Sleeper) で後々悪さをする可能性も排除できないからだ。ドキュメントだけでなくプログラムファイルのデータにも入っているので見逃さないように全部ごみ箱に入れる、普段は見ないフォルダまでチェックするのでこの作業は結構時間がかる

2.バックアップしたフォルダ、ファイルを再度パソコンに入れる
バックアップしたファイルで可能な限り多くのファイルを復活させる。

あと私の場合日常の業務で頻繁にファイルをやりとりしている関係でメールサーバーにファイルが残っているケースがある。それを利用して可能な限り多くのファイルをすくいあげる

以上のことをして全部ではないが私の場合とりあえず業務への支障を最小限にできる見通しはたった。


私は見ず知らずのメールは決して開けないようにしているし、そのようなメールは即刻サーバーからも削除しているが、今回の教訓として
1.例えよく知っているところからのメールでも通常と違うメールが来た場合は必ず確認する
2.日常業務でのファイルのバックアップを頻繁に行っておく

この2つを習慣化させようと思う。
ウイルスにPCが感染すると業務に著しい悪影響をもたらす。このような行為を行う人間が後を絶たないのは問題だが、とにかくセキュリテイ意識を普段から持ち続けることが重要だ。

<追記>
当記事を投稿後、多くのアクセスがあり被害がかなり広がっている状況を実感した。かなり巧妙な手口で仕掛けてくるのも今回の特徴である。
皆さん苦労されているとおもうがくれぐれも身代金だけは支払わないよう強くお勧めする。犯罪者の思うツボだからだ。