ランサムウェア(身代金ウィルス)のLockyの亜種『Zepto』にご注意ください。

最近「パソコンでOffice word などで作られた書類や画像など、必要なファイルのアイコンが変わったと思ったらクリックしても開けなくなった。」という依頼を多く受けるようになりました、今まで存在していたファイルの名前が訳の分からないアルファベットの羅列に変わってアイコンが白紙を表すようなものに変わってしまう場合は大抵そのファイルと同じ場所にHTMLファイルが作られ、開いてみると

パソコンのファイルは暗号化したので使えなくなった、復元して欲しければ指定された方法で入金しろ!

という内容の脅迫文(英文の場合もあり)が記載されています。

肝心な仕事用のファイルなどは暗号化されていますのでそのままでは再使用できず、暗号を解いて復元する処理を行う必要がありますが、新種の場合は復元するソフトも対応できないことも多く、大変迷惑なウィルスとなっています。

ランサムウェア(身代金ウィルス)の感染の経路は主にメールの添付ファイル

パソコンのファイルを人質にして金品を要求する為「身代金ウィルス」(身代金ウィルス)と呼ばれ、主にメールの添付ファイルに仕込まれ、添付ファイルをクリックしたり展開することで感染することが確認されています。

これはパソコンにウィルス駆除ソフトを入れていても感染しますので、むやみに知らない人物からのメール、またその添付ファイルは絶対に開かないでください。
(ウィルス駆除ソフトは疑わしいプログラムをインストールさせないように働きますが、ユーザがインストールを許可してしまえばウィルス駆除ソフトを入れていても感染してしまいます)

また少し前まではウィルス付きのメールの件名や本文はほとんどは英語でしたが、今年の春先・4月ぐらいから日本語の件名・本文で、大手プロバイダや銀行、宅配業者や各業界の下請け業者を装い、入金確認や宿泊予約の確認、宅配便の到着予定など多岐にわたるテンプレートを使用して攻撃を行っていますので注意をしてください。

もしランサムウェア(身代金ウィルス)に感染したら?

ランサムウェアは感染した瞬間に各ファイルを暗号化するわけでなく、ユーザがパソコン操作をする裏で徐々に各ファイルを暗号化していきます、その為いつもよりパソコンが重たく(遅く)なったり、HDD(ハードディスク)がガリガリと音を立てているため、「ん?何か普通じゃないな!」と思ったらすぐにPCの電源を落としてウィルスが活動できない「セーフモード」でパソコンを起動し、ウィルス駆除ソフトでパソコンをスキャンし、まずウィルス駆除と被害を最小限に抑える措置をとってください。

※セーフモードでパソコンを起動するには、一度電源を落としたパソコンを電源ボタンを押して起動し、各パソコンメーカーの画面(ロゴと言われる会社のマークが表示されるタイミング)で「F8」キーをトントントンと画面が変わるまで連打してください。またメーカーや型番によってはF8キーではなく別のキーの場合もありますので説明書などを確認してください。

既にファイルを暗号化されてしまったら・・・

ランサムウェアは現時点でも様々な種類があり、主に暗号化されたファイルの拡張子を見ることでその種類を特定できます。
(拡張子とはファイル名のあとに「.」(ドット)から始まるもので、そのファイルの種類を表すものです)

主なランサムウェアが暗号化した際の拡張子は次のようなものになります。

.crypt、、.cryp1、.crypz、.ECC、.VVV、.CCC、.ZZZ、.AAA、.ABC、.XYZ、.XXX、.TTT、.MP3、.MICRO、.RSNSLocked、.locky、.777、.zepto

これらの拡張子が判別したら各ウィルス駆除ソフトのメーカーが暗号を解く無料ソフトを提供していますのでそちらを使用して各ファイルの復元をしてください。

◆トレンドマイクロ

https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx

◆カスペルスキー

https://support.kaspersky.co.jp/viruses/disinfection/8547?_ga=1.89198547.978631317.1444734495#block1

※上記ツールの解説

https://blog.kaspersky.co.jp/cryptxxx-ransomware/11181/

但しハッカー側も新しいバージョンのウィルスを送り込んでいるため、復元できない可能性が大きいのが現状です。

もし復元できなかったら・・・

上記のような復元プログラムは今回の「.zepto」のような新種のウィルスが施した暗号化には対応できないため、感染してしまうとほぼ復元が難しいのが現状です。

但し、Windowsにはファイルを復元できる機能がありますので最後の手段としてそちらから復元することも可能です。

復元するにはまず日常からファイルのバックアップ(万が一のためにファイルの複製を保存すること)するように設定を行ってください。

 

◆「初心者でもわかる! Windows 7 でバックアップ : 特定のフォルダーをバックアップ – 定期的に実行」

https://support.microsoft.com/ja-jp/kb/2666279

上記の設定でバックアップを取ることができていれば下記のような方法でファイルを復元することが可能です。(リンク先はWindows7のものですが8や10でもほぼ同じ操作です)

 

◆「初心者でもわかる! Windows 7 でバックアップ : 特定のフォルダーやファイルを復元」

https://support.microsoft.com/ja-jp/kb/2666282

 

また定期的に「復元ポイント」を作成するとそちらからも復元可能な場合もあります

◆「PC をバックアップおよび復元する」の「復元ポイントを作成する」を参照

https://support.microsoft.com/ja-jp/help/17127/windows-back-up-restore

上記の要領で復元ポイントを作成したりバックアップを取っていた場合は、暗号化されたファイルを右クリックし、表示されるメニューから「以前のバージョンの復元」(プロパティメニューの「以前のバージョン」からも同じ作業が可能)を選択することで簡単に正常なファイルに戻すことも可能です。

以上ご注意のほどよろしくお願いいたします。

 

 

 

One thought to “ランサムウェア(身代金ウィルス)のLockyの亜種『Zepto』にご注意ください。”

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です