Soft2Secure

CryptoLockerウィルスの除去とランサムウェアファイルの暗号解除

CryptoLockerウィルスの除去とランサムウェアファイルの暗号解除

マルウェアの中には、ひとたび対処をすれば、問題がその時点で完全に取り除かれるものがあります。実際、そのような特性が大多数を占めるのですが、これとは対照的に、CryptoLockerランサムウェアに感染したファイルは、被害者が支払いや送金に同意したとしても、依然として猛威を振るい続けるのです。とは言え、データの復元は、場合によっては、十分に検討可能な選択肢です。以下にその詳細をご紹介しましょう。

CryptoLockerの歴史には、陰謀と錯綜がつきものです。このマルウェアが世に現れたのは2013年のことです。当時、この類いのマルウェアは他にほとんど存在しませんでした。これが、一気に広まることで、業界第一人者の目に止まり、結果として1年も経たずに、大感染は終息を迎えたのでした。ウィルス拡散の元凶とされるGameover ZeuSボットネットが滅び、問題が解決したのだという希望の光が見えたのです。しかし、平和は長くは続きませんでした。今、世界各地のパソコンユーザーが、CryptoLockerの攻撃に悩まされています。その原因は、あらゆる場所から現れた模倣犯です。

CryptoLocker

過去の大流行と、今の問題の仕組みに大きな違いはありません。メールへの添付にマルウェアが仕込まれ、これが、被害者のファイルを暗号化します。解読するためには、支払いが必要になります。きっかけは、一通の、信頼に足る組織になりすましたメールです。これに、興味を引く仕掛けの施されたファイルが添付されているのです。トップシークレットの引渡通告書やExcelの名簿といった具合です。そしてファイルが開かれた瞬間に、問題が始まります。

ウィルスはディスク上、マップ化されたネットワークドライブ上で、データのスキャンを行ないます。特に、.jpg, .pdf, .doc, .xls, .psdといった拡張子のあるファイルが対象となります。そして、それらのデータは、RSAスタンダードにより暗号化されてしまうのです。“public”という名の暗号キーがパソコン上で生成、保存され、解読用の“private”キーは、犯罪者のC&Cサーバーに送信されます。ランサムウェアはさらに、関連する復元作業が行なわれないように、全てのシャドウコピーを削除しようとします。近年のランサムウェアでは、ファイル名の拡張子を.microに変更する傾向が確認されています。

CryptoLocker 2.0

そして、悪性ソフトウェアが「あなたのファイルは暗号化されました」という旨を伝えるインターフェースを開きます。次に表示されるのがこちら。「暗号化はこのパソコン専用に生成された RSA-4096 によりなされました。これを解読するには、プライベートキーを獲得する必要があります」被害者には72時間の猶予が与えられ、この間に、0.5 BTCを支払い暗号を解除してもらうように促されます。期限に達すると、CryptoLockerは、プライベートキーを破壊し、二度とデータが復元できなくなると警告をします。ちなみに、犯罪者たちの「要求」は縮小傾向にあります。以前は2 Bitcoins(700ドル)を請求するのが常でしたが、現在のマルウェアは、それの4分の1の値段を支払うように催促しています。いずれにせよ、喜ばしい値段でないことは事実ですが。

このような感染をすると、説明ファイルが用意されるものです。以下のファイルがデスクトップと、感染した全てのファイルについて生成されます。「HOW_TO_RECOVER_FILES.html」/「HOW_TO_RECOVER_FILES.txt.」です。これが行なうのはメインGUIと基本的に同じことです。 つまり、支払い、キーを獲得、暗号を解除…といい流れです。とにかく、お金を払ってしまうという選択肢は最終手段だと理解しておいて下さい。それを考える前に、まずは「犯罪者の悩みの種になる可能性のある」特別な技術にすがってみましょう。

CryptoLockerの自動除去

実際にCryptoLockerランサムウェアの除去を試験的に実施してみたところ、信頼性の高いソフトウェアを使用し効率的にこれを取り去ることに成功しました。大事なのは自動化に頼り、関連する全ての感染を、システムからお掃除することです。

  • 推奨されるセキュリティユーティリティをダウンロードして下さい。次に、パソコンのスキャンを開始を選択して、パソコンの確認を行ないましょう。

    CryptoLocker除去ツールをダウンロード

  • スキャンにより、複数のアイテムが検知されるはずです。次に、「脅威を取り除く」をクリックして、システムからウィルスと関連する感染を取り除きましょう。これを実行するだけで、多くの場合、CryptoLockerの問題にお別れを告げることができます。続いて、より大きな問題に直面することになります。それが、あなたのデータを取り戻すことです。

CryptoLockerにより暗号化されたファイルを復元する方法

選択肢1 復元ソフトウェアの使用

CryptoLockerはあなたのファイルのコピーを作成し、それに暗号化を施します。その最中にオリジナルファイルが削除されてしまうのです。しかし、そのようなデータを復元することのできるアプリケーションが存在します。例えばData Recovery Proを活用すれば、これが実行可能なのです。最新バージョンのランサムウェアは、何度も削除プロセスを重ねて実行している可能性がありますが、それでも挑戦してみる価値は十分にあります。

Data Recovery Proをダウンロード

Data Recovery Pro

選択肢 2 バックアップの活用

これは、実際、最も効果的なファイルの復元方法です。ただし、あなたが以前にバックアップをとっていた場合に限られます。運良くそうしていた場合には、これを有効に活用しましょう。

選択肢 3 シャドウコピーの使用

コンピューター上で、 System Restore機能が有効である限りは、オペレーティングシステムが自動でShadow Volume Copiesと言われるコピーを作成し続けます。特定の間隔でリストアが作成され、その当時のファイルが復元可能となります。この手法が必ずしも最新バージョンのあなたのファイルを復元できるとは限らないことは念頭に置いて下さい。とはいえ、利用するだけの価値はあります。これを実行する方法は二種類です。一つ目は、手動で、二つ目は完全なる自動化に任せるパターン。まずは手動によるアプローチを検討してみましょう。

  • 以前のバージョンを使用する機能

    Windows OSには以前のファイルを復元するための機能が搭載されています。フォルダも対象となります。復元したいファイルやフォルダをクリックし、プロパティを選択肢、以前のバージョンと名前の付けられたタブを開きましょう。そこには、過去のファイル/フォルダのバックアップが一覧で表示されます。最新のものを選択したら、コピーをクリックし、新しく保存する場所を任意で選択しましょう。復元ボタンを押すと、もともとそれがあった場所に復元されます。
    以前のバージョン

  • Shadow Explorerツールの活用

    この方法では、以前のファイル/フォルダのバージョンを自動で復元することができます。まずは、ShadowExplorerアプリケーションをダウンロードしましょう。起動後に、ドライブ名とリストアデータの作成された日付を選択し、必要なファイルやフォルダを右クリックして、エクスポートオプションを選択します。そして、データが復元されるべき場所を選択しましょう。
    ShadowExplorer

ランサムウェアが完全に削除されたかどうかの確認

繰り返しになりますがCryptoLockerを削除しただけでは、ファイルの暗号解読には繋がりません。上記のデータ復元方法が成功するかどうかはその時の状況次第です。とにかく、ランサムウェアそのものが、あなたのパソコン内に存在している訳ではありません。往々にして、その他のマルウェアと共に出現するものです。だからこそ、自動化セキュリティソフトウェアを使用し、繰り返しシステムをスキャンすることが重要でしょう。Windows Registryといった場所に悪性のウィルスが残っていないように万全を期すのです。

CryptoLockerウィルス除去ツールをダウンロード