2015年03月30日

【パソコン関連】#70 ファイル暗号化ランサムウエア CryptoWall

こんばんは。PC Support Kenzo 北場です。

先日お客様の対応であらゆるデータファイルを暗号化させて身代金を要求するランサムウエアの駆除対応をしましたのでご紹介いたします。

今回対応した際に出てきた画面はこれら
TROJ_CRYPWALL_D1dec.gif

TROJ_CRYPWALL_D3.gif

パソコンが起動してきてこのような画面が出てきたのなら、CryptoWallというランサムウェア(身代金要求型不正プログラム)にかかっています。ついでにOfficeなども起動しなくなるのです。

私が行った駆除方法は

セーフモードで起動して、マルウエアバイトを走らす。

これで一応改善はしました。
ただし、改善したのはパソコン起動時に上記の画面が出てこなくなりOfficeが起動するようになり、以後作成されたファイルは暗号化されなくなる。ということであって、肝心な暗号化されてしまったファイルは暗号化されたままです。。。
たまたま今回私が対応したお客様は、特に絶対いるファイルというのはなかったので良かったのですが、もしもお仕事等で使っていたデータなどがあった場合かなり厳しい状況になります。

暗号化されたファイルを複合化する方法で、私が調べた限りでは、作成している復元ポイントに戻ることです。

もし復元ポイントを作成していない場合は、諦める選択肢が出てきます。。。
それか一か八か、身代金払って暗号化が解除できるか試してみるか。。。
まぁそれはやめておいたほうがいいでしょう。

復元する方法の参考サイト
https://qqweb.jp/QQW/STATICS/it/pc_howto/200906.html
http://www.atmarkit.co.jp/fwin2k/win2ktips/1414prev7/prev7.html

基本は「ボリュームシャドーコピー」という機能で作成された復元ポイントを使うような感じです。
ただ、この機能はVISTAだったら上位エディションしか対応していないという厳しい現実があります。7は全エディションあります。
そもそも、その機能を利用していなかったら意味がないので大体の人は恐らく諦めるしかないと思います。。

こういったやつにかからないようにする為には、、
・javaを最新にする
・FlashPlayerを最新にする
・WindowsUpdateを最新にする
・AcrobatReaderを最新にする
等をした上で、有料のセキュリティー対策ソフトを入れておきましょう。

今回のお客様は、上記のものがAcrobatReder以外最新ではなく、且つ無料のセキュリティーソフトでした。

その他、参考サイト
http://answers.microsoft.com/ja-jp/protect/forum/protect_other-protect_scanning/word%E3%81%A7%E4%BD%9C%E3%81%A3%E3%81%9F%E6%96%87/f358dda6-792f-481d-9111-11141274f894

あと、怪しいサイトに行ったり、変な広告などが出てきても押さないようにしましょう。
場合によっては変な広告が出てる時点でなんらかが、侵入してしまってる可能性もあります。

なんやかんや書きましたが、パソコンの状態を考えてリカバリーするのも一つの方法です。

困ったときにはご相談くださいませ。
※※※※※※※※※※※※※※※※※※※※※※※※※※※
kenzokitaba
・パソコン生活総合サポート 「PC Support Kenzo」
・スライドショー作成サービス 「スタジオケンゾウ」
・出張パソコン教室 「パソコン教室Kenzo」
代表 北場 健三
TEL/FAX 06-4960-2891
WEB http://www.kenzokitaba.com
   http://www.alpcs.net
   http://www.studio-kenzo.net
※※※※※※※※※※※※※※※※※※※※※※※※※※※
posted by 北場健三 at 00:34| Comment(0) | パソコン関連 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント: