サイバー攻撃・脆弱性 securitynavi

Lockyやvvvウイルスなどの「ランサムウェア」駆除方法は?

security_2178

ランサムウェアとは、パソコンやスマホのデータファイルを見られない状態にしてしまい、ファイル復旧に金銭を要求するという悪質なウイルスです。

最近、日本国内で急増しているランサムウェアの種類と、感染してしまった際の駆除方法についてご紹介します。

国内で被害急増!新型ランサムウェア「Locky」

ファイルの拡張子がすべて「locky」に

2016年2月中旬ころから、メールのばらまき攻撃による「Locky」と呼ばれるランサムウェア感染が多発しています。このメールに添付されたファイルを開くと感染する仕組みです。この「Locky」は感染するとパソコン内のファイル拡張子が「.locky」に変更され、読み込むことができなくなってしまいます。

また、デスクトップ背景が身代金を要求する警告文に差し替えられてしまいます。さらにlockyは多言語に対応したランサムウェアで、世界中に幅広くバラまかれているのも特徴。日本語にも対応しており、日本での被害がかなり増加しています。

lockyを駆除する方法とは?

lockyによるファイル暗号化は一瞬で実行されるわけではありません。実行されている最中であれば、ウイルス駆除をすることができる可能性があります。

  1. パソコンをセーフモードで起動(メーカーロゴが表示されたあたりでF8を連打)
  2. オプションが表示されたら、キーボードの矢印キーで「セーフモード」もしくは「セーフモードとネットワーク」を選択し、エンター
  3. ランサムウェアに対応したセキュリティソフトでスキャン・駆除
ウイルスバスターなど、各セキュリティソフトは順次Lockyへの対応を進めています。対応できているソフトであれば問題なく駆除することができると思われますが、対応済みのセキュリティソフトを導入していないという方は、以下の無料ソフトの利用をオススメします。

ウイルス駆除フリーソフト

マイクロソフト セーフティスキャナー
»https://www.microsoft.com/security/scanner/ja-jp/default.aspx

マルウェアバイト アンチマルウェア
»https://www.malwarebytes.org/products/

Twitter上でも話題になった「vvvウイルス」

ファイルの拡張子がすべて「vvv」に

2015年の12月上旬、Twitterなどで話題になったのが「vvvウイルス」です。こちらも、Lockyと同様に拡張子が「.vvv」に変更され、中身が暗号化されて読み込めなくなってしまうというウイルス。

しかし、これはTwitterで過度に拡散されただけで、そこまで爆発的な感染拡大があったわけではないようです。最近はセキュリティソフトもvvvウイルスに対応できるようになってきました。ただ、今後亜種が登場するなどの可能性も考えられます。

vvvウイルスの駆除方法とは?

Lockyの駆除方法と同様に、セキュリティソフトが検知した場合はソフトで駆除できます。検知しなかったときも同様、セーフモードで起動して駆除ソフトを利用してください。

【新情報】vvvウイルス(正式名称:「TeslaCrypt」)の開発者が降参!

TeslaCryptの開発者が降参したという情報が入りました。ESETのセキュリティ調査員が2016年に入ってから、開発者がTeslaCryptを徐々に終了させようとしていることに気づき、

「暗号化解除のマスターキーを公開してほしい」

と要求したところ、開発者は暗号化解除のマスターキーを公開したとのこと。

下記が暗号化解除のマスターキーを公開した際の画像です。

画像の文章には、暗号化解除のマスターキーと

「we are sorry!」

と、降参と読みとれる文章が書かれていました。

マスターキの公開により、ESET社は復号ツール「TeslaCrypt decrypter」を作成し、サイト上へ公開しました。

»http://support.eset.com/kb6051/

注意
「TeslaCrypt」以外の暗号化ランサムウェアには未対応とのこと。また場合によっては全てのファイルを復号できることは保障していません。

駆除やファイル復旧ができないときは?

上記方法で駆除できない場合の対処法

種類によりますが、セキュリティソフトで検知できた場合はそのまま駆除できます。ただし、新種はセキュリティソフトをすり抜け、防げません。つまり、突破される=ソフトで除去できないということです。

ただ、ランサムウェアの駆除を請け負うセキュリティ会社で駆除できるケースもあるようです。問い合わせてみるとよいでしょう。

駆除できてもファイルが復旧できない場合の対処法

ランサムウェア自体を除去できても、ファイルは復旧されません。ランサムウェアの警告文ではファイル復旧の見返りに高額な金銭を要求していますが、支払ったところで確実にファイルが復旧されるかは怪しいといえます。ファイル復旧できる可能性のあるツールを使うほうがより確実でしょう。

ファイル復旧できる可能性のあるツール

ランサムウェアの種類によって復旧につかえるツールが異なります。また、Lockyファイルは復旧がむずかしいといわれています。

トレンドマイクロ ランサムウェア ファイル復号ツール【NEW!】
»個人向け
»法人向け

security_621

ウイルスバスターで有名なトレンドマイクロが、ランサムウェアで暗号化されたファイルを復旧できるツールを無償公開しました。日本語で利用できます。

復旧できる可能性があるランサムウェアの種類は「CryptXXX(バージョン2)」、「TeslaCrypt(バージョン1)」、TeslaCrypt(バージョン3)、TeslaCrypt(バージョン4)の4種類です。

TeslaCrack
»https://github.com/Googulator/TeslaCrack

security_623

TeslaCrypt はじめ、その亜種であるvvvウイルスなどで暗号化されたファイルを復旧できます。使用にはpythonのインストールが必要です。

ShadowExplorer
»http://www.shadowexplorer.com/

security_622

バックアップデータからある時点のファイル、もしくはフォルダを復元できるソフトです。

このほかにも復旧ツールがあるかもしれませんが、日本語が少しおかしい、あやしいサイトのソフトは使用しないようにしましょう。

まとめ

ランサムウェアはデータを読み込めなくさせる上に、セキュリティソフトで検出できない場合もある、非常に厄介なウイルスです。

感染してしまわないためには怪しいファイルを開かず、JavaやAdobeのバージョンをつねに最新状態にしてください。また、重要なファイルは定期的にバックアップを取っておくと、より安心できるでしょう。

security_2178

RECOMMENDこちらの記事も人気です。