身代金要求!ランサムウェア TeslaCrypt(テスラ クリプト)
パソコンの画像ファイルが見えなくなった、、、と
お客様から相談があり、さっそくパソコンレスキューへ
パソコンを電源をいれて起動すると、いきなりメモ帳や意味不明な画像、そしてGoogleクロームが立ち上がります。
すべて閉じてファイルを確認するとファイル名が「{ReCoVeR}+(文字列).pngに変わっていて画像ファイルやメモ帳ファイルはアイコンが変わっていてファイルを開くとこれまた意味不明な文字や画像になっています。
状況からして、TeslaCrypt(テスラ クリプト)と言うランサムウェア(Ransomware)でした。
実は、前回も同じ症状で預かって修復しました。
ランサムウェアとは、Windowsパソコンに保存されてる特定の拡張子を持ったファイルを暗号化して破壊します。ファイルを元に戻したい場合は、復元ツールを購入するよう要求する(身代金を要求)悪質なウイルスです。今とても被害が増えております。
TeslaCryptと違うものを含め、今週だけで4台預かりました。
お客様に了解のもと、パソコンを預かりました。
ここでTeslaCryptウイルス駆除の方法を備忘録としてブログにアップします。
※すべてが今回のようになるとは限りませんのでご了承ください。m(__)m
また、レジストリなどある程度わかる方への説明です。
意味不明な場合は、専門家にご相談下さい。m(__)m
TeslaCryptウイルス駆除の方法
1、パソコンをインターネットから切り離し、TeslaCryptが起動しないセーフモードで起動
「起動時に「F8」キーを押す事でセーフモードで起動します。
2、レジストリエディッター(regedit.exe)を立ち上げ、TeslaCryptが起動しないように
以下の項目をレジストリから削除(レジストリは自己責任で変更してください)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
↓
C:\windows\SYSTEM32\CMD.EXE /C START [実行ファイルのパス]
または
C:\windows\SYSTEM32\CMD.EXE /C START “” “[実行ファイルのパス]”
3、システム構成(Msconfig.exe)でスタートアップをすべて無効にしてください。
スタートアップにも「{ReCoVeR}+(文字列).拡張子」がたくさん登録されています。
4、念のため、スタート画面のスタートアップからも起動するファイルを削除します。
5、再起動後、通常モードで立ち上げてLANをつなぎます。
6、マルウェアバイト アンチマルウェア(Malwarebytes Anti-Malware Free)を
以下のサイトからダウンロード
https://www.malwarebytes.org/products/
※フリー版でも結構使えます。
検索結果にスパイウェアが出てきますので、すべて削除して下さい。
削除後、パソコンを再起動して改めてマルウェアバイト アンチマルウェアにて検索します。
スパイウェアが何も出てこなかった場合は、駆除成功です。
7、念のため、ウイルスソフトでウイルスチェックをします。
eo光Officeのウイルス対策「カスペルスキー」がインストールされていたのですが、動作していなかったようで、一旦、アンインストールしました。
ウイルスに感染した場合、入っていたウイルス対策ソフト自体がおかしくなっているケースも多いので別のソフトで調べます。
おすすめは、ウイルスバスターです。
ウイルスバスターの体験版をダウンロードしてインストールするのですが、マルウェアバイト アンチマルウェアも競合しますのでアンインストールします。
そしてウイルスバスターでウイルスを完全チェックした結果、「検出なし」。
無事、駆除成功です(^.^)
データは残念ながら救出できませんでしたが、お客さんはバックアップを取られていたので問題ありませんでした。
なお、ランサムウェアに感染する原因は主に2つです。
1、ウイルスメールの添付ファイル
実在する企業や機関を名乗って成りすます主に英語表記の
迷惑メール(スパムメール)を受信し、添付ファイルを開いて感染するケース
2、ハッキング被害を受けてる普通のホームページやブログをみただけで感染するケースです。
↑
これが怖いです、、、
いずれにしても下記対策をしっかりしていればかかりにくいと思います。
・Javaを最新に更新しておく。
・Adobe Reader最新に更新しておく。
・Adobe Flash Player最新に更新しておく。
・Windows Updateをしっかりしておく。
・ウイルス対策ソフトを入れておく。
・一番基本的な事は、バックアップをしっかり取っておく事です。
※バックアップも感染しないように注意が必要です。
皆さんもランサムウェアには注意してください。