.Aesir ファイル拡張子ウィルスが Locky ランサムウェア・ファミリーに加わる
Locky ランサムウェアの作者は、新しいウィルスに北欧神話の神々の名前を付けるようです。最新のランサムウェアの例では .Aesir ファイル拡張子という呼び名が付けられています。北欧神話によると、Æsir (アーシル) はパンテオンの神々の長であり、例として Thor (トール)、Odin (オーディン)、Loki (Locky) (ロキ) そして Heimdall (ヘイムダル) が含まれます。新しいバージョンでは 456 の異なるファイル・タイプをターゲットにしており、またしても AES-1024 および RSA-2048 の組合せを用いて個人ファイルを使えなくしてしまいます。このランサムウェア・ファミリーの一員は、目的の PC にランサムウェアをうまく届けて、そこにあるあらゆるファイルを暗号化するための複雑な難読化レイヤを操作する方法を確実に知っている、高度なスキルを持ったプログラマによって作られていることが分かっています。Aesir ウィルス・プロジェクトにおいて新しい事柄としては、これが別の C2 サーバー (89.108.73.124/information.cgi、185.75.46.73/information.cgi、または 91.211.119.98/information.cgi) を使うこと、そして別々のタイトルが付けられた身代金メモ – _[文字セット]-INSTRUCTION.html を投下するという点があげられます。データを暗号化する際、このウィルスは元のファイル名を取り除き、代わりに特定の文字セットを置き、さらに元の拡張子の代わりに .aesir というファイル拡張子を付けます。全てのファイルを暗号化し終えると、ウィルスは .html ファイルを 1 つ作成し (身代金メモ)、そのコピーを暗号化されたデータの各フォルダに保存するのですが、それはデスクトップにも置かれ、そこには暗号解除オプションの可能性についての情報が書かれています。身代金メモはユーザーのデフォルトのウェブ・ブラウザ経由で起動され、従来通りの Locky’ の “! ! ! IMPORTANT INFORMATION ! ! !” というメッセージ が表示されますが、ここには RSA および AES 暗号化手法に関するウィキペディアの記事や個人別の身代金支払いサイトへのリンクや、Tor ブラウザのダウンロードの仕方についてのガイドが載っており、それらにアクセスできるようになっています。最後に、Aesir ランサムウェア・ウィルスはデスクトップの画像を、身代金メモと同じ内容の文章が書かれた黒い絵に置き換えます。
.Aesir ランサムウェアは解読不可能な暗号で暗号化を行い、ファイルは一度ロックされると、失われることになります。このサイバー犯罪プロジェクトの背後で動いている犯罪者たちは、データ復元の唯一のキーである秘密の復号コードに基づいて作られているソフトウェアを受け取るために、被害者が身代金を支払うよう要求しています。犯罪者の手を借りずにこのコードを見つける方法はありませんが、このような詐欺師たちには交渉の余地を与える気がないことは確かです。彼らは、Locky デクリプタ が欲しければ、特定の量のビットコインを購入し、それらを自分たちのビットコイン・ウォレットに送金するように求めています。苦労して稼いだお金を取り出して犯罪者に渡す代わりに、本当にそんな価値があるのか考えてみましょう。また、身代金を支払ったランサムウェアの全被害者のうちの 20% は、犯罪者が単純に復号ソフトウェアの提供を拒んだために、決してファイルを取り戻すことができなかったという事実も考慮に入れるべきです。詐欺師というのはただお金のことにしか興味がないのであり、ユーザーの幸福などどうでも良いのだということを理解しなければなりません。ですから、お金は取っておいて、さっさと .Aesir ウィルスを除去してしまいましょう。
配布の仕掛け
弊社の分析によると、.Aesir ファイル拡張子ウィルスは現時点では新しい戦術を用いて配布されていることが分かっています。最近、弊社では Nemucod Trojan のダウンローダーが Facebook のスパム・キャンペーン経由で配布されており、それが被害者に怪し気な写真を送りつけていることを発見しました。感染性のメッセージには Photo_[4 桁の任意の数字].svg という名前の添付ファイルが含まれています。経験を積んだ PC ユーザーの場合は、このファイル拡張子が標準的な画像形式 (JPG、JPEG または PNG) とは異なっていることに直ぐに気付いて、それをクリックしないようにすることでしょう。SVG は XML ベースのベクター・イメージ形式ですが、これには JavaScript コードを埋め込むことができます。被害者がそのようなファイルをクリックすると、Youtube に似たフィッシング・サイトにリダイレクトされます。ここでは、詐欺師たちは昔からの「動画を見るには拡張プログラムをインストールしてください」という手法を用いてユーザーを騙し、悪意のあるソフトウェアをインストールさせようとします。被害者が拡張プログラムをインストールすると、すぐにウィルスが被害者の Facebook アカウントのアクセスを取得してそれを Aesir の拡散に使用します。Locky の最新版を含んだメッセージを被害者の全ての友人に送りつけるのです。同時に、悪意のある拡張プログラムは Nemucod をインストールしますが、これが後に Aesir マルウェアをダウンロードして実行します。
明らかに、詐欺プログラム・グループである Locky の一部は今でも悪意のあるメールによるスパム・キャンペーン経由でウィルスを配布していますが、今回の場合、彼らは “Your Amazon.com order has dispatched #[random numbers]” (「お客様の Amazon.com のご注文の手配が整いました #[任意の数字]」) という名前の電子メールを送りつけています。報告によると、被害者は例えば auto-shipping4@amazon.com や auto-shipping5@amazon.com などの偽のメール・アカウントからメールを受け取るようです。そのメールには .zip 形式の添付ファイルが 1 つ付いていますが、これには全ての個人ファイルを永遠に取り去ってしまうような破壊的なプログラムが含まれていますので、決して開いてはいけません。
.Aesir ファイル拡張子ウィルスを除去して暗号化されたファイルを復元するには?
.Aesir ファイル拡張子ウィルスは複雑な作りの中級レベルのマルウェア・プログラムではなく、場合によっては暗号を解除することができます。このウィルスを組んだ詐欺師は自らが行っている事が何であるか、またその理由についても、はっきりと自覚しており、そこで何ら悪いものに遭遇するとは考えずにワールド・ワイド・ウェブをサーフィンしている無垢な PC ユーザーを臆面もなく攻撃しているのです。弊社では .Aesir ファイル拡張子ウィルスを Nemucod ともども、できるだけ速やかに除去されることをお勧めします。そのためには、Reimage をご利用ください。PC を Safe Mode with Networking で先に起動しておくのは、悪意のあるプログラムがアンチマルウェア・ツールをブロックして自らに対して使えないようにするからです。
手動 .aesirウイルス削除方法:
著者について
この無料の除去ガイドがお役に立ち、弊社のサービスにご満足いただけましたら、本サービスが続けられますよう、ご寄付をご検討ください。少額でも喜んでお預かりいたします。