.Aesir ファイル拡張子ウィルスが Locky ランサムウェア・ファミリーに加わる
Locky ランサムウェアの作者は、新しいウィルスに北欧神話の神々の名前を付けるようです。最新のランサムウェアの例では .Aesir ファイル拡張子という呼び名が付けられています。北欧神話によると、Æsir (アーシル) はパンテオンの神々の長であり、例として Thor (トール)、Odin (オーディン)、Loki (Locky) (ロキ) そして Heimdall (ヘイムダル) が含まれます。新しいバージョンでは 456 の異なるファイル・タイプをターゲットにしており、またしても AES-1024 および RSA-2048 の組合せを用いて個人ファイルを使えなくしてしまいます。このランサムウェア・ファミリーの一員は、目的の PC にランサムウェアをうまく届けて、そこにあるあらゆるファイルを暗号化するための複雑な難読化レイヤを操作する方法を確実に知っている、高度なスキルを持ったプログラマによって作られていることが分かっています。Aesir ウィルス・プロジェクトにおいて新しい事柄としては、これが別の C2 サーバー (89.108.73.124/information.cgi、185.75.46.73/information.cgi、または 91.211.119.98/information.cgi) を使うこと、そして別々のタイトルが付けられた身代金メモ – _[文字セット]-INSTRUCTION.html を投下するという点があげられます。データを暗号化する際、このウィルスは元のファイル名を取り除き、代わりに特定の文字セットを置き、さらに元の拡張子の代わりに .aesir というファイル拡張子を付けます。全てのファイルを暗号化し終えると、ウィルスは .html ファイルを 1 つ作成し (身代金メモ)、そのコピーを暗号化されたデータの各フォルダに保存するのですが、それはデスクトップにも置かれ、そこには暗号解除オプションの可能性についての情報が書かれています。身代金メモはユーザーのデフォルトのウェブ・ブラウザ経由で起動され、従来通りの Locky’ の “! ! ! IMPORTANT INFORMATION ! ! !” というメッセージ が表示されますが、ここには RSA および AES 暗号化手法に関するウィキペディアの記事や個人別の身代金支払いサイトへのリンクや、Tor ブラウザのダウンロードの仕方についてのガイドが載っており、それらにアクセスできるようになっています。最後に、Aesir ランサムウェア・ウィルスはデスクトップの画像を、身代金メモと同じ内容の文章が書かれた黒い絵に置き換えます。
.Aesir ランサムウェアは解読不可能な暗号で暗号化を行い、ファイルは一度ロックされると、失われることになります。このサイバー犯罪プロジェクトの背後で動いている犯罪者たちは、データ復元の唯一のキーである秘密の復号コードに基づいて作られているソフトウェアを受け取るために、被害者が身代金を支払うよう要求しています。犯罪者の手を借りずにこのコードを見つける方法はありませんが、このような詐欺師たちには交渉の余地を与える気がないことは確かです。彼らは、Locky デクリプタ が欲しければ、特定の量のビットコインを購入し、それらを自分たちのビットコイン・ウォレットに送金するように求めています。苦労して稼いだお金を取り出して犯罪者に渡す代わりに、本当にそんな価値があるのか考えてみましょう。また、身代金を支払ったランサムウェアの全被害者のうちの 20% は、犯罪者が単純に復号ソフトウェアの提供を拒んだために、決してファイルを取り戻すことができなかったという事実も考慮に入れるべきです。詐欺師というのはただお金のことにしか興味がないのであり、ユーザーの幸福などどうでも良いのだということを理解しなければなりません。ですから、お金は取っておいて、さっさと .Aesir ウィルスを除去してしまいましょう。
配布の仕掛け
弊社の分析によると、.Aesir ファイル拡張子ウィルスは現時点では新しい戦術を用いて配布されていることが分かっています。最近、弊社では Nemucod Trojan のダウンローダーが Facebook のスパム・キャンペーン経由で配布されており、それが被害者に怪し気な写真を送りつけていることを発見しました。感染性のメッセージには Photo_[4 桁の任意の数字].svg という名前の添付ファイルが含まれています。経験を積んだ PC ユーザーの場合は、このファイル拡張子が標準的な画像形式 (JPG、JPEG または PNG) とは異なっていることに直ぐに気付いて、それをクリックしないようにすることでしょう。SVG は XML ベースのベクター・イメージ形式ですが、これには JavaScript コードを埋め込むことができます。被害者がそのようなファイルをクリックすると、Youtube に似たフィッシング・サイトにリダイレクトされます。ここでは、詐欺師たちは昔からの「動画を見るには拡張プログラムをインストールしてください」という手法を用いてユーザーを騙し、悪意のあるソフトウェアをインストールさせようとします。被害者が拡張プログラムをインストールすると、すぐにウィルスが被害者の Facebook アカウントのアクセスを取得してそれを Aesir の拡散に使用します。Locky の最新版を含んだメッセージを被害者の全ての友人に送りつけるのです。同時に、悪意のある拡張プログラムは Nemucod をインストールしますが、これが後に Aesir マルウェアをダウンロードして実行します。
明らかに、詐欺プログラム・グループである Locky の一部は今でも悪意のあるメールによるスパム・キャンペーン経由でウィルスを配布していますが、今回の場合、彼らは “Your Amazon.com order has dispatched #[random numbers]” (「お客様の Amazon.com のご注文の手配が整いました #[任意の数字]」) という名前の電子メールを送りつけています。報告によると、被害者は例えば auto-shipping4@amazon.com や auto-shipping5@amazon.com などの偽のメール・アカウントからメールを受け取るようです。そのメールには .zip 形式の添付ファイルが 1 つ付いていますが、これには全ての個人ファイルを永遠に取り去ってしまうような破壊的なプログラムが含まれていますので、決して開いてはいけません。
.Aesir ファイル拡張子ウィルスを除去して暗号化されたファイルを復元するには?
.Aesir ファイル拡張子ウィルスは複雑な作りの中級レベルのマルウェア・プログラムではなく、場合によっては暗号を解除することができます。このウィルスを組んだ詐欺師は自らが行っている事が何であるか、またその理由についても、はっきりと自覚しており、そこで何ら悪いものに遭遇するとは考えずにワールド・ワイド・ウェブをサーフィンしている無垢な PC ユーザーを臆面もなく攻撃しているのです。弊社では .Aesir ファイル拡張子ウィルスを Nemucod ともども、できるだけ速やかに除去されることをお勧めします。そのためには、Reimage をご利用ください。PC を Safe Mode with Networking で先に起動しておくのは、悪意のあるプログラムがアンチマルウェア・ツールをブロックして自らに対して使えないようにするからです。
手動 .aesirウイルス削除方法:
Safe Mode with Networking を使用して .aesir を削除
-
手順 1: Safe Mode with Networking へコンピュータを再起動
Windows 7 / Vista / XP- Start → Shutdown → Restart → OK をクリック.
- コンピュータがアクティブ状態になったら、 Advanced Boot Options ウィンドウが表示されるまで、 F8 を何度か押下します。
-
リストから Safe Mode with Networking を選択
Windows 10 / Windows 8- Windows ログイン画面で Power ボタンを押下します。 その後、キーボードの Shift を押し続け、 Restart をクリックします。.
- ここで、 Troubleshoot → Advanced options → Startup Settings を選択し、最後に Restart を押下します。
-
コンピュータがアクティブ状態になったら、 Startup Settings ウィンドウの Enable Safe Mode with Networking を選択します。
-
手順 2: 削除 .aesir
感染しているアカウントへログインし、ブラウザを起動します。Reimage または信頼できるアンチスパイウェアプログラムをダウンロードします。フルスキャンの前にアップデートを行い、感染したランサムウェアに属する悪意のあるファイルを削除し、 .aesir の削除を完了します。
ランサムウェアによってSafe Mode with Networking がブロックされている場合は、さらなる方法を試してください。
System Restore を使用して .aesir を削除
-
手順 1: Safe Mode with Command Prompt へコンピュータを再起動
Windows 7 / Vista / XP- Start → Shutdown → Restart → OK をクリック.
- コンピュータがアクティブ状態になったら、 Advanced Boot Options ウィンドウが表示されるまで、 F8 を何度か押下します。
-
リストから Command Prompt を選択
Windows 10 / Windows 8- Windows ログイン画面で Power ボタンを押下します。 その後、キーボードの Shift を押し続け、 Restart をクリックします。.
- ここで、 Troubleshoot → Advanced options → Startup Settings を選択し、最後に Restart を押下します。
-
コンピュータがアクティブ状態になったら、 Startup Settings ウィンドウの Enable Safe Mode with Command Prompt を選択します。
-
手順 2: システムファイルと設定の復元
-
Command Prompt ウィンドウが表示されたら、 cd restore を入力し Enter をクリックします。
-
ここで rstrui.exe を入力し、もう一度 Enter を押下します。.
-
新しいウィンドウが表示されたら、 Next をクリックし、.aesir が侵入する前の復元ポイントを選択します。選択後、 Next をクリックします。
-
ここで Yes をクリックし、システムの復元を開始します。
-
Command Prompt ウィンドウが表示されたら、 cd restore を入力し Enter をクリックします。
おまけ: データの復元
上記のガイドは PC から .aesir を除去するために役立つはずです。暗号化されたファイルを復元するには、uirusu.jp のセキュリティ専門家が用意した詳しいガイドを使用されることをお勧めします。Locky の解毒剤の話になると、マルウェアのアナリストたちは黙ったままになりますが、それは Locky のチームがウィルスのコードに何の欠陥も残していないためです。これはつまり、サイバー・セキュリティの専門家がウィルスのコードを破って効果的な復号ツールを作れるような手がかりが全くないことを意味しています。ですから、ファイルを復元する唯一の方法はデータのバックアップを使うことになるわけです。
ファイルが .aesir によって暗号化された場合、それらを復元する方法はいくつかあります。
Data Recovery Pro 方式
ご希望であれば、Locky ウィルスを除去した後でこのデータ復元ツールを試してみることができます。暗号化されたファイルを全て復元することはできないかも知れませんが、一部を復元するのに役立つでしょう。弊社では、ファイルの復号を試みたものの失敗した場合やデータの破損に備えて、暗号化されたデータのバックアップを取っておかれることを強くお勧めします。
- Data Recovery Pro をダウンロードします (http://uirusu.jp//download/data-recovery-pro-setup.exe)。
- Data Recovery のセットップの手順に従い、プログラムを PC にインストールします。
- 起動後、PC をスキャンして .aesir ランサムウェアにより暗号化されたファイルを探します。
- それらを復元します。
最後に、クリプト・ランサムウェアから身を守るよう、常に気をつけてください。.aesir やその他のランサムウェアからコンピュータを守るためには、 Reimage や Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus 、 Malwarebytes Anti Malware などの評価が高いアンチスパイウェアを使用してください
著者について
この無料の除去ガイドがお役に立ち、弊社のサービスにご満足いただけましたら、本サービスが続けられますよう、ご寄付をご検討ください。少額でも喜んでお預かりいたします。