Dharma ランサムウェアに関するセキュリティ・リサーチャーの報告内容は?
Dharma ウィルスは 2016 年 11 月に マルウェアのアナリストが知ることとなった危険なランサムウェアです。まず、このサイバー感染については多くの推論が上がりました。専門家はこのウィルスがランサムウェアの開発者たちの手によるオリジナルな作品なのか、単に何かしら大きな暗号化型ランサムウェア・ファミリーの新しいバージョンなのかについて話し合っていました。また、これは Locky ウィルス のように危険なものなのか?とも。
Dharma ランサムウェアの姿について、専門家が指摘するところによると、CrySiS ランサムウェア に似ているということや、このウィルスの最初のバージョンは復号が可能であることなどがあげられます。しかし、amagnus@india.com を使ってユーザーに暗号化されたファイルについて通知し 、身代金の支払を要求することで知られるこのウィルスの最新版 では、これはもはやできません。このような通知は info.hta という身代金メモにも書かれています。
さらに着け加えておかねばならないことは、最新のレポートによると、Dharma の現在のバージョンでは、ターゲットのファイルに次のような拡張子が付加されています: .dharma、.wallet、.zzzzz
登場した日、セキュリティの専門家は Dharma について総じてあまりよく知らず、これを新世代のウィルス の 1 つであると思っていました。どうやらこのウィルスの開発者は見た目をできるだけ曖昧にして、他のランサムウェアの製作者たちと同じような典型的なパターンを踏襲しないようにしようとしていたようです。
例えば、このウィルスはシステム内にウィルスが隠れていることを知らせるための身代金メモや他の形の文書を投下しませんでした。さらに、11 月の時点で、アンチウィルス・ユーティリティにはこれを検出することもできなかった様子で、Dharma の除去を甚だ複雑なものにしていました。とはいえ、今では例えば Reimage Reimage Cleaner のようなソフトウェアを使用して PC からこのランサムウェアを除去することができます。ですから、何らかのウィルス除去ステップに進む前に、バックアップを取れる適切なツールを持っていることを確認してください。
Dharma ランサムウェア・ウィルス
Dharma ランサムウェアの最新版は、シンプルな身代金メモを感染した PC にちゃんと残しており、次のよう内容になっています:
ATTENTION!
At the moment, your system is not protected.
We can fix it and restore files.
To restore the system write to this address:
bitcoin143@india.com
ご覧のように、被害者はメモに書かれたメール・アドレス経由で犯罪者と連絡を取る必要があり、感染したファイルの復元に必要な身代金について問合せねばなりません。メールの他に、メッセージの末尾にある .dharma、.wallet または .zzzzz も読まなくてはなりません。例えば、ファイル名が picture.jpg の場合、このファイルの感染したバージョンの名前は picture.jpg[email_address].dharma となります。
ハイジャッカーが提供するメール・アドレスが異なる点が面白いところです。ですから、このウィルスに感染すると、bitcoin143@india.com、worm01@india.com などに連絡を取る必要があるのです。弊社ではこれを行わないことを強くお勧めしております。このようなゆすり屋の集まりに何かしてもらえるなどという期待は絶対に持てませんし、彼らに連絡を取ったらその先どうなるか全くわかりません。単純に Dharma を除去して、PC を普段通りにまた使えばよいのです。
ランサムウェアが実行しているままで PC を使い続けると、システムを再起動するたびに、新たにファイルが暗号化されることになります。
どうやってランサムウェアに感染したの?
このマルウェアでシステムに感染しようとする時、Dharma ランサムウェアの開発者は積極的にフィッシングを利用してきました 。最もよくある手法は、感染したメール・メッセージでウィルスを送りつける方法であると見られています。詐欺師たちは悪意のあるスパム・キャンペーンを利用して添付されているマルウェアと併せて偽のメールを撒き散らし、残念なことにユーザーはしばしば彼らの手口に陥ってしまうのです。
見知らぬ送信者や企業、また機関からメールを受け取ったあなた、そうです、あなた自信のことですが、その場合は、どうか良くそれを調べてください。まずは、そのようなメールが来る予定であったかどうかを考えてみましょう。そしてそのようなメールが届く理由が思いつかないという場合は、恐らくはゆすり屋の標的にされているのです。
そのような場合は、メールに添付されているいかなる添付ファイルにも決して近寄らず、直ちにメールを削除しましょう。さもないと、Dharma が偽の航空券や駐車違反のチケット、また一見するといかにも当然かのように説得力のある文書などと一緒に悪意のあるプログラムを忍び込ませることになるのです。
Dharma を PC から除去するには?
あらゆる PC セキュリティにおいて異口同音に同意されているのは、Dharma ウィルスや他のいかなるランサムウェア・ウィルスをも感染した端末から除去する最適な方法は、専用のアンチマルウェア・ツールでスキャンすることだということです。しかし、思い出しておられることでしょうが、このウィルスは特に PC に隠れるのが巧く、セキュリティ・ツールでも発見できない場合があるということです。
そこで、Dharma の除去に直接進むことはできず、システム・スキャンを実行する前に先にいくつか追加のステップを終わらせておく必要があるのはこのためです。これらのステップについて、下記にあげておきました。どうぞご自由にお使いください。そしてその後システムを自動的にスキャンすることもお忘れなく!
手動 Dharmaウイルス削除方法:
Safe Mode with Networking を使用して Dharma を削除
-
手順 1: Safe Mode with Networking へコンピュータを再起動
Windows 7 / Vista / XP- Start → Shutdown → Restart → OK をクリック.
- コンピュータがアクティブ状態になったら、 Advanced Boot Options ウィンドウが表示されるまで、 F8 を何度か押下します。
-
リストから Safe Mode with Networking を選択
Windows 10 / Windows 8- Windows ログイン画面で Power ボタンを押下します。 その後、キーボードの Shift を押し続け、 Restart をクリックします。.
- ここで、 Troubleshoot → Advanced options → Startup Settings を選択し、最後に Restart を押下します。
-
コンピュータがアクティブ状態になったら、 Startup Settings ウィンドウの Enable Safe Mode with Networking を選択します。
-
手順 2: 削除 Dharma
感染しているアカウントへログインし、ブラウザを起動します。Reimage Reimage Cleaner または信頼できるアンチスパイウェアプログラムをダウンロードします。フルスキャンの前にアップデートを行い、感染したランサムウェアに属する悪意のあるファイルを削除し、 Dharma の削除を完了します。
ランサムウェアによってSafe Mode with Networking がブロックされている場合は、さらなる方法を試してください。
System Restore を使用して Dharma を削除
-
手順 1: Safe Mode with Command Prompt へコンピュータを再起動
Windows 7 / Vista / XP- Start → Shutdown → Restart → OK をクリック.
- コンピュータがアクティブ状態になったら、 Advanced Boot Options ウィンドウが表示されるまで、 F8 を何度か押下します。
-
リストから Command Prompt を選択
Windows 10 / Windows 8- Windows ログイン画面で Power ボタンを押下します。 その後、キーボードの Shift を押し続け、 Restart をクリックします。.
- ここで、 Troubleshoot → Advanced options → Startup Settings を選択し、最後に Restart を押下します。
-
コンピュータがアクティブ状態になったら、 Startup Settings ウィンドウの Enable Safe Mode with Command Prompt を選択します。
-
手順 2: システムファイルと設定の復元
-
Command Prompt ウィンドウが表示されたら、 cd restore を入力し Enter をクリックします。
-
ここで rstrui.exe を入力し、もう一度 Enter を押下します。.
-
新しいウィンドウが表示されたら、 Next をクリックし、Dharma が侵入する前の復元ポイントを選択します。選択後、 Next をクリックします。
-
ここで Yes をクリックし、システムの復元を開始します。
-
Command Prompt ウィンドウが表示されたら、 cd restore を入力し Enter をクリックします。
おまけ: データの復元
上記のガイドは PC から Dharma を除去するために役立つはずです。暗号化されたファイルを復元するには、uirusu.jp のセキュリティ専門家が用意した詳しいガイドを使用されることをお勧めします。ファイルが Dharma によって暗号化された場合、それらを復元する方法はいくつかあります。
Data Recovery Pro を使用して Dharma ランサムウェアによって暗号化されたファイルを復元する場合
Data Recovery Pro は、自分でデータの復元をするために時間を取りたくないという方のためにお勧めするソフトウェア選択肢です。これは自動ツールで、あらゆる作業をやってくれます。そこで、次のステップに従えば、座って結果を待つだけで良いでしょう。
- Data Recovery Pro をダウンロード;
- Data Recovery のセットップの手順に従い、プログラムを PC にインストールします。
- 起動後、PC をスキャンして Dharma ランサムウェアにより暗号化されたファイルを探します。
- それらを復元します。
Windows の Previous Versions 機能を使用して Dharma に暗号化されたファイルを復元する場合
Windows Previous Versions 機能はデータの復元のために試すべき機能です。しかし、この機能を使うためには System Restore 機能がオンになっている必要があることを覚えておいてください。ウィルスの攻撃を受ける前にオンになっていた場合は、以下のガイドを使ってデータ復元のチャンスを試してみましょう。
- 復元の必要な暗号化されたファイルを見つけたら、その上で右クリックします。
- “Properties” を選択し、“Previous versions” タブに移動します。
- ここで、“Folder versions” 内のファイルのうち利用可能なコピーをそれぞれチェックします。復元したいバージョンを選択して、“Restore” をクリックします。
ShadowExplorer を使ってファイルを修復する場合
最終手段というわけではありませんが、ShadowExplorer もデータの復元に使用することができます。ShadowExplorer は通常 PC に保管されている Volume Shadow Copies からデータを抽出するところに特にフォーカスしています。当然ながら、もしウィルスがこれを削除しておらず、必要な情報が手付かずのままの場合は、下のステップに従ってデータ復元に進んでください。
- Shadow Explorer をダウンロードします (http://shadowexplorer.com/)。
- Shadow Explorer セットアップ・ウィザードに従い、PC にこのアプリケーションをインストールします。
- プログラムを起動し、左上コーナーのドロップダウン・メニューを開いて、暗号化されたデータのあるディスクを選択します。どのようなフォルダがあるか、チェックしてください。
- 復元したいフォルダの上で右クリックし、“Export” を選択します。復元先の場所も選択することができます。
Dharma のデクリプタを使用してファイルを復元する場合
まだ Dharma のデクリプタは存在していません。しかし、このマルウェアは Crysis ランサムウェアに近似しているため、Kaspersky Lab が提供しているこちらのデクリプタを試してみることもできます。こちら からダウンロードできます。
最後に、クリプト・ランサムウェアから身を守るよう、常に気をつけてください。Dharma やその他のランサムウェアからコンピュータを守るためには、 Reimage Reimage Cleaner や SpyHunter 5Combo Cleaner 、 Malwarebytes などの評価が高いアンチスパイウェアを使用してください
著者について
この無料の除去ガイドがお役に立ち、弊社のサービスにご満足いただけましたら、本サービスが続けられますよう、ご寄付をご検討ください。少額でも喜んでお預かりいたします。