Dharma ランサムウェアに関するセキュリティ・リサーチャーの報告内容は?
Dharma ウィルスは 2016 年 11 月に マルウェアのアナリストが知ることとなった危険なランサムウェアです。まず、このサイバー感染については多くの推論が上がりました。専門家はこのウィルスがランサムウェアの開発者たちの手によるオリジナルな作品なのか、単に何かしら大きな暗号化型ランサムウェア・ファミリーの新しいバージョンなのかについて話し合っていました。また、これは Locky ウィルス のように危険なものなのか?とも。
Dharma ランサムウェアの姿について、専門家が指摘するところによると、CrySiS ランサムウェア に似ているということや、このウィルスの最初のバージョンは復号が可能であることなどがあげられます。しかし、amagnus@india.com を使ってユーザーに暗号化されたファイルについて通知し 、身代金の支払を要求することで知られるこのウィルスの最新版 では、これはもはやできません。このような通知は info.hta という身代金メモにも書かれています。
さらに着け加えておかねばならないことは、最新のレポートによると、Dharma の現在のバージョンでは、ターゲットのファイルに次のような拡張子が付加されています: .dharma、.wallet、.zzzzz
登場した日、セキュリティの専門家は Dharma について総じてあまりよく知らず、これを新世代のウィルス の 1 つであると思っていました。どうやらこのウィルスの開発者は見た目をできるだけ曖昧にして、他のランサムウェアの製作者たちと同じような典型的なパターンを踏襲しないようにしようとしていたようです。
例えば、このウィルスはシステム内にウィルスが隠れていることを知らせるための身代金メモや他の形の文書を投下しませんでした。さらに、11 月の時点で、アンチウィルス・ユーティリティにはこれを検出することもできなかった様子で、Dharma の除去を甚だ複雑なものにしていました。とはいえ、今では例えば Reimage のようなソフトウェアを使用して PC からこのランサムウェアを除去することができます。ですから、何らかのウィルス除去ステップに進む前に、バックアップを取れる適切なツールを持っていることを確認してください。



'Safe Mode with Networking' を選択

'Enable Safe Mode with Networking' を選択

'Safe Mode with Command Prompt' を選択

'Enable Safe Mode with Command Prompt' を選択

引用符なしで 'cd restore' を入力し、 'Enter' を押下します

引用符なしで 'rstrui.exe' を入力し、 'Enter' を押下します

'System Restore' ウィンドウが表示されたら、 'Next' を選択します

復元ポイントを選択し、 'Next' をクリックします

'Yes' をクリックし、システムの復 を開始します
Dharma ランサムウェアの最新版は、シンプルな身代金メモを感染した PC にちゃんと残しており、次のよう内容になっています:
ATTENTION!
At the moment, your system is not protected.
We can fix it and restore files.
To restore the system write to this address:
bitcoin143@india.com
ご覧のように、被害者はメモに書かれたメール・アドレス経由で犯罪者と連絡を取る必要があり、感染したファイルの復元に必要な身代金について問合せねばなりません。メールの他に、メッセージの末尾にある .dharma、.wallet または .zzzzz も読まなくてはなりません。例えば、ファイル名が picture.jpg の場合、このファイルの感染したバージョンの名前は picture.jpg[email_address].dharma となります。
ハイジャッカーが提供するメール・アドレスが異なる点が面白いところです。ですから、このウィルスに感染すると、bitcoin143@india.com、worm01@india.com などに連絡を取る必要があるのです。弊社ではこれを行わないことを強くお勧めしております。このようなゆすり屋の集まりに何かしてもらえるなどという期待は絶対に持てませんし、彼らに連絡を取ったらその先どうなるか全くわかりません。単純に Dharma を除去して、PC を普段通りにまた使えばよいのです。
ランサムウェアが実行しているままで PC を使い続けると、システムを再起動するたびに、新たにファイルが暗号化されることになります。
どうやってランサムウェアに感染したの?
このマルウェアでシステムに感染しようとする時、Dharma ランサムウェアの開発者は積極的にフィッシングを利用してきました 。最もよくある手法は、感染したメール・メッセージでウィルスを送りつける方法であると見られています。詐欺師たちは悪意のあるスパム・キャンペーンを利用して添付されているマルウェアと併せて偽のメールを撒き散らし、残念なことにユーザーはしばしば彼らの手口に陥ってしまうのです。
見知らぬ送信者や企業、また機関からメールを受け取ったあなた、そうです、あなた自信のことですが、その場合は、どうか良くそれを調べてください。まずは、そのようなメールが来る予定であったかどうかを考えてみましょう。そしてそのようなメールが届く理由が思いつかないという場合は、恐らくはゆすり屋の標的にされているのです。
そのような場合は、メールに添付されているいかなる添付ファイルにも決して近寄らず、直ちにメールを削除しましょう。さもないと、Dharma が偽の航空券や駐車違反のチケット、また一見するといかにも当然かのように説得力のある文書などと一緒に悪意のあるプログラムを忍び込ませることになるのです。
Dharma を PC から除去するには?
あらゆる PC セキュリティにおいて異口同音に同意されているのは、Dharma ウィルスや他のいかなるランサムウェア・ウィルスをも感染した端末から除去する最適な方法は、専用のアンチマルウェア・ツールでスキャンすることだということです。しかし、思い出しておられることでしょうが、このウィルスは特に PC に隠れるのが巧く、セキュリティ・ツールでも発見できない場合があるということです。
そこで、Dharma の除去に直接進むことはできず、システム・スキャンを実行する前に先にいくつか追加のステップを終わらせておく必要があるのはこのためです。これらのステップについて、下記にあげておきました。どうぞご自由にお使いください。そしてその後システムを自動的にスキャンすることもお忘れなく!