WannaLocker ウィルスを除去する (チュートリアル) - 簡単リムーバルガイド
WannaLocker – WannaCry の新しい亜種の振りをするモバイル向けランサムウェア
WannaLocker は WannaCry ランサムウェア のなりすましです。現在、そのターゲットは中国の Android ユーザーです。しかし、マルウェアがそのターゲット領域を広げ世界中の PC ユーザーに照準を合わせる可能性もあります。このウィルスはゲーム・フォーラムで人気の中国のゲーム用のプラグインとして拡散されています。感染した端末では、ランサムウェアが壁紙をアニメの画像に置き換えます。その後ターゲットのファイルを AES 暗号化手法で暗号化し、任意の記号を並べたユニークなファイル拡張子を付加します。全てのファイルが暗号化されると、マルウェアは WannaCry の身代金要求ウィンドウにそっくりなウィンドウを起動します。そこには暗号化されたデータやそれらを復元できる可能性についての情報が中国語で書かれています。WannaLocker ランサムウェアは中国のお金で 40 人民元を支払うこと、また送金後できるだけ速やかに連絡を寄越すように、と求めています。相手は必要な復号キーを提供し、感染したファイルを解放してくれるということです。その間、身代金メモにある 2 つのタイマーには身代金の金額が 2 倍になるまでの残り時間と、ユーザーの記録が完全に失われる時刻が表示されています。しかし、このようなガイドに従って大急ぎで支払をする代わりに、被害者は WannaLocker の除去に集中すべきです。スマートホンを元通りに普通に使用するためには、マルウェアを除去することが不可欠です。このタスクを完了するために、弊社では ReimageIntego の携帯版をインストールして完全なシステム・スキャンを実行されるようお薦めします。
WannaLocker は感染した端末の外部ストレージにあるファイルを暗号化するように設計されています。このユニークな手法は別の携帯向けランサムウェアである SimpLocker によって使われているものです。さらに、マルウェアは “.” で始まっていないファイルのみを暗号化するように作られています。一方、DCMI、download、miad、android および com. の各ディレクトに格納されているファイルもこのランサムウェアのターゲット領域には含まれていません。さらに、10 KB より大きいサイズのファイルは暗号化しません。現在、WannaLocker ランサムウェアに暗号化されたファイルを復号できる復号ソフトはありません。しかしファイルのバックアップがあれば、そこからファイルを復元することができます。ですがその前に、端末から WannaLocker を除去する必要があります。スマートホンを PC に接続するかクラウド・ストレージにアクセスすると、これらの場所にあるファイルも暗号化される恐れがあります。
どうやら WannaLocker の開発者は素人か、サイバー犯罪者として見つけられ、逮捕されることを望んでいるかのようです。このサイバー犯罪者じは身代金をビットコインで送金するように求めていません。代替通貨を使用することはハッカーの間では常識ですが、それはこのようにするとお金の流れを追跡することができない上に、ハッカーは見つかることを望んでいないからです。しかし今回の詐欺師はお金を QQ を使用して送金するよう求めています。Alipay や WeChat は中国国内では良く使われている支払方法です。さらに、お金の流れを極めて簡単に追跡でき、このサイバー脅威の背後に隠れている人物を容易に特定できるのです。支払いをより簡単にするために、サイバー犯罪者は QR コードを 2 つ提供してもいます。このような利便性や身代金の金額の少なさ (約 5-6 USD) では、ハッカーのルールに従おうという気にもならないはずです。相手は復号ソフトを保持していかもしれず、またより大きな金額を要求してくる可能性もあります。わずかな金額であっても、サイバー犯罪者にとっては新しいウィルスを開発したり、現在のサイバー脅威を改良する動機づけになるのです。ですから、彼らにお金を援助することなく、ただ端末から WannaLocker を除去するに留めておきましょう。
マルウェアはゲーム King of Glory のプラグインとして拡散
この携帯向けランサムウェアは中国のゲーム・フォーラムで拡散されているところを発見されました。これは King of Glory (王者荣耀) という中国で大変人気のゲームのプラグインを装っています。この悪意のあるファイルの名前は「com.android.tencent.zdevs.bah」です。その後ユーザーは誤解してこのファイルをダウンロードするのです。WannaLocker は端末に侵入するとその危険なタスクを開始します。しかし、サイバー犯罪者は別のランサムウェア配布チャネルを使用した (あるいは少なくとも使用を試みた) 可能性があります。そこで、マルウェアが悪意のあるスパム・メールやマルバタイジング、エクスプロイト・キット、偽の更新プログラム、詐欺的なソフトウェア・ダウンロード などを使用して配布される可能性にも注意を払うべきです。これらはサイバー犯罪者たちが最もよく使う方法です。そこで、取れる予防策は全て取り 、バックアップ・ファイルを携帯電話や PC に保存しておきましょう。
WannaLocker ランサムウェア・ウィルスの除去
Android 端末やタブレットから WannaLocker を除去する唯一の方法は、モバイル対応のアンチウィルス・プログラムをインストールし、それを利用してシステムの完全スキャンを実施することです。弊社では ReimageIntego または SpyHunter 5Combo Cleaner のご使用をお勧めしています。しかし、セキュリティ・ツールのインストールができない場合は、以下のステップに注意深く従って、マルウェア関連のエントリを手動で全て削除する必要があります:
端末を Safe Mode で起動する:
1. 電源ボタンを押すと設定がいくつか表示されるので、メニューが現れるまで押してください。 電源切断 オプションをタップします。
2. 表示されたダイアログ・ウィンドウで、端末を Safe Mode に起動するオプションを選択して OK をタップします。
しかし、この方法でもうまくいかない場合は、Android 端末の電源を切って、もう一度電源を入れてください。次にメニュー、音量減、音量増を長押しするか、これらのボタンを同時に押して、Safe Mode オプションが表示されるまで長押しします。
端末から怪しいアプリをアンインストールする:
1 端末を再起動して Safe Mode にしたら、設定 に移動して アプリ (またはアプリケーション・マネージャ (名前は Android 端末によって異なる場合があります) をクリックします。
2. 表示されたリストで、悪意のあるアプリを探してアンインストールします。
マルウェアがまんまと PC に感染し、WannaLocker の除去に問題を抱えているという方は、弊社でご用意した下記のガイドをお読みください。PC からランサムウェアを除去するのはかなり複雑です。そこで、専用のセキュリティ・プログラムを使うべきでしょう。
手動 WannaLockerウイルス削除方法:
Safe Mode with Networking を使用して WannaLocker を削除
PC が WannaLocker の亜種に感染した場合、PC を再起動して Safe Mode with Networking にする必要があります。その後、マルウェア除去プログラムをインストールして、システムの完全スキャンを実施してください。
-
手順 1: Safe Mode with Networking へコンピュータを再起動
Windows 7 / Vista / XP- Start → Shutdown → Restart → OK をクリック.
- コンピュータがアクティブ状態になったら、 Advanced Boot Options ウィンドウが表示されるまで、 F8 を何度か押下します。
-
リストから Safe Mode with Networking を選択
Windows 10 / Windows 8- Windows ログイン画面で Power ボタンを押下します。 その後、キーボードの Shift を押し続け、 Restart をクリックします。.
- ここで、 Troubleshoot → Advanced options → Startup Settings を選択し、最後に Restart を押下します。
-
コンピュータがアクティブ状態になったら、 Startup Settings ウィンドウの Enable Safe Mode with Networking を選択します。
-
手順 2: 削除 WannaLocker
感染しているアカウントへログインし、ブラウザを起動します。ReimageIntego または信頼できるアンチスパイウェアプログラムをダウンロードします。フルスキャンの前にアップデートを行い、感染したランサムウェアに属する悪意のあるファイルを削除し、 WannaLocker の削除を完了します。
ランサムウェアによってSafe Mode with Networking がブロックされている場合は、さらなる方法を試してください。
System Restore を使用して WannaLocker を削除
先のメソッドがうまくいかない場合は、System Restore オプションをお試しください。ランサムウェアの除去は専用のマルウェア除去プログラムを使用して行うことに留意してください。
-
手順 1: Safe Mode with Command Prompt へコンピュータを再起動
Windows 7 / Vista / XP- Start → Shutdown → Restart → OK をクリック.
- コンピュータがアクティブ状態になったら、 Advanced Boot Options ウィンドウが表示されるまで、 F8 を何度か押下します。
-
リストから Command Prompt を選択
Windows 10 / Windows 8- Windows ログイン画面で Power ボタンを押下します。 その後、キーボードの Shift を押し続け、 Restart をクリックします。.
- ここで、 Troubleshoot → Advanced options → Startup Settings を選択し、最後に Restart を押下します。
-
コンピュータがアクティブ状態になったら、 Startup Settings ウィンドウの Enable Safe Mode with Command Prompt を選択します。
-
手順 2: システムファイルと設定の復元
-
Command Prompt ウィンドウが表示されたら、 cd restore を入力し Enter をクリックします。
-
ここで rstrui.exe を入力し、もう一度 Enter を押下します。.
-
新しいウィンドウが表示されたら、 Next をクリックし、WannaLocker が侵入する前の復元ポイントを選択します。選択後、 Next をクリックします。
-
ここで Yes をクリックし、システムの復元を開始します。
-
Command Prompt ウィンドウが表示されたら、 cd restore を入力し Enter をクリックします。
おまけ: データの復元
上記のガイドは PC から WannaLocker を除去するために役立つはずです。暗号化されたファイルを復元するには、uirusu.jp のセキュリティ専門家が用意した詳しいガイドを使用されることをお勧めします。本稿執筆時点では、WannaLocker ランサムウェアに暗号化されたファイルを復元する唯一安全な方法は、データのバックアップを使用することです。バックアップがない場合は、次の代替手段をお試しください。
ファイルが WannaLocker によって暗号化された場合、それらを復元する方法はいくつかあります。
Data Recovery Pro を使用して暗号化されたファイルを復元してみる
Data Recovery Pro は破損、あるいは削除されたファイルを復元するために作られた専用のツールです。しかし、これが更新され、現在はランサムウェアの被害者がファイルを復元するのにも役立っています。
- Data Recovery Pro をダウンロード;
- Data Recovery のセットップの手順に従い、プログラムを PC にインストールします。
- 起動後、PC をスキャンして WannaLocker ランサムウェアにより暗号化されたファイルを探します。
- それらを復元します。
Windows Previous Versions 機能を活用する
Windows PC を狙った WannaLocker ランサムウェアに出くわしたら、PC の時間を前に戻して、暗号化されたファイルの以前保存されていた版をコピーすることができます。しかし、このメソッドを使用するには、ランサムウェアの攻撃を受ける前に System Restore メソッドが有効になっていたかを確認する必要があります。
- 復元の必要な暗号化されたファイルを見つけたら、その上で右クリックします。
- “Properties” を選択し、“Previous versions” タブに移動します。
- ここで、“Folder versions” 内のファイルのうち利用可能なコピーをそれぞれチェックします。復元したいバージョンを選択して、“Restore” をクリックします。
ShadowExplorer を使用してファイルを復元する
このデータ復元メソッドは、PC を狙うもののターゲットファイルの Shadow Volume Copies を削除していないという場合に役立つでしょう。ShadowExplorer を使うには、以下のステップに従ってください:
- Shadow Explorer をダウンロードします (http://shadowexplorer.com/)。
- Shadow Explorer セットアップ・ウィザードに従い、PC にこのアプリケーションをインストールします。
- プログラムを起動し、左上コーナーのドロップダウン・メニューを開いて、暗号化されたデータのあるディスクを選択します。どのようなフォルダがあるか、チェックしてください。
- 復元したいフォルダの上で右クリックし、“Export” を選択します。復元先の場所も選択することができます。
WannaLocker Decryptor はまだご利用いただけません。
最後に、クリプト・ランサムウェアから身を守るよう、常に気をつけてください。WannaLocker やその他のランサムウェアからコンピュータを守るためには、 ReimageIntego や SpyHunter 5Combo Cleaner 、 Malwarebytes などの評価が高いアンチスパイウェアを使用してください
政府のスパイ行為を許してはいけません
政府は利用者のデータの追跡あるいは市民へのスパイ行為に関しては多くの問題を抱えています。そこで、このことを考慮に入れて、怪しい情報収集の行いについて学びましょう。インターネット上では完全匿名にすることにより、迷惑な政府系の追跡行為を避けましょう。
オンラインにアクセスするために違うロケーションを選択し、特定のコンテンツ制限もなく、オンラインに接続して欲しいものにアクセスする時、別の場所を選択することができます。 Private Internet Access VPN を使用すると、ハッキングされるリスクがなく、簡単にインターネット接続をお楽しみいただけます。
政府の他の迷惑な当事者によりアクセス可能な情報をコントロールし、スパイ行為を受けずにオンラインサーフィンをお楽しみください。不法行為に関与しておらず、また自分のサービス、プラットフォームのセレクションを信頼していたとしても、自分自身の安全性を常に疑い、 VPN サービスを使用して予防的措置を講じておきましょう。
マルウェアの攻撃に遭った場合に備えて、バックアップファイルを作りましょう
コンピュータを使用していると、サイバー感染や自分のうっかりミスによりいろいろなものを失くして困ることがあります。マルウェアによって生じるソフトウェアの問題や暗号化による直接的なデータの損失から端末の問題や恒久的なダメージに繋がる恐れがあります。そんな時に適切な 最新のバックアップ があれば、そのような場面に遭遇しても簡単に元通りに回復して仕事に戻れます。
端末に何か変更を加えたらバックアップを取っておけば、マルウェアが何かを変更したり端末の問題が原因でデータの破壊やパフォーマンスの低下が発生した時点に戻すことができるため、バックアップの作成は不可欠です。元に戻せる機能を利用して、日常の、あるいは毎週ごとの習慣としてバックアップを取るようにしましょう。
なにか重要なドキュメントやプロジェクトの前のバージョンを取ってあれば、ストレスや障害も防げます。マルウェアが突如として現れた場合に大変便利です。システム復元には Data Recovery Pro をぜひご利用ください。