Wallet ウィルスを除去する (リムーバルインストラクション) - 2017年4月月更新
Walletウイルス削除方法
Wallet ランサムウェア・ウィルスとは?
Wallet ランサムウェアは引き続き更新されている
Wallet ランサムウェア・ウィルスは、セキュリティの専門家が感染したファイルに付けるために使用されているこのファイル拡張子を検出した直後に生まれました。テストを実施したところ、この暗号化タイプのランサムウェア は Dharma ウィルス・ファミリーの出身であることが判明しました。この揺るぎないランサムウェアのグループは、感染した PC のファイルをロックする時に、AES や RSA などの複雑な暗号化アルゴリズムを使用することで知られています。さらに、データを取り戻したい被害者にはお金を要求します。Dharma や Wallet のコードは実質的に同一であり、専門家はこれら 2 つの名前を相互互換的に使うことも厭わない一方で、一般のユーザーはそうは感じないかもしれません。そして弊社にはその理由も分かっています。いずれのバージョンのウィルスも暗号化されたフィアルに異なる拡張子を用いているのです。このランサムウェアの被害者によると、ウィルスは .wallet または [mk.scorpion@aol.com].wallet.lock というファイル拡張子を付けています。その上、サイバー犯罪者と連絡を取るために使用されると思われる別々のメール・アドレスを提供しています。話を簡単にして時間を節約するために、この後のパラグラフでは Wallet の亜種の主な特長について見ていきましょう。また本記事末尾には、Wallet (Dharma) を除去する方法について便利なガイドをご用意しています。
Wallet ランサムウェアは Dharma ウィルスのバージョンの 1 つであるため、その身代金メモ (上図) およびプログラミング・コードはオリジナルのウィルスにたいへんよく似ています。
Wallet ウィルスがシステムに展開されると、ウィルスはその悪意のある実行プログラムを有効にして、そのプログラムがシステム・スキャンを開始します。スキャン中、ウィルスは主にユーザーの個人文書やメディア・ファイル、アーカイブなど に関連のある特定のファイル拡張子を探します。見つけると、これらのファイルは暗号化され、.wallet または [mk.scorpion@aol.com].wallet.lock という拡張子を付加されますが、ここには詐欺師のメール・アドレスも付け足されているのです。さらに、ウィルスはデスクトップの画像を身代金メモに置き換え、そこにはファイル復元に関する指示が記載されています。以下はそのメモの書き写しです:
“//hallo, our dear friend!
//looks like you have some troubles with your security.
//all your files are now encrypted.
//using third-party recovering software will corrupt your data.
//you have only one way to get them back safely – using our decryption tool.
//to get original decryption tool contact us with email. in subject like write your ID, which you can find in name of every crypted file, also attach to email 3 crypted files.
lavandos@dr.com
//it is in your interest to respond as soon as possible to ensure the restoration of your files, because we won’t keep your decryption keys at our servers more than 72 hours in interest of our security.
//P.S. only in case you don’t receive a response from the first email address within 24 hours, please use this alternative email address.
amagnus@india.com
前述のように、身代金メモに書かれているメール・アドレスは変更される可能性があります。Mmk.scorpion@aol.com、orlegionfromheaven@india.com、destroed_total@aol.com、stopper@india.com、bitcoin143@india.com、mkgoro@india.com、mkliukang@india.com、lavandos@dr.com などはこの潜在的なオプションのほんの一例です。身代金メモやメール・アドレスはすべて英語で書かれていますが、このウィルスの背後にいるハッカーたちが英語のネイティブ・スピーカーではないことは明らかです 。下手な文法上の構造やスペルのミスでボロが出ています。とは言え、彼らのターゲットはこの言語を話し、状況を理解できるユーザーなのです。データ復元に関する詳しい指示は犯罪者に直接連絡を取ってからのみ与えられるのですが、弊社の予測では、犯罪者は被害者に対して決められた金額の身代金をビットコインで支払うよう要求し、その送金は匿名性の Tor ネットワークを使用させようとします。言うまでもありませんが、犯罪者に支払うというのはリストの最後に載せるべき項目です。代わりに、専門家は Wallet の除去を遂行し、相手にお金を渡すことにより犯罪を助長しないように勧めています。
.Wallet ランサムウェアのバージョン
Joker_lucker@aol.com ランサムウェア は AES および RSA 暗号化アルゴリズムを利用する Wallet ランサムウェア・ウィルスの幾多のバージョンのうちの 1 つです。これらのアルゴリズムは word、pdf、excel および類似のファイルを暗号化して、それらにアクセスができないようにするために使われてきました。拡張子を見れば、Joker_lucker@aol.com ウィルスや他のランサムウェアのいずれによって暗号化されたのかを見分けることができます。このメール・アドレスはハッカーがターゲット・ファイルに印を付け、被害者にこれらのファイルが使用できないと警告を送るために使用されます。感染した場合は、バックアップからファイルを復元することができます。ハッカーによれば、ユーザーは特別な復号キーを購入しなければなりませんが、このキーは暗号化プロセスが終了すると直ちに C&C サーバーを経由してハッカーに送られることになっています。ハッカーは何も残してくれないのですから、どうか彼らのニーズに従って「行動することがないように」してください!
Mk.scorpion@aol.com ランサムウェア・ウィルス は PC に保存されているほとんどのファイルを暗号化します。これは以前のバージョンと全く同じように振舞い、暗号化プロセスが済むと直ちに身代金を要求してきます。一般に、このランサムウェアは感染したファイルに .[Mk.scorpion@aol.com].wallet ファイル拡張子を付けると共に README.txt ファイルを残しますが、これは被害者にファイルの復元に関する情報を知らせているものと思われます。しかし、Mk.scorpion@aol.com ランサムウェアによって指示される復元ステップは他のランサムウェアの作成者によって提供されるものと比べると、あまり詳しく書かれていません。だからと言って、サイバー犯罪者に対して支払を起こすような考えは持つべきではありません。
このウィルスはどのように広まっているの?
ウィルスのオリジナル版と同様に、Wallet はフィッシング を利用して PC に入り込みます。殆どの場合、詐欺師はスパム・キャンペーンを利用して感染したファイルを被害者候補の受信トレイに直接送ってきます。ユーザーが説得力のあるメールの添付ファイルをダウンロードしさえすれば、ウィルスが解き放たれます。今日でも、このような罠にはまる PC ユーザーもまだたくさんいるのです。ハッカーはいつでも先進のソーシャル・エンジニアリング・スキルを活用して、被害者が飛行機のチケット、送り状や請求書などと思われる文書をダウンロードしなければならないと思い込ませる手の込んだ手口を使うため、彼らを責めることはできません。この件から学べることは、いかに信頼のおけそうな組織や政府機関から受領したものであっても、全てのメールを当たり前のように受け取ってはいけないということです。メールを開く前に必ずチェクして、Wallet にファイルを暗号化されないようにしましょう。
Wallet ランサムウェアの除去方法
ランサムウェアは、その複雑さやシステムに与える影響を考えると、もっとも先進のウィルスの 1 つであると言えます。このことを念頭に置くと、Wallet を簡単に除去できたらと期待するのも楽観的すぎると言えるでしょう。もちろん、ランサムウェアの除去の難しさをかなりの程度低くしてくれるようなツールの使用も考えられます。専用のアンチマルウェア・ユーティリティでシステムをくまなくスキャンしても 10 分以上かかることはありませんし、完了すると、また PC をいつも通りに使用することができるでしょう。初めて使用した時に Wallet を除去できなくても心配はいりません。このウィルスの息の根を止めようとして反撃を喰らったという人はいません。このまま本記事の末尾に進めば、Wallet の駆除ガイドをご用意していますので、どうぞよくお読みください。
手動 Walletウイルス削除方法
ランサムウェア: セーフモードにおける手動によるランサムウェアの駆除
端末が Safe Mode の状態で実行すると、Wallet の除去がよりスムーズに運びます。以下は PC をこの特別なモードに起動する方法のガイドです。
重要です! →
一般的な PC ユーザーの方には手動による駆除ガイドはやや難しく感じられるかもしれません。正しく実行するためには IT に関する詳しい知識が求められ (重要なシステムファイルが削除され、あるいは破損した場合、Windows 全体の感染に繋がる恐れがあります)、さらに完了までに何時間もかかる場合があります。そこで、上述の自動的なメソッドの使用を強くお勧めします。
ステップ 1。「セーフモードとネットワーク」に移動する
手動によるマルウェアの駆除はセーフモード環境で行うのが最適です。
Windows 7 / Vista / XP
- スタート > シャットダウン > 再起動 > OK の順にクリックします。
- PC がアクティブになったら「詳細ブートオプション」ウィンドウが表示されるまで F8 ボタンを複数回押します (機能しない場合は F2、F12、Del などを押してみてください – マザーボードのモデルにより異なります) 。
- リストでセーフモードとネットワークを選択します。
Windows 10 / Windows 8
- スタートボタンをクリックして設定を選択します。
- スクロールダウンして更新とセキュリティを選択します。
- ウィンドウの左側で回復を選択します。
- 今度はスクロールダウンしてPCの起動をカスタマイズするを見つけます。
- 今すぐ再起動をクリックします。
- トラブルシューティングを選択します。
- 詳細オプションに移動します。
- スタートアップ設定を選択します。
- 再起動を押します。
- ここで 5 を押すか、5) セーフモードとネットワークを有効にするをクリックします。
ステップ 2. 怪しいプロセスをシャットダウンする
Windows タスクマネージャーはバックグラウンドで稼働しているプロセスをすべて表示できる便利なツールです。マルウェアがプロセスを実行している場合は、それをシャットダウンしなければなりません:
- キーボードの Ctrl + Shift + Esc を押して Windows タスクマネージャーを開きます。
- 詳細をクリックします。
- バックグラウンドプロセスセクションまでスクロールダウンし、怪しいものを探します。
- 右クリックしてファイルの場所を開くを選択します。
- プロセスに戻り、右クリックしてタスクの終了を選択します。
- 有害なフォルダのコンテンツを削除します。
ステップ 3. プログラムスタートアップをチェックする
- キーボードで Ctrl + Shift + Esc を押して Windows タスクマネージャーを開きます。
- スタートアップタブに移動します。
- 怪しいプログラムの上で右クリックして無効化を選択します。
ステップ 4. ウィルスファイルを削除する
PC の中で、あちらこちらにマルウェア関連のファイルが見つかることがあります。以下はその見つけ方のヒントです:
- Windows の検索ボックスにディスククリーンアップと入力して Enter を押します。
- クリーンアップするドライブを選択します (既定により C: がメインのドライブで、有害なファイルはここにありそうです)。
- 削除するファイルリストをスクロールして以下を選択します:
Temporary Internet Files
Downloads
Recycle Bin
Temporary files - システムファイルのクリーンアップを選択します。
- 他にも以下のフォルダ内に隠れている有害なファイルを探してみてください (Windows 検索ボックスで以下のエントリを入力して Enter を押します):
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
終了したら、PC を通常モードで再起動します。
System Restore を使用して Wallet を削除
ランサムウェアを必ずスムースに除去するためには多少の追加的作業が必要になってきますが、ウィルスの駆除は下記記載のステップに則って行ってください。その後で端末を自動的にスキャンすることをお忘れなく!
-
手順 1: Safe Mode with Command Prompt へコンピュータを再起動
Windows 7 / Vista / XP- Start → Shutdown → Restart → OK をクリック.
- コンピュータがアクティブ状態になったら、 Advanced Boot Options ウィンドウが表示されるまで、 F8 を何度か押下します。
- リストから Command Prompt を選択
Windows 10 / Windows 8- Windows ログイン画面で Power ボタンを押下します。 その後、キーボードの Shift を押し続け、 Restart をクリックします。.
- ここで、 Troubleshoot → Advanced options → Startup Settings を選択し、最後に Restart を押下します。
- コンピュータがアクティブ状態になったら、 Startup Settings ウィンドウの Enable Safe Mode with Command Prompt を選択します。
-
手順 2: システムファイルと設定の復元
- Command Prompt ウィンドウが表示されたら、 cd restore を入力し Enter をクリックします。
- ここで rstrui.exe を入力し、もう一度 Enter を押下します。.
- 新しいウィンドウが表示されたら、 Next をクリックし、Wallet が侵入する前の復元ポイントを選択します。選択後、 Next をクリックします。
- ここで Yes をクリックし、システムの復元を開始します。
おまけ: データの復元
上記のガイドは PC から Wallet を除去するために役立つはずです。暗号化されたファイルを復元するには、uirusu.jp のセキュリティ専門家が用意した詳しいガイドを使用されることをお勧めします。ファイルが Wallet によって暗号化された場合、それらを復元する方法はいくつかあります。
Wallet で暗号化されたファイルは Data Recovery Pro で簡単に復元できます
PC から Wallet を取り除いた後で、データの復号も忘れずに行ってください!Data Recovery Pro で自動復元をお試しください。
- Data Recovery Pro をダウンロード;
- Data Recovery のセットップの手順に従い、プログラムを PC にインストールします。
- 起動後、PC をスキャンして Wallet ランサムウェアにより暗号化されたファイルを探します。
- それらを復元します。
データを復元する際に、いつ Windows Previous Versions 機能 が役に立つの?
Windows Previous Versions 機能は暗号化されたデータの復元に便利かつ効果的です。とは言え、この機能はウィルスが PC を攻撃する前に System Resotre 機能を有効にしてあった場合にのみご利用いただけます。
- 復元の必要な暗号化されたファイルを見つけたら、その上で右クリックします。
- “Properties” を選択し、“Previous versions” タブに移動します。
- ここで、“Folder versions” 内のファイルのうち利用可能なコピーをそれぞれチェックします。復元したいバージョンを選択して、“Restore” をクリックします。
ShadowExplorers は Wallet により暗号化されたファイルの復元に便利な選択肢です。
ShadowExplorer は暗号化されたファイルの Volume Shadow Copies を使用してそれらを復元します。この復元メソッドは Volume Shadow Copies が破損しておらず、またウィルスによって削除されていない場合にのみご利用いただけます。
- Shadow Explorer をダウンロードします (http://shadowexplorer.com/)。
- Shadow Explorer セットアップ・ウィザードに従い、PC にこのアプリケーションをインストールします。
- プログラムを起動し、左上コーナーのドロップダウン・メニューを開いて、暗号化されたデータのあるディスクを選択します。どのようなフォルダがあるか、チェックしてください。
- 復元したいフォルダの上で右クリックし、“Export” を選択します。復元先の場所も選択することができます。
Dharma デクリプタ で Wallet ランサムウェアによって暗号化されたファイルを復号する
Dharma の復号キーは数ヶ月前に明らかになりました。幸いなことに、カスペルスキーのセキュリティの専門家がこれらのキーを使用した Rakhni デクリプタの更新に成功しましたので、これを暗号化された Wallet のファイルの復号にもご使用いただけます。こちら からダウンロードできます。
最後に、クリプト・ランサムウェアから身を守るよう、常に気をつけてください。Wallet やその他のランサムウェアからコンピュータを守るためには、 FortectIntego や SpyHunter 5Combo Cleaner 、 Malwarebytes などの評価が高いアンチスパイウェアを使用してください
あなたにおすすめ
政府のスパイ行為を許してはいけません
政府は利用者のデータの追跡あるいは市民へのスパイ行為に関しては多くの問題を抱えています。そこで、このことを考慮に入れて、怪しい情報収集の行いについて学びましょう。インターネット上では完全匿名にすることにより、迷惑な政府系の追跡行為を避けましょう。
オンラインにアクセスするために違うロケーションを選択し、特定のコンテンツ制限もなく、オンラインに接続して欲しいものにアクセスする時、別の場所を選択することができます。 Private Internet Access VPN を使用すると、ハッキングされるリスクがなく、簡単にインターネット接続をお楽しみいただけます。
政府の他の迷惑な当事者によりアクセス可能な情報をコントロールし、スパイ行為を受けずにオンラインサーフィンをお楽しみください。不法行為に関与しておらず、また自分のサービス、プラットフォームのセレクションを信頼していたとしても、自分自身の安全性を常に疑い、 VPN サービスを使用して予防的措置を講じておきましょう。
マルウェアの攻撃に遭った場合に備えて、バックアップファイルを作りましょう
コンピュータを使用していると、サイバー感染や自分のうっかりミスによりいろいろなものを失くして困ることがあります。マルウェアによって生じるソフトウェアの問題や暗号化による直接的なデータの損失から端末の問題や恒久的なダメージに繋がる恐れがあります。そんな時に適切な 最新のバックアップ があれば、そのような場面に遭遇しても簡単に元通りに回復して仕事に戻れます。
端末に何か変更を加えたらバックアップを取っておけば、マルウェアが何かを変更したり端末の問題が原因でデータの破壊やパフォーマンスの低下が発生した時点に戻すことができるため、バックアップの作成は不可欠です。元に戻せる機能を利用して、日常の、あるいは毎週ごとの習慣としてバックアップを取るようにしましょう。
なにか重要なドキュメントやプロジェクトの前のバージョンを取ってあれば、ストレスや障害も防げます。マルウェアが突如として現れた場合に大変便利です。システム復元には Data Recovery Pro をぜひご利用ください。