.wcry ウィルスを除去する (リムーバルインストラクション) - 2017年5月月更新
.wcryウイルス削除方法
.wcry ファイル拡張子ウィルスとは?
.wcry ファイル拡張子は危険なサイバー感染を警告している
.wcry ファイル拡張子ウィルスはファイル暗号化型のマルウェアで、WannaCry、WanaCrypt0r、Wana Decrypt0r、WanaCrypt0r 2.0 および WannaCryptor という名前でも知られています。ランサムウェアは 2017 年 2 月に発見されました。その後 AES-128 暗号化アルゴリズムを使用して攻撃対象の PC にあるファイルに感染し、その 1 つひとつに .wcry というファイル拡張子を付加しました。データの暗号化に続き、ウィルスは身代金要求メッセージを表示し、そこでサイバー犯罪者はデータの復元のために 0.1 ビットコインを支払うよう要求していました。しかし、ウィルスは 2017 年 3 月 12 日に更新され、サイバー犯罪者は大々的に世界中に向けて攻撃を仕掛けました 。マルウェアはすでに 20 万台以上の端末に感染し、およそ $50 000 を掠め取りました 。しかし、攻撃の数は、身代金の金額と同様、まだ増えると予想されています。サイバー犯罪者は $300 を支払うよう要求しました。しかし、数日後には身代金の額が $600 にまで跳ね上がりました。とは言え、このサイバー脅威に苦しんでおられる方は、決してクレジット・カードに手を伸ばしたり、誰がお金を貸してくれるだろうかなどと考えたりしてはいけません。今一番重要な仕事は .wcry ウィルスの除去です。マルウェアはファイルを暗号化できるだけでなく、他のマルウェアをインストールすることもできるのです。ですから、躊躇せず、例えば FortectIntego のような専用のマルウェア除去プログラムでシステムの完全スキャンを実行しましょう。
ランサムウェア ウィルスが一度暗号化プロシージャを開始すると、その仕事はかなり短時間に 完了してしまうため、止める方法がありません。システムのスローダウンに気がつく場合もあるでしょうが、気付かない場合もあるのです。なぜなら、一般にランサムウェアは暗号化を行っている最中に被害者の注意を引くことはなく、また疑いを抱かせることもないからです。データの暗号化が終わるとすぐに、.wcry ファイル・ウィルスは次のような内容の通知を表示します:
Your files have been securely encrypted!
Most of your files are encrypted with strong AES-128 ciphers.
To decrypt files you need to obtain the private keys, and it is the only possible way.
To obtain the keys you should pay with bitcoin.
The cost will double by the specified time.
上述のプログラム・ウィンドウにはカウントダウン・タイマーが含まれており、次に身代金の金額が上がるまでの時間を示しています。その下には、「What to do, How to do (何をすべきか、どのようにすべきか)」の表があり、そこには被害者が 0.1 ビットコイン (約 100 アメリカドル) を指定のビットコイン・ウォレットに送金するようにと書かれています。この身代金メモによると、被害者は 12 時間以内に復号ツールにアクセスする必要があるとのことです。.wcry ランサムウェアに攻撃を受けた方は、ウィルスを除去すると共に、身代金は支払わないことをお勧めします。犯罪者は送金しても応答してこない可能性があり 、また再びファイルを見ることはできない可能性もあるのです (もちろんバックアップがない場合)。ですから、.wcry ファイル拡張子ウィルスを除去し、これ以上サイバー感染にかからないように守ってください。そうしておけば、ファイルはバックアップから復元できるでしょう。現時点では、ユーザーのファイルを無料で救える唯一のソリューションはバックアップのみです。しかし、諦めるのはまだ早く、別のデータ復元オプションも試してみるべきでしょう。それらが役立って、少なくとも一部のファイルを復元できるとよいですね。
リサーチャーが示しているのは .wcry ファイル拡張子ウィルスが残した身代金メモです。このウィルスは AES-128 暗号を使用して被害者のデータを破壊します。
ランサムウェア配布の手口
.wcry トロイが発見された時、それは悪意のあるメールの添付ファイルとして拡散されていました。ですから、ユーザーは詐欺師が万全を期して用意した詐欺的なメールに注意してください。相手はしばしば自身について、表面上は Amazon や Paypal などの大企業で働く信頼のおける個人であるかのように装います。しかし、相手から送られてくる請求書や支払の確認書類にはマルウェアが含まれているのが一般的であるため、メールやそれに添付されているファイルを開く前に送信者のメールをもう一度確かめられることをお勧めします。一部のランサムウェア・ウィルスはちょっとばかり洗練されていて (例えば Spora や Cerber)、エクスプロイト・キットのような先進のツールを使用して配布されています。身を守るには、PC システムに評判のよいアンチマルウェア・プログラムをインストールしましょう。良く知らないインターネットのサイトには近づかないことを強くお勧めします。クリックを釣るための記事のタイトルやキャッチーな広告に誘われてクリックしたりせず、怪し気なサイトでプログラムのインストールや更新をするように勧められた時には十分に注意しなければなりません。可能性としては、一瞬にしてマルウェアに感染することになるでしょう。
しかし、5 月の中旬から、マルウェアは新しい配布および侵入戦略を採用しました。現在、Microsoft Windows の脆弱性を利用し、EternalBlue のエクスプロイト を使ってマルウェアを拡散しています。「Shadow Brokers」という呼ばれる怪し気なハッカー・グループが National Security Agency (NSA: 国家安全保障局) からこのスパイ・ツールを盗みました。サイバー犯罪者はこの漏洩を悪用し、このツールを使って Windows OS の CVE-2017-0145 脆弱性をターゲットにしました。ユーザーはオペレーティング・システムと併せて、端末にインストールしている全てのソフトウェアを更新するよう警告を受けます。この不備は Microsoft によりすでにパッチが作成され、更新プログラムは未だに Windows XP や Windows 2003、Windows 7、および Windows Server 2008 の各システムを使用しているユーザーにも利用できます。ですから、そういった更新プログラムは直ちにインストールしてください。
.wcry ファイル拡張子ウィルスを安全に除去するには
ランサムウェアの攻撃を受けたら、身代金は支払わずに .wcry ウィルスを直ちに除去されることを強くお勧めします。こうすれば、PC がさらにマルウェアの攻撃を受けないように守ることができます。というのも、このウィルスが他にどのようなことをするかは誰にも分からないからです。ランサムウェアの最新版は端末に他のマルウェアをインストールできることが知られています。ランサムウェア・ウィルスがいかに危険なものであるかを考えると、.wcry の除去にはアンチマルウェア・プログラムのご使用をお勧めします。どのようなプログラムを使えばよいかアドバイスが欲しいという方には、FortectIntego、SpyHunter 5Combo Cleaner、また Malwarebytes の中からどれかお選びになることをお勧めします。ランサムウェアをアンインストールする方法についての詳しいガイドは、本記事末尾をご覧ください。
手動 .wcryウイルス削除方法
ランサムウェア: セーフモードにおける手動によるランサムウェアの駆除
何かをする前に、これらのガイドをどうぞ良くお読みください。何かご質問があれば、ウィルスの除去プロシージャを開始する前にお問い合わせください。
重要です! →
一般的な PC ユーザーの方には手動による駆除ガイドはやや難しく感じられるかもしれません。正しく実行するためには IT に関する詳しい知識が求められ (重要なシステムファイルが削除され、あるいは破損した場合、Windows 全体の感染に繋がる恐れがあります)、さらに完了までに何時間もかかる場合があります。そこで、上述の自動的なメソッドの使用を強くお勧めします。
ステップ 1。「セーフモードとネットワーク」に移動する
手動によるマルウェアの駆除はセーフモード環境で行うのが最適です。
Windows 7 / Vista / XP
- スタート > シャットダウン > 再起動 > OK の順にクリックします。
- PC がアクティブになったら「詳細ブートオプション」ウィンドウが表示されるまで F8 ボタンを複数回押します (機能しない場合は F2、F12、Del などを押してみてください – マザーボードのモデルにより異なります) 。
- リストでセーフモードとネットワークを選択します。
Windows 10 / Windows 8
- スタートボタンをクリックして設定を選択します。
- スクロールダウンして更新とセキュリティを選択します。
- ウィンドウの左側で回復を選択します。
- 今度はスクロールダウンしてPCの起動をカスタマイズするを見つけます。
- 今すぐ再起動をクリックします。
- トラブルシューティングを選択します。
- 詳細オプションに移動します。
- スタートアップ設定を選択します。
- 再起動を押します。
- ここで 5 を押すか、5) セーフモードとネットワークを有効にするをクリックします。
ステップ 2. 怪しいプロセスをシャットダウンする
Windows タスクマネージャーはバックグラウンドで稼働しているプロセスをすべて表示できる便利なツールです。マルウェアがプロセスを実行している場合は、それをシャットダウンしなければなりません:
- キーボードの Ctrl + Shift + Esc を押して Windows タスクマネージャーを開きます。
- 詳細をクリックします。
- バックグラウンドプロセスセクションまでスクロールダウンし、怪しいものを探します。
- 右クリックしてファイルの場所を開くを選択します。
- プロセスに戻り、右クリックしてタスクの終了を選択します。
- 有害なフォルダのコンテンツを削除します。
ステップ 3. プログラムスタートアップをチェックする
- キーボードで Ctrl + Shift + Esc を押して Windows タスクマネージャーを開きます。
- スタートアップタブに移動します。
- 怪しいプログラムの上で右クリックして無効化を選択します。
ステップ 4. ウィルスファイルを削除する
PC の中で、あちらこちらにマルウェア関連のファイルが見つかることがあります。以下はその見つけ方のヒントです:
- Windows の検索ボックスにディスククリーンアップと入力して Enter を押します。
- クリーンアップするドライブを選択します (既定により C: がメインのドライブで、有害なファイルはここにありそうです)。
- 削除するファイルリストをスクロールして以下を選択します:
Temporary Internet Files
Downloads
Recycle Bin
Temporary files - システムファイルのクリーンアップを選択します。
- 他にも以下のフォルダ内に隠れている有害なファイルを探してみてください (Windows 検索ボックスで以下のエントリを入力して Enter を押します):
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
終了したら、PC を通常モードで再起動します。
System Restore を使用して .wcry を削除
-
手順 1: Safe Mode with Command Prompt へコンピュータを再起動
Windows 7 / Vista / XP- Start → Shutdown → Restart → OK をクリック.
- コンピュータがアクティブ状態になったら、 Advanced Boot Options ウィンドウが表示されるまで、 F8 を何度か押下します。
- リストから Command Prompt を選択
Windows 10 / Windows 8- Windows ログイン画面で Power ボタンを押下します。 その後、キーボードの Shift を押し続け、 Restart をクリックします。.
- ここで、 Troubleshoot → Advanced options → Startup Settings を選択し、最後に Restart を押下します。
- コンピュータがアクティブ状態になったら、 Startup Settings ウィンドウの Enable Safe Mode with Command Prompt を選択します。
-
手順 2: システムファイルと設定の復元
- Command Prompt ウィンドウが表示されたら、 cd restore を入力し Enter をクリックします。
- ここで rstrui.exe を入力し、もう一度 Enter を押下します。.
- 新しいウィンドウが表示されたら、 Next をクリックし、.wcry が侵入する前の復元ポイントを選択します。選択後、 Next をクリックします。
- ここで Yes をクリックし、システムの復元を開始します。
おまけ: データの復元
上記のガイドは PC から .wcry を除去するために役立つはずです。暗号化されたファイルを復元するには、uirusu.jp のセキュリティ専門家が用意した詳しいガイドを使用されることをお勧めします。ランサムウェアの攻撃を受けたら、全てのファイル (または少なくともその大半) はバックアップから復元することができます。常に PC ユーザーにはバックアップの作成をアドバイスするのはこのためです。バックアップがない場合は、次のデータ復元方法をお試しください。さらに、このランサムウェア・ウィルスはまだ完全には分析が終わっていないため、現在のところこのウィルスをやっつけて無料の復号ツールを作成できるという点について、これを否定することはできません。
ファイルが .wcry によって暗号化された場合、それらを復元する方法はいくつかあります。
Data Recovery Pro を使用する
以下のガイドを読んで Data Recovery Pro をインストールし、システムに感染したファイルがないかスキャンしてください。このプログラムは復元を試みます。
- Data Recovery Pro をダウンロード;
- Data Recovery のセットップの手順に従い、プログラムを PC にインストールします。
- 起動後、PC をスキャンして .wcry ランサムウェアにより暗号化されたファイルを探します。
- それらを復元します。
ShadowExplorer を使う
ShadowExplorer は Windows Volume Shadow Copies がシステムにあるかどうかをチェックします。ウィルスがそれを削除した場合、ファイルの復元には使用できないことになります。削除しなかった場合は、それを使用して感染したファイルを復元することができます。
- Shadow Explorer をダウンロードします (http://shadowexplorer.com/)。
- Shadow Explorer セットアップ・ウィザードに従い、PC にこのアプリケーションをインストールします。
- プログラムを起動し、左上コーナーのドロップダウン・メニューを開いて、暗号化されたデータのあるディスクを選択します。どのようなフォルダがあるか、チェックしてください。
- 復元したいフォルダの上で右クリックし、“Export” を選択します。復元先の場所も選択することができます。
最後に、クリプト・ランサムウェアから身を守るよう、常に気をつけてください。.wcry やその他のランサムウェアからコンピュータを守るためには、 FortectIntego や SpyHunter 5Combo Cleaner 、 Malwarebytes などの評価が高いアンチスパイウェアを使用してください
あなたにおすすめ
政府のスパイ行為を許してはいけません
政府は利用者のデータの追跡あるいは市民へのスパイ行為に関しては多くの問題を抱えています。そこで、このことを考慮に入れて、怪しい情報収集の行いについて学びましょう。インターネット上では完全匿名にすることにより、迷惑な政府系の追跡行為を避けましょう。
オンラインにアクセスするために違うロケーションを選択し、特定のコンテンツ制限もなく、オンラインに接続して欲しいものにアクセスする時、別の場所を選択することができます。 Private Internet Access VPN を使用すると、ハッキングされるリスクがなく、簡単にインターネット接続をお楽しみいただけます。
政府の他の迷惑な当事者によりアクセス可能な情報をコントロールし、スパイ行為を受けずにオンラインサーフィンをお楽しみください。不法行為に関与しておらず、また自分のサービス、プラットフォームのセレクションを信頼していたとしても、自分自身の安全性を常に疑い、 VPN サービスを使用して予防的措置を講じておきましょう。
マルウェアの攻撃に遭った場合に備えて、バックアップファイルを作りましょう
コンピュータを使用していると、サイバー感染や自分のうっかりミスによりいろいろなものを失くして困ることがあります。マルウェアによって生じるソフトウェアの問題や暗号化による直接的なデータの損失から端末の問題や恒久的なダメージに繋がる恐れがあります。そんな時に適切な 最新のバックアップ があれば、そのような場面に遭遇しても簡単に元通りに回復して仕事に戻れます。
端末に何か変更を加えたらバックアップを取っておけば、マルウェアが何かを変更したり端末の問題が原因でデータの破壊やパフォーマンスの低下が発生した時点に戻すことができるため、バックアップの作成は不可欠です。元に戻せる機能を利用して、日常の、あるいは毎週ごとの習慣としてバックアップを取るようにしましょう。
なにか重要なドキュメントやプロジェクトの前のバージョンを取ってあれば、ストレスや障害も防げます。マルウェアが突如として現れた場合に大変便利です。システム復元には Data Recovery Pro をぜひご利用ください。