ITセキュリティーの業界では最近たくさんの危険な暗号型ランソムウェアが出回っています。4月上旬から出回っていて、アタックベクターはわずか2週間で世界中の数前人のパソコンに広まっています。デルフィーコード等行動形跡の分析は間に合っていませんが、今まで示唆された結果として、独自のウィルスである可能性が高いです。最初はもしかしてTeslaCryptやCryptowall等と連携している恐れがあったが、はっきりとはしていません。バイナリストリングの分析結果により、新しいウィルスはCryptXXX又はCryptProjectXXXとして知られています。
このサンプルの特徴として、解凍のできない暗号をデータにかけ、そしてファイル延長名を“.crypt”にし、三つの方式により説明文書を書きだします(de_crypt_readme.txt, de_crypt_readme.bmp, とde_crypt_readme.htmlの3ファイルです)。
.cryp1 (.crypt/.crypz)のランソムウェアの面白いポイントは、従来のメールを通じてのアタックベクターではないことである。殆どの感染例はストリームビデオによりかかっています。おそらくストリームビデオに表示されるCMのせいでしょう。見ているユーザはやはりこれらのCMをクリックしてしまい、どかそうとします。この妙な行動で悪意ソフトキットの含まるページへ飛ばされる理由となるそうです。これらのキットが裏ルートでダウンロードを勝手に行い、マルウェアを今までとない方法で広めています。
もう一つの奇妙な点は起動先のパスです。殆どのランソムウェアはAppData, LocalAppData 又は Tempフォルダーから起動されます。.cryp1のマルウェアだけはProgramDataから起動されていて、.datファイルでユーザのIDと一致し、de_crypt_readmeの解凍方法の説明書と一致します。CryptXXXはさらにTempダイレクトリーにDLLファイルを作成し、およそ30分後に起動します。
起動後ウィルスはハードディスク、リムーバブルドライブやネットワークシェア上のファイルをターゲットにします。インスタントメッセンジャーやメールに関する情報も収集します。警告文書にはRSA-4096の使用を脅しますがキーの長さからそれほどの暗号ではないことが分かります。
本当のことに限定すると、感染ユーザは1.2ビットコイン、やく500USD を感染から96時間内に支払わないといけません。この時間期限を超えてしまうと倍の1000ドルに増えます。ユーザが支払いますと(複数言語のTORページを通じて)、解凍ソフトがダウンロードできるらしいです。複数のユーザーレビューから、解凍に成功した例が少ない。この場合にはボリュームシャドーコピーを試みるべき又はバックアプからの復元をお勧めします。
自動ソフトで.cryptランソムウェアを削除する
この方法では効率よくたくさんのマルウェアやランソムウェアを一気に削除できます。評価の高いセキュリティーソフトを利用することにより、たくさんのウィルスを削除することが可能になり、それもクリック一つで。ウィルスを消すこととファイルを取り戻すのは2つの異なる作業なのだが、ランソムウェアを削除するのは第一段階です。
- .cryptウィルス削除ソフトをダウンロードしよう。起動してからパソコンのスキャンを始めるをクリックしてください。.cryptファイルランソムウェア削除ソフトをダウンロード
- 結果としてマルウェア検索レポートが表示されます。スレットを治すを選択し、全ての検索スレットを削除できます。全てのウィルスが消されます。
暗号化されたファイルの取り戻し
.cryp1 (.crypt, .crypz, .cryptz, .crypt1)ランソムウェアは強度な暗号をかけファイルを取り戻し不可能にしますので魔法のようにファイルを取り戻す方法はありませんなので、支払うしかないと思ってしまい合致ですが、下記の方法を試みることによって、この最悪段階を逃れることに至るでしょう。
自動ファイル復元ソフト
面白い点の一つとして、このマルウェアソフトは暗号化されていないファイルをそのまま消します。コピーされたファイルが暗号化されるのでData Recovery Proのようなツールでは削除されたファイルを無事に取り戻せる可能性が高いです。
シャドーボリュームコピー
この方法はウィンドウズの各レストアポイントのファイルバックアップに頼ります。この方法はシステムレストアを使っているパソコンのみに、そしてレストアポイントの時点でのファイルのみに有効です。
- 元のバージョン機能
ファイルを右クリックし、プロパティをクリックします。元のバージョンのタブを選択し、最新の自動バックアップを確認します。元の場所に戻すこともできますし、新しファイル先まで移すこともできます。
![Previous Versions]( "Previous Versions")
- シャドーエキスプローラアプレット
自動ツールのシャドーエキスプローラのようなソフトでは元のバージョンのファイルを管理することができます。個のソフトは無料なので、使うのにダウンロードとインストールをしてください、パソコンのプロフィールを構築してから、復元ができます。右側からドライブを選択し、ファイルを右クリックすると復元の用意ができて、輸出するとファイルが指定の場所に復元されます。
![Shadow Explorer]( "Shadow Explorer")
バックアップ
上記のオプションと違って、パソコンの状況によらず使える方法です。ご自分のバックアプを取っていれば、ランソムウェアを削除してから再びご自分のファイ鵜を導入することができます。バックアップは必ず別のさーあーで撮りましょう。
.cryptランソムウェアの残り具合を確認する
もし手動の復元方法を行ったならば、ランソムウェアが多少残っている場合(レジストリーやOS内に)がありませので、再びっかからないように、マルウェアを取り除くソフトウェアでパソコンを一度スキャンしましょう。