Lockyという最近の強力なマルウェアを提供している悪組織は新たなキャンペーンを始め、新たな手口を利用し始めたみたいです。次世代ランソムウェアはBartと呼ばれ、Lockyとともに出まわっています。Bartは大事なファイルをZip圧縮ファイルにし、パスワードを掛けます。新しくなったマルウェアは圧縮されたファイルの.Zeptoのファイル延長方式をつけています。
スパムなどを通じて、Lockyの変化型ランソムウェアはJavaScriptを通じてWindowsのパソコンンを感染しています。数か月前のキャンペーンが尽きてから、新たなボットネットを利用しているようです。ワークフローには殆ど変わりはありません。ユーザは面白そうなメールを頂き、添付ファイルを開きます。ユーザにばれないで、添付ファイルはパソコンを感染し、第三次に至る。大惨事に至る。
ランソムウェアはパソコンのドライブや接続ドライブ、ネットワークドライブを検索し、個人ファイルを調べます。リストが出来上がり次第、ランソムウェアはAES-128の暗号を全ファイルに適用し、その上にRSA-2048暗号化し、シークレットキーを暗号化する。
複雑な暗号化の工程を経て、マルウェアは読めないファイル名を構築し、.zeptoの延長方式をあてはめます。結果として、各ファイルはD7F6EEBA-D9FC508E-0B2C-82EED365C05D.zeptoのようなファイル名になり、さらにデスクトップ画像に_HELP_instructions.bmpを導入し、各暗号化されたフォルダー内に_HELP_instructions.htmlを導入します。これらの画像とファイルは個人IDの含まれた回復説明です。ともに複数のTORリンクと次の警告が記載されています“あなたのファイル全てはRSA-2048又はAES-128暗号によって暗号化されています”。“暗号を解くのに、プライベートキーと解凍用プログラムが必要です。我々のサーバーにあります”。
_HELP_instructions.html(又はBMP)のTORゲートウェイを追うと“Locky解凍ページ”に届きます。このページはビットコインの支払いのできる、解凍ソフトダウンロード専用ページ。悪組織が求める支払額は0.5ビットコインです、約300米ドルです。大きな組織がこの罠にはまってしまうと、おそらく金額はさらに大きくなります。
Lockyランソムウェアの復帰はセキュリティー業界そしてユーザにとっては最悪な事態です。裏の組織はさらにお金をこの手段で取り上げようとして、たくさんのユーザを巻き込もうとしています。完全に暗号化されたファイルの復帰方法はないが、いくつかの復旧技術があるので、試みるべきです。
Zeptoファイルウィルス自動削除
頼りのあるセキュリティーソフトではランソムウェアを完全に削除することができます。自動クリーニングに従えば、全ての感染の部分が削除ウされます。
- 推進のセキュリティーソフトをダウンロードし、パソコン上のファイルを検索しよう。.zeptoウィルスファイル削除ツールのダウンロード
- スキャン後、検索されたファイルのリストが出ます。スレット改善をクリックするとウィルスや関連感染ソフトをシステムから削除できます。削除はこれでおしまいですが、これからは最も大きなチャレンジです:データの復旧です。
.zeptoファイルの暗号からの復旧方法
その1:ファイル復元ソフトの使用
面白い点の一つとして、このマルウェアソフトは暗号化されていないファイルをそのまま消します。コピーされたファイルが暗号化されるのでData Recovery Proのようなツールでは削除されたファイルを無事に取り戻せる可能性はあります。最近の悪意ソフトは複数回にわたって消しているため難しいが、試みるといい。
その2:バックアップ利用
パソコンの状況によらず使える方法です。ご自分のバックアプを取っていれば、ランソムウェアを削除してから再びご自分のファイルを導入することができます。
その3:シャドーボリュームコピー利用
この方法はウィンドウズの各レストアポイントのファイルバックアップに頼ります。この方法はシステムレストアを使っているパソコンのみに、そしてレストアポイントの時点でのファイルのみに有効です。二つの方法で実行できる方法であり、手動または自動方法です。最初に手動方法を見てみましょう。
- 元のバージョン機能
ファイルを右クリックし、プロパティをクリックします。元のバージョンのタブを選択し、最新の自動バックアップを確認します。元の場所に戻すこともできますし、新しファイル先まで移すこともできます。
![Previous Versions]( "Previous Versions")
- シャドーエキスプローラアプレット
自動ツールのシャドーエキスプローラのようなソフトでは元のバージョンのファイルを管理することができます。個のソフトは無料なので、使うのにダウンロードとインストールをしてください、パソコンのプロフィールを構築してから、復元ができます。右側からドライブを選択し、ファイルを右クリックすると復元の用意ができて、輸出するとファイルが指定の場所に復元されます。
![Shadow Explorer]( "Shadow Explorer")
.zepto延長ファイルウィルスの完全削除の確認
Lockyのランソムウェアの削除だけではファイルは元に戻りません。上記の方法では復旧が可能かもしれないですが、ランソムウェアはパソコン内にあるべきものではありません。よくあるケースでは複数のランソムウェアが組み込まれている場合もあるそうです。複数回にわたって自動スキャンを行い、ドライブ上、レジストリー内に残っていないかを確認することをお勧めします。