El Polocker Ransomware を削除するには

El Polocker (または Los Pollos Hermanos) ランサムウェアはオーストラリアのユーザーを狙っています。このランサムウェアは人気高いAES 暗号アルゴリズムを使って感染者のファイルを暗号化します。CryptoFortress と同じように、El Polocker クリプトマルウェアもまた未観測のオープンネットワークシェアを暗号化します。このランサムウェアはルーマニアが起源であると推測されます。実行ファイルとPowerShell スクリプトに英語とルーマニア語が混合しているからです。「ブレイキング・バッド」という番組をテーマにしていると言われていて、Breaking Bad ランサムウェアと呼ばれることもあります。

El Polocker ランサムウェアとは

El Polocker ファイル暗号化ウイルスによって用いられている非対称AES 暗号化には2つの鍵が存在します。公開鍵と秘密鍵です。デスクトップに落とされた公開鍵は「seckeys.DONOTDELETE」と呼ばれるのですが、アクセスが制限されています。このランサムウェアウイルスは以下のようなファイル名の拡張子を狙います:

.jpg, .csv, .vsdx, ..ai, .pub, .one, .dotx, .xml, .doc, .xsl, .docx, . Xlsx, .crt, .pem, .p12, .db, .mp3, .jpg, .jpeg, .txt, .rtf, .pdf, .rar, .zip, .psd, .msi, .tif, .wma, .lnk, .gif, .ppt, .pptx, .docm, .xlsm, .pps, .ppsx, .ods, .raw, .pst, .ost

El Polocker クリプトマルウェアはこれらデータファイルに「.HA3」という拡張子を加えます。それぞれのファイルは独特のAES キーで暗号化されます。そして秘密のRSA キーはC&C (コマンド&コントロール) サーバーからダウンロードされます。

Los Pollos Hermanos ランサムウェアの開発者は、ビットコインで450 AUDを支払うよう要求しており、指定された時間内に支払わなければ、身代金の額は1000 AUDにまで跳ね上がると脅しをかけています。問い合わせ用のEメールは[email protected]です。ハッカーたちは、データを回復できる能力を示すためにファイルを1つだけ無料で復号すると提供しています。

El Polocker ランサムウェアの拡散方法とは?

Los Pollos Hermanos ウイルスはトロイの木馬型ウイルスです。迷惑メールを使用しています。ユーザーは未払いの請求を求める偽のメールを受け取ります。このメールにはDropBoxで管理されるジップされたVBSファイルへのリンクが含まれています。ファイルには「Penalty.vbs」という名前が付いています。何も知らないユーz-あがこのファイルを開くと、PowerShell スクリプトが実行可能となりデータが損なわれる仕組みです。

El Polocker ランサムウェアに暗号化されたファイルの復号法とは?

El Polocker クリプトマルウェアによって暗号化されたファイルの複合するためのセキュリティ専門家によって開発された鍵はまだ存在しません。しかし焦って身代金を支払ったりしないことを強く推奨します。マルウェアの開発者はお金だけ受け取って知らん顔をする可能性もあることを覚えておいてください。ファイルエンクリプタは、シャドー・ボリューム・コピーを消去し、システムの復元や Windows 自動セットアップ修復機能をも無効にします。よってバックアップがない場合には、R-Studio、PhotoRec、Recuvaなどのデータ復元ソフトウェアを試してみて下さい。

データや画像をバックアップしておくことは、全ユーザーにとって欠かすべきでない習慣です。現時点でコピーが使えるように以前からファイルをバックアップしておらず、データ回復ツールが感染したファイルを復元することができなかったという場合には、被害を受けていないデータやハードドライブをバックアップして、感染したハードドライブのコピーを作成して、ディクリプタ―が開発されるまで待機しましょう。バックアップや復元の作業は、El Polocker ウイルスを取り除いてから行うべきであることを忘れないでください。Reimage、Spyhunter、または Stopzilla 自動マルウェア駆除ユーティリティを使えば、コンピュータシステムの隅々までクリーンにします。aまたこのランサムウェアの手動駆除法を説明したガイドも提供していますので、下を参照してください。

システム復元を使ってEl Polocker Ransomware を取り除く方法は?

1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する

Windows 7 / Vista/ XPの場合

• [スタート] → [シャットダウン] → [再起動] → [OK]
• [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
• [セーフモードとコマンドプロンプト]を選択します。

Windows 8 / 10の場合

• Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。
• [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
• 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。

システムのファイルや設定を復元する

• [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
• それからrstrui.exe を入力して再度[Enter]を押します。
• 現れた画面上で[次へ]をクリックします。
• Polocker Ransomware がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。
• [はい]をクリックしてシステムの復元を開始します。

2. El Polocker Ransomwareを完全に削除する

システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、Polocker Ransomwareに関連する全ての不正ファイルを取り除くことが推奨されます。

3. ボリューム・シャドー・コピーを使ってEl Polocker Ransomware に感染したファイルを復元する

お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、Polocker Ransomwareはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。

ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。

a) ネイティブWindows 以前のバージョン

暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。

b) シャドーエクスプローラ

オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。

注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。