Locky ウイルスは、コンピュータユーザーの個人ファイルをロックし、ファイルを取り戻したければランサム(身代金)を支払うよう要求する危険なランサムウェアのひとつである。このランサムウェアは、暗号化されたファイルの名前を16桁の文字と数字を組み合わせたものに変更し .locky という拡張子を付け加える。プログラムによれば、ファイルのロックを解除するにはランサムを支払うことで得られる解読コードが必要だ。このプログラムはRSA-2048 (故にRSA-2048 ウイルスと呼ばれることもある) およびAES-1024 アルゴリズムを使ってファイルを暗号化する。
Locky Ransomware quicklinks
- Locky ウイルスの主な特徴
- Lockyによってロックされたファイルを復元する方法
- Locky ウイルスのアップデート
- Lockyの他のバージョン
- Locky ウイルスの予防方法
- Automatic Malware removal tools
- システム復元を使ってLocky ウイルス を取り除く方法は?
- 2. Locky ウイルスを完全に削除する
- 3. ボリューム・シャドー・コピーを使ってLocky ウイルス に感染したファイルを復元する
(Win)
Note: Spyhunter trial provides detection of parasites and assists in their removal for free. limited trial available, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: Combo Cleaner trial provides detection of parasites and assists in their removal for free. limited trial available,
この感染が分布している方法はいくつかあるだろうが、最も一般的なのは感染したEメールによるものと考えられる。まずWord のドキュメントが添付されたメールが受信箱に届く。ドキュメントを開くと、文字化けのような文字が並んでおり「データのコーディングが正しくない場合はマクロを有効化してください」という内容の助言が表示される。ハッカーたちの狙いは、ユーザーにマクロを有効化させることだ。こうして .doc ドキュメント内のコードが実行され、コンピュータを感染させるのである。ウイルスは自動的にPCに保存される。これが完了すると、保存されたファイルがダウンローダーとして機能し、感染を無事に終わらせるために必要な部分を取得する。そして最終的には、ユーザーの個人ファイルが .locky 拡張子のランサムウェアによって暗号化されてしまう。
おそらくLockyが持つ最悪の特徴は、これがランサムウェア感染のための道を開いたということだろう。ほぼ前例のない成功を収めた上に危険なものであり、GandCrab (3 バ=ジョン)、Cryptolocker や Petyaなどがある。
Locky ウイルスの主な特徴
Lockyは過去数年の間における最も深刻なコンピュータウイルスであると容易に言える。多くのハッカーたちが様々なテクニックを駆使してこのウイルスを分布し、どんどん多くのユーザーを感染させてきたのだ。例えば、我々はハッカーたちが2300万通ものEメールを送信した状況や、彼らがMHTを使ってどのようにFareit トロイの木馬とLocky ランサムウェアを配布したかを報告している。
あ手持ちのファイルがLocky ランサムウェアによってロックされた場合、デスクトップの壁紙は、解読コードを受け取るには .5 BTC(ビットコイン)を支払うようにというメッセージに置き換えられる。NakedSecurityの記述によると、ランサムの金額は最大1 BTC(ビットコイン)。これは$500に相当する。プログラムはさらに同じメッセージを含んだテキストファイルも作成する。このマルウェアは全てのファイルのボリュームシャドウコピーを削除するので、ファイルの復元がより複雑になるということに注意すべきである。
Lockyのランサムメモの原文:
Locky ransomware
All of your files are encrypted with RSA-2048 and AES-128 ciphers. More information about the RSA and AES can be found here: https://en.wikipedia.org/wiki/RSA (crypto system) https://en.wikipedia.org/wiki/Advanced_Encryption_standard Decrypting of your files is only possible with the following steps How to buy decryption? 1. You can make a payment with BitCoins, there are many methods to get them. 2. You should register BitCoin wallet (simplest online wallet OR some other methods of creating wallet) 3. Purchasing BitCoins – Although it’s not yet easy to buy bitcoins, it’s getting simpler every day.
Lockyによってロックされたファイルを復元する方法
暗号化されたファイルのバックアップを保管している場合は、それこそがこの問題に対する解決策となる。バックアップからファイルを復元すればいいだけだ。バックアップがない場合は、残念ながらLocky ウイルスにロックされたものは失ってしまうことになるかもしれない。支払いを済ませた後に、効果のあるコードを受け取る保証はどこにもない。支払ってもサイバー犯罪者にお金を手渡してしまうだけで終わる可能性もある。
見知らぬ差出人からの添付ファイルは開かないようにしよう。さもなくばLocky のようなランサムウェアに感染する恐れがある。また重要なファイルはクラウドサービスなどを利用してバックアップしておくことをお勧めする。Locky ウイルスは、Blog entry by Symantecのブログでも言及されている通り、難しく積極的な分布テクニックを駆使していることにも言及しておく価値があるだろう。
.locky 拡張子を使っているランサムウェアは、実は2つある。普通のLocky ウイルスとAutoLockyだ。後者のランサムウェアで暗号化されたファイルはEmsisoft’s AutoLocky デスクリプタを使って解読できる可能性がある。普通のLockyによって暗号化されている場合、バックアップからファイルを復元するか、ROのようなデータ復元ソフトウェアを使用して削除されたファイルの復元を試みるかが最良の選択肢となるだろう。
また優秀なウイルス対策保護を取り入れ、マルウェア対策アプリケーションもひとつインストールしておくことが奨励される。Reimage、SpyHunter、または StopZillaがお勧めだ。
Locky ウイルスのアップデート
Locky ウイルスには、より簡単な暗号スキームを使っている模倣バージョンが存在する。それによって感染したファイルはEmsisoft’s AutoLocky デスクリプタを使って解読することができる。 .locky 拡張子によって暗号化され、他の復元方法が上手くいかない場合には、このデスクリプタを試してみる価値があるだろう。
2016年10月のアップデート: Locky ウイルスは広く拡散した恐ろしい感染であったが、今では積極的に広がっている状況ではないため、犠牲者はただうっかりと感染してしまった可能性がある。新しくリリースされたランサムウェアがこの亜種に取って代わり、同等の脅威を見せている。
17th, 2016年11月17日のアップデート: Locky ランサムウェアが偽のFlash Playerのアップデートを介して分布されている。
2016年11月21日のアップデート: Locky クリプトマルウェアは現在、暗号化したファイルに .aesir 拡張子を追加している。
2016年12月5日のアップデート: Locky クリプトロッカーによって暗号化されたファイルには、現在 .osiris 拡張子が伴っている。この拡張子は有効化される必要のあるマクロを含むExcelファイルを伴ったスパムEメールの電子ファイルに関連している。ファイル名は Invoice_INV[random-numbers].xlsだ。この新しい亜種が残すランサムメモには、 DesktopOSIRIS.bmp および DesktopOSIRIS.htm2という名前が付けられている。
2017年1月20日のアップデート: しばらくの静寂の後、ウイルスが遊び場に戻ってきた。ディストリビュータであるNetcurs ボットネットはスパムキャンペーンを手ほどきすることで知られている。巨大ではないにしろ間違いなく活動的だ。ハッカーたちは、悪質な迷惑メールに添付される添付ファイルとして、.zip および .rar ファイルを選択。セキュリティ研究者はこれが大きなスパムキャンペーンの始まりとなることを懸念している。
2017年1月23日のアップデート: セキュリティ研究者がLocky ウイルスの活動に気づきはしたものの、その攻撃の件数は大幅に減少した。
2017年3月3日のアップデート: Locky ウイルスのシンバージョンが検出された。さまざまなマルウェア対策がデバイス内のマルウェアを検出する可能性を減らすためにデジタル署名が施されている。このサンプルでは .osiris拡張子が使われている。
2017年3月27日のアップデート: Lockyはあまり好調ではないようだ。その活動において2017年は少々スローなように見える。現在、より永続的で目障りなランサムウェアのサンプルが注目されている中、Lockyはかつての栄光をあきらめているようである。
2017年4月24日のアップデート: ほとんど活動を止めたかのように見えたLockyが激しい動きで戻ってきた。分布には古い戦略を採用。ハッカーたちはEメールを使ってLockyのペイロードを拡散している。件名は「Payment Receipt (お支払の領収書)」のようなものである。通常、添付ファイルとしてPDFファイルが含まれている。さらにLockyを分布するのにRecurs ボンネットが選択されている。
2017年6月26日のアップデート: Locky クリプトウイルスはかつての栄光を取り戻そうとしたが、その試みは計画通りには進まない。Locky ランサムウェアの統制者は、激しく悪質なペイロードをランダムな人々に積極的に分布することで、インターネットを暴走させることにした。しかし、製作者はWindows オペレーティングシステムの新しいバージョンは、そのようなウイルスに対してより免疫があるよう設計されていることを忘れていたのだ。その結果、感染はWindows XPまたはVistaデバイス内で見つかるファイルを暗号化するだけに限定された。
2017年9月1日のアップデート: 新しい亜種のLockyが大量のスパムキャンペーンで配信されていることが判明。8月28日には、Lukitus crypto-virus が2300万の欺瞞的なEメールで送信された。
2017年9月18日のアップデート: Locky ランサムウェアにおける新しい拡張子が発見された。「.ykcol」という。この拡張子のウイルスに感染したユーザーの中には、一部のウェブサイトで間違った情報が公開されたためにYkcol ウイルスだと思っている人もいる。しかし、これは元と同じLocky ウイルスで、ただ異なる拡張子を用いているだけである。
Lockyの他のバージョン
オリジナルのLocky ウイルスにおける成功例と比較的高い感染率は、他のサイバー犯罪者がランサムウェアウイルスを作成する後押しをした。Lockyからかけ離れた新しい名前を考えたり、一歩進んだ技術を生み出すことさえしなかった。したがって、その多くはお互いに大変よく似ている。また多くは同じ .locky 拡張子を使用するので、ロックされたファイルの復号にも同じ方法を適用することができる。
|
名前 |
独特の特徴 |
拡張子 |
|
ドイツに由来 |
.locky |
|
|
72時間後にファイルが破壊される |
.armadilo1 |
|
|
ビットコインで $500 を要求 |
.locky |
|
|
定価0.4 BTC |
.locky |
|
|
ランサムメモはスペイン語で書かれている。要求額はたった $10 |
.locky |
|
|
定価 0/25 BTC |
.asasin |
|
|
16進数を使った複雑な拡張子を生成 |
.lukitus |
|
|
軍で使われるグランデエンクリプションを搭載。48時間後にファイルが削除される。 |
.kk |
|
|
Lockyと同じクリプトグラフィーを使う |
.diablo6 |
|
|
定価 0.5 BTC |
.odin |
Locky ウイルスの予防方法
SpyHunterまたは Reimageが、Locky ファミリーの感染を効果的に排除できる優れたツールであることは既に述べた。しかしPlumbytes Anti-Malwareのような実に使える選択肢もいくつかある。リアルタイム保護機能を備えているので、その場でウイルスを食い止めることができる。ランサムウェア感染と戦うために専用エンジンを搭載したさらに優れたツールがAIObit Malware Fighterだ。ランサムウェアがコンピュータに入り込む隙を見つけたとしても、このソフトウェアがファイルの暗号化を阻止する。
Automatic Malware removal tools
(Win)
Note: Spyhunter trial provides detection of parasites and assists in their removal for free. limited trial available, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: Combo Cleaner trial provides detection of parasites and assists in their removal for free. limited trial available,
システム復元を使ってLocky ウイルス を取り除く方法は?
1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する
Windows 7 / Vista/ XPの場合
- [スタート] → [シャットダウン] → [再起動] → [OK]
- [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
- [セーフモードとコマンドプロンプト]を選択します。
Windows 8 / 10の場合
- Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。
- [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
- 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。
システムのファイルや設定を復元する
- [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
- それからrstrui.exe を入力して再度[Enter]を押します。
- 現れた画面上で[次へ]をクリックします。
- Locky ウイルス がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。
- [はい]をクリックしてシステムの復元を開始します。
2. Locky ウイルスを完全に削除する
システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、Locky ウイルスに関連する全ての不正ファイルを取り除くことが推奨されます。
3. ボリューム・シャドー・コピーを使ってLocky ウイルス に感染したファイルを復元する
お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、Locky ウイルスはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。
ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。
a) ネイティブWindows 以前のバージョン暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。
オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。
注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。