PayDay Ransomware を削除するには

PayDay (ペイデイ)ランサムウェアのソースコードは、github.comで提供されているオープンソース・ランサムウェアプロジェクトのHidden Tearに基づいています。 PayDay ランサムウェアのタイトルはOverkill ソフトウェアによって開発されたPayday: The Heistというテレビゲームの名前に関係しています。ゲームの構想は、いろいろな強盗を一緒に遂行する4人の泥棒に関与しています。そのテーマがこのランサムウェアに応用されており、実際にその概念はぴったりと適合しています。

PayDay ランラムウェアの実体

PayDay クリプトマルウェアはAES-256 アルゴリズムを使って以下のような種類のファイルを暗号化します:

.raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .sav, .spv, .grle, .mlx, .sv5, .game, .slot, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .csv, .efx, .sdf, .vcf, .xml, .ses.

感染したマシンのユーザーは、.sexy 拡張子が追加されることでファイルが暗号化されたことが知らされます。例えばFile.raw というファイルはFile.raw.sexyという名前に変更されます。暗号化された後、PayDay クリプトロッカーはポルトガル語でランサムメモを表示します:

Seus arquivos foram Sequestrados!

TODOS os seus documentos, banco de dados, downloads, fotos e outros arquivos importantes foram criptografados utilizando o algoritmo AES (mesma criptografia utilizada pelo governo do EUA) com uma senha alfa-numérica de 150 caracteres gerada a partir deste computador e enviada para um servidor secreto na Internet onde somente eu tenho acesso.

O que fazer?

Para obter essa senha e descriptografar seus arquivos, você terá que pagar uma quantia de R$950,00 em BTC (BITCOIN). Para efetuar o pagamento e obter a senha, siga este pequeno manual:

1. Crie uma carteira BTC aqui: ***blockchain.info/***
2. Compre R$950,00 BTC com dinheiro em: ***
3. Envie os BTCs comprados para o endereço: *****
4. Acompanhe a transferência em: ***blockchain.info/address/***
5. Após o pagamento ser confirmado, envie-me um email requisitando a Senha: [email protected]
6. Logo após, enviarei um arquivo compactado contento dois arquivos: um Decrypter em .exe e a Senha em um .txt

O que é Bitcoin:

Importante:

1. Ninguém pode te ajudar, a não ser eu!
2. Vocé tem apenas 120 Horas (5 dias) para efetuar o pagamento, caso o contrario eu deletarei a senha.
3. É inútil instalar/atualizar o software Anti Vírus, formatar o computador, fazer BO na delegacia, etc.
4. Seus arquivos só poderão ser descriptografados depois do pagamento.
5. Após vocé descriptografar seus arquivos, formate seu computador, instale um bom Anti Vírus e tome mais cuidado onde clica ?

日本語に訳すと次のような内容が書かれています:

ファイルがハイジャックされた!

ドキュメント、データベース、ダウンロード、写真、その他の重要なファイルは全て、このコンピュータから生み出された150のアルファベット&数字から成るパスワードを伴ったAES アルゴリズム (米政府によって使用されるものと同じ暗号)を使って暗号化され、我々のみがアクセスできるインターネット上の秘密サーバーに送信された。

取り戻すには?

パスワードを入手してファイルを復号するには、$ 950.00 BTC (ビットコイン)で$ 950.00を支払わなければならない。支払いをしてパスワードを得るには、以下の簡単な指示に従うこと:

1. BTC ポートフォリオを作成する: *** blockchain.info/***
2. R$950,00 BTC を購入する: ***
3. 購入したBTCをこのアドレスに送る: *****
4. 移動先の指示に従う: *** blockchain.info/address/***
5. 支払いが確認されたら、パスワードを求めるEメールを我々宛に送信する: [email protected]
6. 間もなくすると、我々が2つのファイル(.exe内のデクリプタ&.txt内のパスワード)を含んだ圧縮ファイルを送信する。

ビットコインとは:

重要:

1. 我々以外、誰も助けることはできない!
2. 支払いをするには120時間(5 日間)が与えられている。それを過ぎるとパスワードは削除される。
3. ウイルス対策ソフトウェアのインストール/アップデートしたり、コンピュータを初期化したり、警察に救済を求めたりしても無駄である。
4. 支払いをしてのみファイルは復号される。
5. ファイルを復号してからコンピュータを初期化し、優良なウイルス対策をインストールすること。その後はクリックする場所にもっと気を付けることだ 😉

PayDay クリプトウイルスはポルトガル語を話すユーザーに狙いを定めていることが想定できます。HTML ファイルでデスクトップに貼り付けられたランサムメモにはPayday: The Heist ゲームの画像が含まれ、以下のサイトにリダイレクトされる:

ランサムメモには!!!!!注意!!!!!)というタイトルが付けられている。 PayDay ファイルエンクリプターのハッカーたちは、1HGYr8g4Jv9EH6qgvEPFFFN9LYMkivFP7L というBTCアドレスにビットコインでR$950 (ブラジル通貨レアル) を送金するよう要求しています。R$950 という額は米ドルで284.82 USDに相当します。この事実とメモの言語から、PayDay ファイルエンクリプターがどこから来ているのか推測できるでしょう。犯罪者たちとの取引には5日間が与えられています。支払いを済ませるためには：[email protected] というEアドレスが提供されています。

PayDay ランサムウェアの分布について

PayDay はトロイの木馬型ランサムウェアです。ランサムメモの最後でほのめかされている通り、ユーザーは自分がクリックするもの、場所にもっと注意を払う必要があります。PayDay 暗号型トロイの木馬は、スパムメールをクリックして添付ファイルを開くユーザーのPCを感染させる可能性が高いです。特にそれらのメールが、さも重要なドキュメントであるかのような名前であると騙されてしまうかもしれません。したがってユーザーはEメールのスパム(迷惑)フォルダには手を付けないことが助言されます。PayDay ファイルロッカーは大量のスパムメールを発動させることによって広がるランサムウイルスのひとつです。

PayDay ランサムウェアの駆除

PayDay 暗号化マルウェアはReimage、 Spyhunter、またはr Malwarebytesでシステムにフルスキャンを実行させて取り除くことが推奨されます。このランサムウェアは他のマルウェアとは関係を持っていませんが、PayDay ランサムウェアが感染したシステムに他のマルウェアを落とす可能性は否めません。だからこそ自動駆除が推奨されます。今後、サイバーセキュリティ専門家によるデクリプターが開発されたときのために、暗号化されたファイルのコピーを取っておくことを忘れないでください。

感染したデータの復号に関しては、主に3つの方法を試すことができるでしょう。1つめはリムーバブルデバイス、クラウドストレージなどからのバックアップの利用です。2つめの選択肢はシャドー・ボリューム・サービスとして知られるローカルストレージをチェックしてみることです。失ったデータを復元するための3つめの選択肢は、Recuvaなどのような復元ソフトウェアを試用する方法です。

システム復元を使ってPayDay Ransomware を取り除く方法は?

1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する

Windows 7 / Vista/ XPの場合

• [スタート] → [シャットダウン] → [再起動] → [OK]
• [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
• [セーフモードとコマンドプロンプト]を選択します。

Windows 8 / 10の場合

• Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。
• [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
• 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。

システムのファイルや設定を復元する

• [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
• それからrstrui.exe を入力して再度[Enter]を押します。
• 現れた画面上で[次へ]をクリックします。
• PayDay Ransomware がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。
• [はい]をクリックしてシステムの復元を開始します。

2. PayDay Ransomwareを完全に削除する

システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、PayDay Ransomwareに関連する全ての不正ファイルを取り除くことが推奨されます。

3. ボリューム・シャドー・コピーを使ってPayDay Ransomware に感染したファイルを復元する

お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、PayDay Ransomwareはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。

ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。

a) ネイティブWindows 以前のバージョン

暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。

b) シャドーエクスプローラ

オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。

注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。