PClock ランサムウェアはリリースされている中で最新のランサムウェアというわけではありません。しかしサイバーセキュリティ研究者は、最近新しい波を見つけました。PClock クリプトマルウェアは自身を CryptoLockerを称しているにもかかわらず、他の系統に属して違うもののふりをしているランサムウェアにしかすぎません。PClock クリプトロッカーの最初の波は2015年1月に起き、それ以来ずっと活動しているようです。2016年11月、このファイル破壊ウイルスの新しい波が現れています。ここではこのPClock の改訂版について詳しく見ていこうと思います。
PClock ランサムウェアの何が新しいのか?
PClock ファイル暗号化マルウェアは「ランサム:Win32/WinPlock.B or WinPlock by Microsoft」として検出されています。ビジュアルベーシックで書かれており、実になんと2,630 種類のファイルを暗号化します。比較してみると全バージョンは100種類強のファイルを暗号化することを目的としていました。ロックされるファイルには、様々な文書、写真、動画ファイルなどが挙げられます。簡単に言ってしまえば、PCに保管されているデータの全てが感染を受ける可能性がります。ターゲットとなるファイル種類には以下のようなものがあります:
*.3fr, *.accdb, *.ai, *.arw, *.bay, *.cdr, *.cer, *.cr2, *.crt, *.crw, *.h, *.dbf, *.dcr, *.der, *.dng, *.doc, *.docm, *.docx, *.dwg, *.dxf, *.dxg, *.eps, *.erf, *.indd, *.jpe, *.jpg, *.kdc, *.mdb, *.mdf, *.mef, *.mrw, *.nef, *.nrw, *.odb, *.odm, *.odp, *.ods, *.odt, *.orf, *.p12, *.p7b, *.p7c, *.pdd, *.pef, *.pem, *.pfx, *.ppt, *.pptm, *.pptx, *.psd, *.pst, *.ptx, *.r3d, *.raf, *.raw, *.rtf, *.rw2, *.rwl, *.srf, *.srw, *.wb2, *.wpd, *.wps, *.xlk, *.xls, *.xlsb, *.xlsm, *.xlsx
暗号化されたファイルは全て、プロフィールフォルダに位置する enc_files.txt ファイル内に記録されます。
PClock クリプトローグウェアのスクリーンショットは以下を参照してください:
このランサムウェアの最初のバージョンは、ハッカーに問い合わせてランサム(身代金)の支払いを行うまで72時間または3日の猶予を与えていましたが、今回のPClock は感染ユーザーに120時間、または5日の期間を与えています。ランサムの金額は前回の半分で、サイバー詐欺師たちは0.55 BTC (ビットコイン)、現在の時点でおよそ412.29 USDを要求しています。ランサムメモには [email protected] and [email protected] という問い合わせ用のEメールが示されています。
前バージョンのPClock ランサムウェア・マルウェアは以下のようにメモを表示していました:
PClock ランサムウェアを拡散させている2通りの経路
PClock ファイル暗号化ウイルスはトロイの木馬型ウイルスで、偽のスパムメールを介しているか、またはマルウェア脅威のキャリアーとして機能する別のトロイの木馬であるCrimace trojanを介して広がります。 感染したスパムメールの件名は、たいていPLEASE READ YOUR FAX T6931となっています。
既に述べた通り、PClock クリプト型トロイの木馬はまたCrimace trojanによっても分布されています。これはdetected as TrojanDownloader:JS/Crimace.Aとして検出されています。 A RAR archive, which contains a WSF (Windows スクリプトファイル) ファイルを含むA RAR アーカイブは、特定されていない他の無料ソフトウェアと一緒にダウンロードされます。アーカイブが開かれ、WSF ファイルが実行されると、JavaScript が起動し始めます。このコードがCrimace trojanをダウンロード・インストールし、その結果、離れた秘密のオンラインサーバーから、被害者ユーザーのコンピュータにPClock マルウェアがダウンロード・インストールされるのです。
PClock ランサムウェアに感染したら
この最新バージョンのPClock ランサムウェアウイルスに使える復号鍵はまだリリースされていません。しかし感染したユーザーは、データを復元する前に暗号化されたデータ倉庫ををコピーしウイルスを取り除く処置を取るべきです。Reimage、Spyhunter、または Malwarebytesのようなセキュリティアプリを利用することが推奨されます。 手動駆除のためのガイドも作成していますが、手動の操作は時間もかかり、ある程度の労力と知識が必要です。またコンピュータシステム中くまなく確認できるわけではないので、マルウェアがこっそりと留まっている可能性もあります。
この新バージョンのPClock ランサムウェアの場合、復号鍵を探し回ることに時間やお金をかけるべきではありません。サーバーセキュリティ研究者によって開発されたらすぐに記事を更新してお知らせします。今のところはバックアップを利用したり、Recuva、PhotoRec、R-Studio、Kaspersky などのような復元ソフトウェアを購入してしばらくお待ちください。シャドーコピーは、このランサムウェアによって削除または無効化されるので使えませんのでご注意ください。
Pclock Ransomware quicklinks
- Automatic Malware removal tools
- システム復元を使ってPClock Ransomware を取り除く方法は?
- 2. PClock Ransomwareを完全に削除する
- 3. ボリューム・シャドー・コピーを使ってPClock Ransomware に感染したファイルを復元する
Automatic Malware removal tools
(Win)
Note: Spyhunter trial provides detection of parasites and assists in their removal for free. limited trial available, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: Combo Cleaner trial provides detection of parasites and assists in their removal for free. limited trial available,
システム復元を使ってPClock Ransomware を取り除く方法は?
1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する
Windows 7 / Vista/ XPの場合
- [スタート] → [シャットダウン] → [再起動] → [OK]
- [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
- [セーフモードとコマンドプロンプト]を選択します。
Windows 8 / 10の場合
- Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。
- [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
- 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。
システムのファイルや設定を復元する
- [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
- それからrstrui.exe を入力して再度[Enter]を押します。
- 現れた画面上で[次へ]をクリックします。
- PClock Ransomware がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。
- [はい]をクリックしてシステムの復元を開始します。
2. PClock Ransomwareを完全に削除する
システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、PClock Ransomwareに関連する全ての不正ファイルを取り除くことが推奨されます。
3. ボリューム・シャドー・コピーを使ってPClock Ransomware に感染したファイルを復元する
お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、PClock Ransomwareはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。
ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。
a) ネイティブWindows 以前のバージョン暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。
オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。
注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。