qkG ランサムウェアウイルスは、新しいユニークなクリプトマルウェアです。ユーザーが悪意あるWord ファイルをダウンロードして「編集を有効にする」ボタンをクリックすると有効化されます。これは一見無害な .doc ファイルにマクロを隠す戦略を指します。Macro ウイルスに馴染みがない方は、ドキュメントやファイルに含まれるコンピュータパラサイトと考えてもらえばいいかと思います。 悪意あるマクロを運ぶために、しばしばWord、PDF、スプレッドシートが使用されます。ユーザーが編集を有効にすると同時に、これらのVBA マクロが実行されます。しかし新しい研究では、マクロが無効になっていてもマルウェアは実行される可能性があることが示されています。
このqkG マルウェアは完全にマクロクリプトに基づいています。通常、マクロは分布アクティベーションプロセスにのみ適用されます。これはランサムウェアの作成者が昔から使ってきたテクニックです。しかしqkG クリプトウイルスはこの標準に従わず、qkGと呼ばれるVBAマクロ内で完全に機能します。 しかしこのランサムウェアはまだ開発途中で、定期的に新しい機能が追加されています。研究者はこのマルウェアのさまざまなサンプルを検出しています。マクロはWindowsオペレーティングシステムに対して危険であると想定されていますが、Mac OSですらその影響を受ける可能性があると説明しています。
qkG ウイルスの説明: 隠れマクロ、Word ファイル、自己複製、その他多くの詳細
qkGランサムウェアは、非常に興味深い(そして煩わしい)戦略を用いています。標準の.dot テンプレートを変更し、その中にウイルス(悪質なマクロ)を挿入するのです。したがって感染したシステムがWordプログラムを起動するたびに、変更されたテンプレートがランサムウェアのコードを実行し、その時点で開かれたファイルの暗号化を行います(QkG Filecoder: Self-Replicating, Document-Encrypting Ransomware)。驚くことに、ひとりが感染したドキュメントを他の人に送信すると、そこでドキュメントが開かれ編集が有効になっていれば受信者のコンピュータもこのランサムウェアに感染します。これはユーザー間でこのウイルスで感染させるかなり巧妙なトリックです。
qkG ファイルエンコーダーにはさらに興味深い機能があります。まず、サンプルのひとつは特定の曜日、特定の時刻にのみデータを暗号化しました。さらにこのランサムウェアが現在の段階で分布されているなら、ハッカーたちはファイルを解読することができないでしょう。qkG クリプトウイルスの最初のバージョンは不完全でした。なぜ? というのも、彼らは被害ユーザーがランサムを送信するBitcoin ウォレットのアドレスを特徴づけることさえしていません。
ファイルの暗号化に関しては、ウイルスはファイルが閉じられてからデータを暗号化するようです。ファイルの暗号化には、ランサムウェア作成者はXOR サイファーを使うことを選択しています。セキュリティ研究者は、ペイロードのひとつが“Tuyen bo chung Viet Nam – Hoa Ky – Infected.doc” (File scan)であることからランサムウェアはベトナムから発信されている可能性があると想定しています。別のサンプルは 5 Rules for Snort.doc (VirusTotal scan)を介して発信されています。
現在もしもQkG ウイルスに感染した場合、「I’m QkG@PTM17! by TNA@MHT-TT2」 (MS Office Built-In Feature Could be Exploited to Create Self-Replicating Malware)というコードを使ってファイルを復号することができるでしょう。暗号化されたデジタルデータには、特定の拡張子が追加されているとは限りませんが、ファイル名が変更されている可能性があります。
qkG ファイルエンコーダのようなクリプトウイルスに対抗するには
クリプトマルウェアを回避するいくつかの方法を説明しておきましょう。まずは、疑わしい .doc ファイルをダウンロードしないことです。見知らぬソースからそのようないファイルを受け取った際には直ちに危険なファイルと見なしてください。起動して編集を有効にすると、qkG 感染の場合と同じく、デバイス内でのランサムウェアの活動を許可することになってしまいます。
本記事で取り上げている亜種はまだ実際にユーザーを感染させてはいませんが、素早いスピードで開発がされている途中です。最終的なサンプルが被害ユーザーへ到達し、データを暗号化するにはそう長くはかからないでしょう。このような状況が発生した場合、セキュリティ研究者は被害ユーザーのデータ復旧の支援を試みます。
バックアップストレージを使うことでランサムウェアウイルスに対抗することができます。重要なデータや情報はバックアップのユーティリティにアップロードしましょう。そうすればqkG ランサムウェアにようなデータ暗号化ウイルスに関して心配する必要はありません。
マルウェアから身を守るには、マルウェア対策プログラムを備えるのがマストです。Reimage は使いやすく、効率的で迅速に働きます。定期的なスキャンを実行し、お使いのオペレーティングシステムの状態について正確な情報を確認するのに役立ちます。
このツールは、Windows、Mac、およびAndroidオペレーティングシステムで利用できます。Reimageは破損したWindows ファイルを復元、修正し、悪意あるアクティビティの原因を見つけ出します。お使いのコンピュータがウイルスによって頻繁に感染しているようなら、Reimageをお試しになることを強く推奨します。
Qkg %e3%83%a9%e3%83%b3%e3%82%b5%e3%83%a0%e3%82%a6%e3%82%a7%e3%82%a2 quicklinks
- Automatic Malware removal tools
- システム復元を使ってqkG ランサムウェア を取り除く方法は?
- 2. qkG ランサムウェアを完全に削除する
- 3. ボリューム・シャドー・コピーを使ってqkG ランサムウェア に感染したファイルを復元する
Automatic Malware removal tools
(Win)
Note: Spyhunter trial provides detection of parasites and assists in their removal for free. limited trial available, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: Combo Cleaner trial provides detection of parasites and assists in their removal for free. limited trial available,
システム復元を使ってqkG ランサムウェア を取り除く方法は?
1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する
Windows 7 / Vista/ XPの場合
- [スタート] → [シャットダウン] → [再起動] → [OK]
- [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
- [セーフモードとコマンドプロンプト]を選択します。
Windows 8 / 10の場合
- Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。
- [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
- 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。
システムのファイルや設定を復元する
- [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
- それからrstrui.exe を入力して再度[Enter]を押します。
- 現れた画面上で[次へ]をクリックします。
- qkG ランサムウェア がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。
- [はい]をクリックしてシステムの復元を開始します。
2. qkG ランサムウェアを完全に削除する
システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、qkG ランサムウェアに関連する全ての不正ファイルを取り除くことが推奨されます。
3. ボリューム・シャドー・コピーを使ってqkG ランサムウェア に感染したファイルを復元する
お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、qkG ランサムウェアはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。
ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。
a) ネイティブWindows 以前のバージョン暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。
オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。
注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。