Resurrection ウイルス を削除するには

Resurrection ランサムウェアウイルスはハリーポッターをテーマにした感染です。.html ファイルで見られるランサムメモが優先ブラウザ上で起動し、それとは別にオーディオトラックが再生されます。世界的なフランチャイズに似た音楽を伴うランサムメモは“Hi,this is not your lucky because this is not a joke, all your files has been encrypted with Resurrection ransomware (どうも。これは縁起のいいものではありません。冗談ではなく、あなたのファイルは全てResurrectionランサムウェアによって暗号化されました。)という文章で始まります。

このメッセージは、ファイルを復元するためには犠牲ユーザーは1.77 BTCを支払う以外に選択肢がないことを詳述しています。この金額はランサムメモには3918 (米ドル)と間違ってほのめかされていますが、実際は4577.17 (米ドル)です。この高額な金額が指定されたビットコインウォレットに達した後、犠牲ユーザーは「[email protected]」へ問い合わせをするよう指示されています。

このクリプトウイルスは、人気のHidden Tear Projectに基づいています。これらの亜種の大部分と同じく、ランサムウェアはAESアルゴリズムを利用して暗号化し、デジタルファイルを完全に使えなくします。暗号化サイファーの影響を受けるデジタルデータには「.resurrection」という拡張子が加えられます。セキュリティ研究者は必要であればこの感染を解読可能と評価しているので、要求された身代金を支払う必要はありません。

このランサムウェア感染に属するペイロードは2つ検出されています。WindowsFormsApp1.exe ファイルまたはshiva.exe ファイルを見つけた場合、クリプトウイルスが現在ファイル暗号化のための経路を作成している可能性があります。1つめのバージョンの方は検出がはるかに難しい一方、2つめのバージョンはほとんどのセキュリティツールによって検出されました。

この行動過程は、以前に記述した亜種とおそらく似たようなものです。侵入のために詐欺的な手段を見つける、その後ペイロードがWindowsのレジストリキーを変更する、また別のファイルを抽出する、C&Cサーバーに接触する、暗号化するファイルを探すためハードドライブをスキャンする、ファイルの暗号化を開始する、そしてランサムメモを残します。README.html ファイルがCドライブのユーザーフォルダ内に残されます。この変種によって脅かされることになってしまったら、まずは冷静さを保つことをお勧めします。そのような高額の(少額であっても)ランサムを支払うことは決して賢明な決断とは言えません。

ランサムウェアの予防

復号するために可能な手段について考えることに何時間も費やす必要はありません。もしもこの亜種に感染してしまった場合には、Bleeping Computerの研究者に連絡することを推奨します。彼らなら暗号化されたデジタルデータの復元を手助けしてくれるでしょう。この亜種の取り扱いは非常に簡単であることが判明しているので、お金を無駄にする必要はありません。

ただしランサムウェアウイルスの犠牲ユーザー全員が即座の補助やアシストを受ける機会を得ているわけではありません。中には復号処理に時間がかかるものもあります。したがってセキュリティ研究者だけに頼り過ぎるのもよくありません。自分自身でも責任を持ち、ファイルが暗号化されない方法を事前に見つけておく必要があります。難しくはありません。バックアップストレージやUSDフラッシュドライブのように、複数のロケーションにファイルを保存すればいいのです。どちらのロケーションでも、アルゴリズムサイファーからファイルが保護されます。

さらに復号可能でないランサムウェアウイルスは他の方法で対処できる可能性もあります。例えば、ユーザーはシャドー・ボリューム・コピーが破損されていないか、回復可能な状態であるかを確認することができます。紛失したデータを取り戻すのに役立つ万能なファイル復元ツールも試してみる価値があるかもしれません。

ファイルを保護したら、全般的にマルウェアから身を守るためにいくつかの点に注意してください。見知らぬプログラムはインストールしないようにしましょう。また知らないソースから提供されているものは必ず拒否するようにしましょう。これには聞き覚えのない差出人からのEメールも含まれます。メールに添付ファイルやURLが含まれている場合、特にメールを送信した人の正体が不明な場合にはメッセージに反応すべきではありません。

マルウェアの削除には、完全なセキュリティスキャンを実行するのが望ましいです。クリプトウイルスは取り除くのが困難な場合があるので、より確実なオプションを選択するのをお勧めします。手動の操作による駆除はオペレーティングシステムに良くない影響を与える可能性もありますが、実行することは可能です。質問があれば下のコメント欄よりお問い合わせください。

システム復元を使ってResurrection ウイルス を取り除く方法は?

1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する

Windows 7 / Vista/ XPの場合

• [スタート] → [シャットダウン] → [再起動] → [OK]
• [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
• [セーフモードとコマンドプロンプト]を選択します。

Windows 8 / 10の場合

• Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。
• [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
• 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。

システムのファイルや設定を復元する

• [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
• それからrstrui.exe を入力して再度[Enter]を押します。
• 現れた画面上で[次へ]をクリックします。
• Resurrection ウイルス がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。
• [はい]をクリックしてシステムの復元を開始します。

2. Resurrection ウイルスを完全に削除する

システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、Resurrection ウイルスに関連する全ての不正ファイルを取り除くことが推奨されます。

3. ボリューム・シャドー・コピーを使ってResurrection ウイルス に感染したファイルを復元する

お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、Resurrection ウイルスはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。

ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。

a) ネイティブWindows 以前のバージョン

暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。

b) シャドーエクスプローラ

オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。

注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。