XData ランサムウェア を削除するには

XData ランサムウェアウイルスは5月18日に検出されたばかりです。XDataはファイルエンコーダとして機能するランサムウェアです。「msdcom.exe」ペイロードの分析によれと、この特定のサンプルは、多くのセキュリティツールがその潜在的存在を示しているためにHeur Trojanと共に分布されている可能性があります。この感染がデジタルファイルに与える暗号化のプロセスはAESアルゴリズムで実行されるよう指定されています。研究者は数十名のユーザーから、手持ちのファイルが「.xdata」という拡張子を含むよう変更されたという報告を受けているようです。

ランサムウェアの特徴

ランサムメモでは、被害ユーザーは「.key.~data~」という拡張子で特徴付けされているというPCのキーファイルを見つけるよう指示されます。オペレーションシステムによりますが、Cドライブのどこかにあると示されています。それぞれの被害ユーザーには唯一無二のIDナンバーが与えられます。ランサム(身代金)の額が異なることを示唆するのに十分な証拠です。要求額は暗号化された文書、写真、動画、およびその他のデジタルファイルの数に応じて設定されると考えられます。

その後、暗号化されたデータはユーザーが起動させることはできなくなり使用不可となります。テクストファイル内で正確なランサムを示すのではなく、この情報をEメールのやりとりで提供することは、ランサムウェアクリエイターにとって優位な状況となります。「HOW_CAN_I_DECRYPT_MY_FILES.txt」というテキストファイルの中にはいくつかのEメールアカウントが記されています: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]

XData 感染のペイロードは「msdcom.exe」ファイルであることが明示的に記されています。セキュリティ研究者はこれが迷惑なプロセスであることを示唆し、もしもこれがタスクマネージャの名kで実行されていたらその無駄を認識する必要があります。 以前はこの潜在的に有害なプロセスはW32/SDBOT ワームによってオペレーションシステムに組み込まれていました。現在では、このファイルは余分な実行可能ファイルを抽出し、ファイルの暗号化という主要なプロセスを開始するよう選択されています。またWindows レジストリキー内に付加エントリを作成したり、C&C サーバーに接続するなどの他のプロセスも担っています。

指定されたEメールアドレスからハッカーに問い合わせをするなどして時間を無駄にするべきではありません。詐欺師たちは単に、正確なランサムの額と払い込みすべきビットコイン専用ウォレットに関する詳細を説明するだけです。要求に従い必要な手数料を払ったとしても、ファイルを必ず取り戻せるとは限りません。

ランサムウェアの作成者は、アカウントにビットコインが溜まると姿を消す傾向にあります。つまりあなたのお金を奪って姿をくらますのです。ランサムの支払いに時間の制限はありません。ということは、データが永久的に破壊されることを恐れることなくファイルを解読するための時間がたっぷりあるということです。

ファイルを復元するには?

現時点では元のデクリプター(復号ツール)はまだ作成されていませんが、リリースされる機会はいつでもあります。ランサムを支払う代わりに他の選択肢を探しましょう。 例えばシャドー・ボリューム・コピーに手が加えられてなければ、そこからの復元が可能です。さらに暗号化されたデータを復元するよう設計されたソフトウェアを試すこともできます。どちらの選択肢についても後のセクションで詳しく説明しています。

バックアップストレージにファイルを保管するくらい注意深く行動していれば、単に感染を取り除いてストレージからデータを取得し直せばいいだけです。不正なプロセスの痕跡をきれいさっぱり取り除くには、Reimage、 Spyhunter、またはHitmanを使用してXData ランサムウェアのプロセスを検出・駆除することをお勧めします。

悪質なペイロードの伝染で考えられる手段

有害な実行可能ファイルは、あなたが受信箱に受け取るメールを介してもたらされる可能性があります。この種のスパム(迷惑)メールは、たいてい社会的地位のある機関から発信されたように見せかけますが、実際の作成者はハッカーたちです。差出人が不明な場合、添付ファイルとして含まれているファイルはダウンロードしないようにしましょう。あらゆるタイプの有害なプロセスを始める可能性が高いからです。さらにランサムウェアは感染したウェブサイトや汚染した広告の助けを借りてやってくることもあります。ピアツーピア共有もまたトロイの木馬感染の分布に大きな役割を果たしているので注意が必要です。

システム復元を使ってXData ランサムウェア を取り除く方法は?

1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する

Windows 7 / Vista/ XPの場合

• [スタート] → [シャットダウン] → [再起動] → [OK]
• [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
• [セーフモードとコマンドプロンプト]を選択します。

Windows 8 / 10の場合

• Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。
• [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
• 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。

システムのファイルや設定を復元する

• [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
• それからrstrui.exe を入力して再度[Enter]を押します。
• 現れた画面上で[次へ]をクリックします。
• XData virus がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。
• [はい]をクリックしてシステムの復元を開始します。

2. XData ランサムウェアを完全に削除する

システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、XData virusに関連する全ての不正ファイルを取り除くことが推奨されます。

3. ボリューム・シャドー・コピーを使ってXData ランサムウェア に感染したファイルを復元する

お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、XData virusはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。

ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。

a) ネイティブWindows 以前のバージョン

暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。

b) シャドーエクスプローラ

オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。

注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。