Zepto ランサムウェアは、2016年6月27日にリリースされたLocky ランサムウェア の新型です。前型と同じく非相称の(RSA-2048 および AES-128) 暗号アルゴリズムを使っています。ですがこの新型にはいくつかの特性があります。
Zepto ランサムウェアとは
Zepto ランサムウェアはJS (Javaスクリプト)で書かれています。システムに入り込むと、 Windows は「wsscript.exe」モジュールを起動してスクリプトを実行します。ここでコード検証が行われたりセキュリティスキャナが実行されることはありません。「.js」実行ファイルがC&C (コマンド&コントロール)サービスにつながり、ランサムウェアのプレイコードをダウンロードします。そしてダウンロードが完了すると、コード化ウイルスがコンピュータのシステムをスキャンし、データをロックします。以下のような拡張子をもつファイルがターゲットとなります:
.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd,.wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.
Zepto クリプトマルウェアは暗号化されたファイルを長々としたファイル名に書き換えます。(例 – 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto) 被害ID は、ファイル名の最初の16文字、この例でいうと「024BCD3341D1ACD3」になります。この暗号化ウイルスはファイルの種類をも変更し、ZEPTO ファイルになります。しかもこのエンコーダーは、ファイルを上書きして元のオリジナルバージョンを削除するのです。ランサム(身代金)に関する注意書きを含んだファイル「_HELP_instructions.bmp」がデスクトップに現れます。また、「_HELP_instructions.html」ファイルがデスクトップ上の暗号化されたファイルの全フォルダにドロップされます:
!!! 重要 !!!
全てのファイルはRSA-2048 および AES-128 の暗号によって暗号化された。
RSA および AES の詳細は以下を参照:
[links to wikipedia]
ファイルの復号は、我々の秘密サーバーに保管されている秘密鍵と復号プログラムによってのみ可能である。
秘密鍵を手に入れたければ、以下のいずれかのリンクに従うこと
[Tor Web links given]
アドレスがどれも無効な場合は以下のステップに従うことf:
[Tor ブラウザのダウンロード・インストール方法]
!!! 個人ID: A2E4B02F73265D55 !!!
注意書には記してありませんが、ランサムの額はLocky’s ランサムウェアと同じく – 0.5 BTC (Bitcoins)、現在の時点では319.86 USD に相当します。大金というわけではなくとも、惜しい金額ではあります。
Zepto ランサムウェアの流通方法とは?
Zepto ウイルスはトロイの木馬型ウイルスです。「.doc」または「.pdf」ファイルのようにも見える感染した「.js」ファイルで、メールに添付されてユーザーへと送信されます。これらの メールは、ターゲットとなったユーザーのメールアカウントのスパムメール(迷惑メール)フォルダに届きます。PayPal、FedEx、税関なのど地元機関など、合法な企業によって発行された重要文書のように見せかけているので要注意です。添付ファイルを開いてしまうと、この悪魔を解き放つことになってしまいます。
Zepto ランサムウェアによって暗号化されたファイルを復号する方法は?
Zepto ランサムウェアウイルスは、 Locky ランサムウェアと同じく未だに復号が不可能です。おそらくLocky に対応するデクリプターが開発されれば、Zepto にも適合すると思われます。しかし今のところデータを取り戻す唯一の方法は、Kaspersky Lab、R-Studio、PhotoRecなどによるソフトウェアなどの、データ復元ツールを適用してみることです。この暗号化ウイルスはLockyと同様、シャドー・ボリューム・コピーを消去するようです。なのでシャドー・ボリューム・コピーは役に立たないと思われます。もし外部記憶装置またはサービスなどにファイルのコピーを保管しているなら問題はありません。そうでないなら専門ツールを使ったデータ復元という方法が残っています。これからはCloud (クラウド)サービスのようなハードドライブを活用することが賢明です。ファイルの復元だけに気をとられているべきではありません。もっと重要なことに、ランサムウェアを駆除する必要があります。Reimage、Spyhunter、Hitman のような自動マルウェア駆除ツールを使いましょう。コンピュータシステムをスキャンし、ウイルスやその残留物を残らず除去します。Zepto ウイルスを手動の操作で駆除するための操作方法を下に提供していますので参考にしてください。
Zepto Ransomware quicklinks
Automatic Malware removal tools
(Win)
Note: Spyhunter trial provides detection of parasites and assists in their removal for free. limited trial available, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: Combo Cleaner trial provides detection of parasites and assists in their removal for free. limited trial available,
システム復元を使ってZepto ransomware を取り除く方法は?
1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する
Windows 7 / Vista/ XPの場合
- [スタート] → [シャットダウン] → [再起動] → [OK]
- [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
- [セーフモードとコマンドプロンプト]を選択します。
Windows 8 / 10の場合
- Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。
- [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
- 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。
システムのファイルや設定を復元する
- [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
- それからrstrui.exe を入力して再度[Enter]を押します。
- 現れた画面上で[次へ]をクリックします。
- Zepto virus がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。
- [はい]をクリックしてシステムの復元を開始します。
2. Zepto ransomwareを完全に削除する
システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、Zepto virusに関連する全ての不正ファイルを取り除くことが推奨されます。
3. ボリューム・シャドー・コピーを使ってZepto ransomware に感染したファイルを復元する
お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、Zepto virusはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。
ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。
a) ネイティブWindows 以前のバージョン暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。
オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。
注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。