ランサムウェアの削除方法：この戦略で反撃しよう

ランサムウェアは、通常のマルウェアのようにPCに忍び込むわけではありません。突如侵入し、データに銃を突きつけ、金銭を要求するか、さもなくば金を要求します。そして、自己防衛策を学ばなければ、Petya（またはNotPetya）の蔓延が示すように、ランサムウェアは何度も繰り返される可能性があります。

Petyaと呼ばれるマルウェアに類似したランサムウェアが、ウクライナをはじめ​​とする世界中のウェブサイトを攻撃し、身代金が支払われるまでファイルを暗号化します。研究者たちは、Petrwrap、exPetr、Petna、SortaPetyaとも呼ばれるこのランサムウェアの拡散を阻止するために迅速に行動を起こしました。Petyaランサムウェアを完全に削除する方法はありませんが、研究者たちはPCを「免疫化」する方法を考案しており、マルウェア対策企業はすでにこのランサムウェアのブロックに取り組んでいます。

Petyaは、過去2ヶ月間で発生した2件目の大規模なランサムウェア攻撃です。WannaCryは、国家安全保障局（NSA）が開発したソフトウェアを悪用し、その後マルウェアに変貌したとみられています。この攻撃は、英国国民保健サービス（NHS）をはじめとする複数の銀行や組織を襲撃しました。

情報スーパーハイウェイを徘徊する武装デジタル窃盗団というと、まるで大げさなアクション映画のように聞こえるかもしれませんが、数字がそれを物語っています。Sonicwallによると、ランサムウェア攻撃は2015年の380万件から2016年には6億3800万件に増加し、 前年比167倍にまで増加 しました。しかも、マルウェア攻撃の件数は減少しているにもかかわらずです。現金を要求できるなら、なぜデータを盗む必要があるのでしょうか？

先日サンフランシスコで開催されたRSAセキュリティカンファレンスでは、史上初となるランサムウェアに関する包括的な1日セミナーが開催されました。このセミナーでは、誰が攻撃を受け、どれだけの金額を奪われているのか、そして何よりも重要な、データを人質に取っている攻撃者をブロック、削除、さらには交渉する方法を詳細に解説しました。このセミナーを通して、ランサムウェア対策戦略の策定に役立つ貴重な情報を得ることができました。

エリック・ガイヤー

Petyaへの備え

BleepingComputer.comによると、Petya / NotPetya / KindaPetyaランサムウェアは、「perfc」と呼ばれる特定のローカルファイルの存在を検出しても、実際にはPCのファイルを暗号化しません。幸いなことに、そのファイルを作成した場合 、 Petyaは実行されません。 

BleepingComputerは、perfcファイルの作成方法（基本的にはnotepad.exeのコピーを作成し、名前をperfcに変更して読み取り専用にする）を詳しく説明しており、自動で作成してくれるバッチファイルへのリンクも提供しています。幸いなことに、perfcファイルを手動で作成すれば1分ほどで完了します。ただし、バッチファイルは関連する.datファイルと.dllファイルを作成するため、PetyaがPCに感染しないという安心感が得られます。

ランサムウェアは痛いところを突くので、備えておきましょう

3年前、妻のパソコンがランサムウェアに侵入され、赤ちゃんの写真、税務書類、その他の個人情報が危険にさらされました。私は心が沈みました。デジタルライフのすべてを失わずに済むために、何百ドルも支払わなければならないのでしょうか？ありがたいことに、そうではありませんでした。専門家が推奨する対策のほとんどをすでに講じていたからです。

最初のステップは、敵を理解することです。Intel SecurityのEMEA事業の最高技術責任者であるRaj Samani氏によると、400種類以上のランサムウェアファミリーが蔓延しており、Mac OSやLinux向けのものも存在します。Dattoの調査によると、時間制限付きの暗号化によって個人文書を探し出し、閉じ込めるCryptoLockerが圧倒的に多く蔓延しています。しかし、ランサムウェアの種類は様々です。SentinelOneのセキュリティ戦略責任者であるJeremiah Grossman氏によると、あるランサムウェアは被害者のウェブカメラを乗っ取り、恥ずかしい映像を撮影し、それをオンラインに投稿すると脅迫しました。

専門家によると、いくつかの常識的な習慣を身につけることで、マルウェアやランサムウェアへの感染リスクを軽減できるそうです。 

• Windows Update で PC を最新の状態に保ってください。WannaCry は Windows 10 を攻撃対象とせず、Windows XP などの古い Windows オペレーティングシステムを標的とします。
• 有効なファイアウォールとマルウェア対策ソリューションを導入してください。WindowsファイアウォールとWindows Defenderでは不十分なため、サードパーティ製の優れたマルウェア対策ソリューションを導入する方がはるかに効果的です。ただし、WannaCryのパッチはWindows 8とWindows XPでも既に利用可能です。
• しかし、マルウェア対策ソフトに頼ってはいけません。RSAセッションで講演した専門家は、ウイルス対策ソフト企業はランサムウェアへの対応にようやく着手したばかりであり、その保護が保証されているわけではないことを参加者に改めて指摘しました。 
• Adobe Flash がオフになっていることを確認するか、デフォルトで Flash をオフにしている Google Chrome などのブラウザで閲覧してください。
• Office マクロが有効になっている場合は無効にします。(Office 2016 では、[ セキュリティ センター] > [マクロの設定]から無効になっていることを確認するか、上部の検索ボックスに「マクロ」と入力して [セキュリティ] ボックスを開きます。)
• ウェブページ上でも、特にメール内の疑わしいリンクは開かないでください。ランサムウェアに遭遇する最も一般的な方法は、不正なリンクをクリックすることです。さらに悪いことに、Dattoが追跡した感染の約3分の2は複数のマシンで発生しており、感染したユーザーがリンクを転送し、より多くの人々に感染の危険を及ぼしたことを示唆しています。 
• 同様に、インターネットの危険な場所には近づかないようにしてください。正規のサイトに掲載されている悪質な広告でも、注意を怠るとマルウェアが侵入する可能性があります。しかし、不適切なサイトを閲覧している場合は、リスクが高まります。

専用のマルウェア対策ソフトをお探しなら、ランサムウェア対策機能を搭載していると謳われているMalwarebytes 3.0をご検討ください。RansomFreeもランサムウェア対策ソフトを開発しています。しかし、一般的にマルウェア対策プログラムは、ランサムウェア対策を有料の商用スイートに限定しています。https://www.pcworld.com/cms/article/https:/www.bitdefender.com/solutions/anti-ransomware-tool.htmlのような無料のランサムウェア対策ソフトをダウンロードすることもできますが、保護されるのは一般的なランサムウェアの亜種4種類のみです。Kasperskyも、System Watcherコンポーネントを使用して変更をロールバックするだけで、PetyaやPetrwrap（あるいはその名称が何であれ）をブロックできると主張しています。

良いが完璧ではない防御：バックアップ

ランサムウェアは、あなたにとって最も大切なファイルを暗号化してロックします。ですから、ファイルを無防備なまま放置しておくべきではありません。バックアップを取ることは、有効な対策です。

Box、OneDrive、Google Driveなどが提供する無料ストレージを活用し、データを頻繁にバックアップしましょう。（ただし、迅速な対応を怠ると、クラウドサービスが感染ファイルをバックアップしてしまう可能性があるので注意してください。）さらに良い方法は、外付けハードドライブに投資することです。Seagateの1TB外付けハードドライブはわずか55ドル程度で、アクセス頻度の低い「コールドストレージ」として活用できます。定期的に増分バックアップを実行し、ドライブを取り外してデータのコピーを隔離しましょう。（CIO.comには、ランサムウェア対策に役立つ追加のバックアップアドバイスが掲載されています。以前の記事でも同様です。）

イアン・ポール/PCWorld

ランサムウェアに感染した場合、ファイルエクスプローラーを使って、人質に取られているファイルを正確に確認できる可能性があります。手がかりの一つとして、奇妙な拡張子が付いた普通の.DOCファイルや.DOCXファイルなどが挙げられます。アバストの最高技術責任者であるオンドレイ・ヴルチェク氏は、直感に反するアドバイスをしています。ランサムウェアにタイムロックがかかっておらず、ファイルをすぐに必要としない場合は、そのままにしておくことを検討してください（ただし、別のPCで作業してください）。ウイルス対策ソフトが対策を開発し、後からロックを解除できるようになる可能性もあります。

ただし、バックアップは万能ではありません。例えば、ゲームのセーブデータや「ドキュメント」や「写真」にうまく収まらないファイルのバックアップ方法を調べておく必要があるかもしれません。ユーティリティやその他のカスタムアプリについても同様です。

ランサムウェアに感染した場合の対処法

ランサムウェアに感染したかどうかは、どうやって分かりますか？ 信じてください、すぐに分かります。摘発されたCitadelランサムウェアのようなランサムウェアは、PCが児童ポルノに関連しているという「警告」を発します。また、ほとんどのランサムウェアに付随する画像は、ストレスと恐怖を煽るように設計されています。

慌てないでください。まずは警察やFBIのインターネット犯罪苦情センターなどの当局に連絡してください。次に、ディレクトリを調べてどのユーザーファイルが感染しているかを特定し、問題の範囲を把握してください。（もしドキュメントの拡張子がおかしくなった場合は、元に戻してみてください。一部のランサムウェアは「偽の」暗号化を使用し、実際には暗号化せずにファイル名を変更するだけです。）

次のステップは？ 特定と削除です。有料のマルウェア対策ソリューションをご利用の場合は、ハードドライブをスキャンし、ベンダーのテクニカルサポートやヘルプフォーラムに問い合わせてみてください。NoMoreRansom.comのCrypto-Sheriffも優れたリソースです。これは、Intel、Interpol、Kaspersky Labが提供するリソースとランサムウェアアンインストーラーをまとめたものです。無料の削除ツールを使って、ランサムウェアを特定し、システムから駆除するのに役立ちます。

NoMoreRansom.org

他のすべてが失敗した場合

残念ながら、専門家によると、重要な問い「支払うべきか、それともすべてを失うリスクを負うべきか」は、多くの場合、財布を取り出すことでしか答えが出ないそうです。ランサムウェアを削除できない場合、データの価値と、それをどれだけ早く必要としているかを考えざるを得なくなります。Dattoの2016年の調査によると、ランサムウェアの被害を受けた中小企業の42%が身代金を支払っています。 

マイクロソフト

あなたの人生を台無しにしているマルウェアの向こう側には、必ず誰かがいることを忘れないでください  。ランサムウェアの作成者にメッセージを送る方法があれば、専門家は試してみることを推奨しています。無料でファイルを復号してくれると説得できるとは思わないでください。しかし、ランサムウェアの作成者は悪徳業者ではありますが、ビジネスマンです。時間の延長や身代金の減額交渉を試みることは可能です。少なくとも、いわゆる「生存証明」を求めることは害にはならないとグロスマン氏は言います。犯罪者は、あなたのデータが本当に戻ってくるという保証を何で提供できるのでしょうか？（Dattoが調査した企業のうち、約4分の1は データを取り戻せませんでした 。）

ただし、予防、複製、バックアップの手順の目的は、選択肢を提供することです。データの完全なコピーを別の場所に保存している場合は、PCをリセットし、アプリを再インストールし、バックアップからデータを復元するだけで済む場合があります。

あなたにはこんなことが起きないようにしてください

私の場合、妻と私は、重要なものはすべてクラウドサービスと外付けドライブの両方に既にバックアップしていたことに気づきました。失ったのは、妻のPCをリセットする作業を含め、夕方の数時間だけでした。 

ランサムウェアは、新しいアプリ、Flashベースのゲームサイト、悪質な広告を誤ってクリックするなど、様々な方法でパソコンに感染する可能性があります。私たちの場合、これは「友達」が格安ショッピングサイトを勧めてくれたからといって、安易にクリックしてはいけないという厳しい警告となりました。私たちは子供たちにも同じ教訓を教えています。

ランサムウェアは、人々があなたに危害を加えることを、そして不幸はいつ襲い掛かるかわからないことを、不安にさせるものです。しかし、PCを家の一部のように扱い、クリーニング、メンテナンス、そして外部の脅威からの保護を徹底すれば、最悪の事態に備えることができ、安心して過ごせるでしょう。

このストーリーは 6 月 28 日に更新され、Petya / NotPetya / Petrwrap / exPetr ランサムウェアに関する新たな詳細が追加されました。