ビットコインを購入し、ランサムウェア作成者に復号キーを支払う方法を理解するだけでも大変なのに、一部のサイバー犯罪者は現在、被害者がすべてのファイルを取り戻したいのであれば 1 時間以内にそれを実行することを期待している。
「Jigsaw」と呼ばれる新しいランサムウェアプログラムは、ユーザーのファイルを暗号化し、被害者がビットコインの暗号通貨で150ドル相当を支払うまで、ファイルを段階的に削除し始めます。
ランサムウェアは最初の1時間後にファイルを1つ削除し、その後60分ごとに削除するファイル数を増やしていきます。72時間以内に支払いが行われない場合、残りのファイルはすべて削除されます。
「何か面白いことを試してください。コンピューターにはファイルを削除するための安全策がいくつか備わっています」と、プログラムの作成者は、ホラー映画シリーズ「ソウ」に登場するジグソウ殺人鬼のマスクの写真を添えた身代金要求メッセージで警告している。
これは単なる脅しではありません。テクニカルサポートフォーラムBleepingComputer.comのコンピューター専門家によると、このランサムウェアプログラムは、コンピューターまたは自身のプロセスが再起動されるたびに1,000個のファイルを削除します。
BleepingComputer.com Jigsaw ランサムウェア プログラムによって表示される身代金要求メッセージ。
「この種の脅威が実際にランサムウェア感染によって実行されるのを確認したのは今回が初めてだ」とBleepingComputer.comの創設者ローレンス・エイブラムス氏はブログ投稿で述べた。
今のところの朗報としては、マルウェアの専門家が身代金を支払わずに Jigsaw の影響を受けたファイルを復号する方法を考案したということだ。
このランサムウェアプログラムの影響を受けたユーザーがまず行うべきことは、Windowsタスクマネージャーを開き、ランサムウェアによって作成されたfirefox.exeまたはdrpbx.exeという名前のプロセスをすべて終了することだとエイブラムス氏は述べた。次に、WindowsのMSConfigユーティリティを起動し、%UserProfile%AppDataRoamingFrfxfirefox.exeを指すスタートアップエントリを無効にする必要がある。
これにより、ファイルの削除プロセスが停止し、システムの起動時にマルウェアが再起動することがなくなります。
その後、BleepingComputer.comがホストするJigsaw Decrypterユーティリティをダウンロードしてファイルを復号できます。その後、最新のマルウェア対策プログラムをダウンロードし、コンピュータのフルスキャンを実行してランサムウェアを完全に削除することを強くお勧めします。
11月には、「Chimera」と呼ばれる別のランサムウェアプログラムが、ユーザーのファイルをインターネット上に漏洩させると脅迫しました。しかし、このプログラムが実際にそのような機能を持っていたという証拠は見つかっていません。
それに比べ、Jigsawは脅威を確かに実行し、ランサムウェアの脅威の懸念すべき進化を示しています。セキュリティ専門家は今回、ファイルの復号方法を発見しましたが、将来のバージョンでも同じことができるという保証はありません。ランサムウェアの作成者は通常、エラーを迅速に修正します。
