【悲報】CryptoLockerウイルスに感染して大事なファイルが! 暗号化で身代金要求
 
先月2013年10月に CryptoLocker(読み方:クリプトロッカー)を名乗ってファイルを暗号化する身代金型ウイルスのことがニュースになってました。
 
この方面のコンピュータウイルスは、セキュリティ用語で「ランサムウェア」(Ransomware)といいます。(ransom = 身代金)
破壊的なマルウェア「CryptoLocker」の仕組み、およびその対策について (ソフォス)
http://www.sophos.com/ja-jp/press-office/press-releases/2013/10/ns-destructive-malware-cryptolocker-on-the-loose.aspx

ランサムウェア「CryptoLocker」、オンライン銀行詐欺ツール「ZBOT」を経てコンピュータに侵入 (トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/8017
日本でも CryptoLocker ウイルスの被害にあわれた方たちの悲鳴が挙がってます。 <Windowsパソコンがターゲット!
 
■ Twitter / goodsun_taichi: 【緩募】CryptoLockerなる新手のスパム…らしい情報諸々。先月末辺りから流行りだしているそうで。東京で働く友人が感染したそう。
https://twitter.com/goodsun_taichi/status/388589987106529281

■ ムラカミアヤコ@終末のシネマ連載中さんはTwitterを使っています: "ヒイイイ!ウィルスソフトいれてるのに、cryptolockerというウィルスに感染した…死ぬ…どうすればいいんだ…"
https://twitter.com/ayaconbu/status/388486160978169856

■ pcを立ち上げたところCryptoLockerという、ウインドウがでて消せなくて困ってます...
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14114621439

■ 先日パソコンを立ち上げたところ画面にいきなりcryptolockerというものが出てきて...
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14115437054
 
どんな状態になるのか伝聞では分からないので、実際に CryptoLocker ウイルスを手元の環境で感染させてみました。
 
http://i42.tinypic.com/2r2prlu.png
CryptoLocker メインウィンドウ
 

http://i39.tinypic.com/4fwizm.png
暗号化したファイル一覧を示す CryptoLocker ウィンドウ

 
ハードディスク上の画像ファイル(JPEG)、文書ファイル(PDF、エクセル、ワード)などが暗号化されてしまいます。
 
加えて、PCに接続されてるUSBメモリや外付けHDDも対象になるはずです。
 
Mac OS、スマホ、ガラケーらへんは動作対象外
 
解除する鍵データは攻撃者のサーバー上に保管されてるそうなので、身代金を支払う以外にファイルの復元はほぼ不可能…、実質的な破壊状態となります。

CryptoLockerウイルスを駆除削除アンインストールする?

すでにファイルを人質にとってるので、偽セキュリティソフトのようにプログラムの起動を阻止してくることもなく、タスクマネージャーやレジストリエディターも起動できます。
 
ただ、タスクマネージャーで実行ファイルを強制終了させようとしても、プロセス上で同時に2つの実行ファイルを動かすことで、相互監視しあって終了できない造りになってました。
 

http://i42.tinypic.com/bdnxhg.png
ランダム名で2つの Vgqrxzextmwpjv.exe がゾンビのように…

 
なので、「セーフモードとネットワーク」で起動して、無料で使える「Microsoft Safety Scanner」や「Malwarebytes AntiMalaware Free」でウイルススキャンするのが無難でしょうか?
 
<追記始め>


直近のバージョンでは、セーフモード下でも動作するように改良されました。


<追記終わり>

ファイルの復元? 以前のバージョン機能

ブラウザは起動可能なので情報収集もでき、CryptoLocker ウイルスの駆除削除そのものは必ずしも困難ではないけど、問題なのは破壊されたファイルたちです。
 
Windows Vista(企業向けエディションのみ)とWindows 7には、ファイルのプロパティに用意されてる[以前のバージョン]機能を使うことで、破壊される前のファイルの状態へ復元できる可能性があります。
以前のバージョンのファイル: よく寄せられる質問 - Windows ヘルプ
http://windows.microsoft.com/ja-jp/windows/previous-versions-files-faq
コレがダメなら、もはやバックアップからのデータ復旧ぐらいしか手段がなく、大事な大事なお宝画像はおじゃんとなります。

CryptoLockerウイルスの感染経路は?

CryptoLockerウイルスの主要な感染経路は2ルートあります。
 
【1】 ネットサーフィン中に改ざん被害を受けてる一般サイトやブログを訪問してしまいウイルスが強制インストールされるドライブバイ・ダウンロード攻撃を食らうパターン
 
【2】 実在企業を名乗るなど英語表記の迷惑メール(スパムメール)に添付されてるファイルをユーザーが起動して自爆感染するパターン
 
日本で特に多いのは1番目のルートのはず。
 

 
<2013年11月 追記...>
 
CryptoLockerにまつわるページを作成しました。
CryptoLockerファイル暗号化 身代金ランサムウェアウイルス感染 削除アンインストール方法
http://tech.g1.xrea.com/notes/virus-ransomware-cryptolocker.htm
 

 
<2014年6月 追記...>
 
世界各国の警察関連組織とセキュリティ会社の協力により、ウイルス感染したマシンで築かれてるボットネット ZeuS に打撃を与え、同じサイバー犯罪者が携わってたCryptoLockerウイルスの活動が終焉、ネットワークも崩落しました。

GameOver ZeuSウイルス感染確認&無料ウイルス検出駆除ツール PWS:Win32/Zbot ( パソコン )
https://blogs.yahoo.co.jp/fireflyframer/32819597.html

 


<2015年4月 追記...>

この CryptoLocker と同じ名前を名乗って成りすましをしてる別の種類↓のランサムウェア感染被害が確認されてます。
関連するブログ記事