Jaff ランサムウェア を削除するには

 

Jaff ランサムウェアウイルスは、要求されたランサム(身代金)が支払われるまでユーザーのデジタルデータを質に取って保有するここ最近発見された感染です。Jaff ウイルスは既にリリースされているサンプルによって導入されている戦略を使っているので、革新的な亜種ではありません。現在、ボットネットによって集中的に送信されていることが確認されています。 なのでEメールアカウントに受信するメッセージを見るときは注意してください。クリプトウイルスはRSA-2048 サイファーとAES-256 アルゴリズムを組み合わせ、データの復元をより複雑なものにします。「Scan_846554573」などといったタイトルのメールが届いた場合は、添付ファイルとして含まれるnm.pdfファイルをダウンロードしないでください。この実行ファイルはAdobe Readerでコンテンツを表示するのではなく、インストールしたMicrosoft Officeのバージョンで付随ファイルを起動します。

このランサムウェアサンプルを分析

私たちはすでにこの感染の原因が悪質な迷惑メールであることを証明しました。添付ファイルをダウンロードしてAdobe Readerで起動しようとすると、代わりにJDDVDH.docmを起動する必要があることに気づきます。場合によっては、推奨される実行可能ファイルはユーザーの承認を得ずに実行されることもあります。

その後、このドキュメントが保護されており、コンテンツと編集機能の両方を有効にする必要があることを知らせるセキュリティ警告が表示されます。これは頻繁に実行するアクションのように見えるかもしれませんが、この.docmファイルは有害であるため、悪質なマクロを起動します。彼らはJaff クリプトウイルスの実際のペイロードをインストールし、それをオペレーティングシステムに設置します。

ペイロードはf87346b.exe924c84415.exe、または04_pitupi20.exe であると考えられます。これらは全てこの特定の感染によって挿入されていたのが見つかっています。セキュリティツールはこの感染を25%の検出率で示しました。この特定のクリプトウイルスは、暗号の組み合わせを適用するためにさまざまなファイルから選択します。

デジタルデータが暗号化されると、暗号化された全てのファイルに「.jaff」という拡張子が追加されます。時として暗号化が完了する前であることもありますが、ランサムウェアはインターネット接続を利用してFkksjobnn43.org/a5/ドメインに存在するC&Cサーバーと接触します。ただしペイロードは別のオペレーティングシステムが感染していることをハッカーのみに知らせます。

デスクトップの背景もWallpapeR.bmpファイルに置き換えられます。 ランダムなフォルダ内でも、感染は異なるアプリケーションで開くランサムメモを3つ配置します。 それらのうち1つはユーザーのブラウザでReadMe.htmlが開かれ、ReadMe.txtReadMe.bmpは他の適切なアプリケーションで起動します。 Jaff ランサムウェアは、ユーザーがTORのウェブサイトにアクセスするよう要求しますが、そのデザインはLockyからコピーしているようです。これらのウェブサイトにアクセスするとなると、犠牲者ユーザーのIDが必要になります。

ランサムの要求と復号に使える手段

犠牲者ユーザーの中には、BTC(ビットコイン)1.82196031を支払うことが要求されている人がいましたが、これは換算するとおよそ3253.53(米ドル)となります! これはすでに高額ですが、他のケースではさらに高い金額が要求される可能性があります。 ファイルの復号のために2 BTC(およそ3577.76ドル)が求められることもあります。 しかしこのような多額のお金を無駄にすることはお勧めしません。 この亜種の影響を受けている場合は、無料でファイルを解読する手助けをしてくれる信頼できるセキュリティ研究者に問い合わせてみてください。 Fabian Wosarはこれらの問題に密接に協力し、あなた助けとなることができるかもしれません。 多くの場合ファイルの復号化には長い時間がかかりますので、できるだけ早く研究者に連絡することをお勧めします。

今後はファイルをバックアップストレージに保存することを忘れないでください。 USBフラッシュドライブは、貴重なデジタル情報を保管するための安全なデバイスです。 ランサムウェアについて言えば、ファイルのバックアップは命を救う判断となります。

ランサムウェアはどのようにして広がるのか?

このテーマについては既に前の段落で述べています。このクリプトウイルスの分布には悪質なスパムキャンペーンが選択されています。 メッセージを正常に送信するため、その任務にはボットネット(Necurs)が割り当てられています。この記事の冒頭で説明したようなEメールメッセージを受信した場合、すぐに受信箱から削除してください。ランサムウェアウィルスがその流通のために悪用している可能性のある他の方法も無視するべきではありません。 これには悪質な広告、感染したウェブサイトまたはソーシャルネットワーキングサイトを介した配信などが含まれます。

ファイルの復号を試みる前に、感染自体を削除する必要があります。 ReimageSpyhunterまたはMalwarebytesは、この不名誉な状況であなたを助けるツールとなります。


自動 Jaff ランサムウェア の除去ツール

 

その他のツール

 
  0   0
    Malwarebytes Anti-Malware
 
注: Reimage トライアルは Jaff ランサムウェア のような寄生虫の検出を提供し、無料でその除去を補助する。あなたは、ファイル、プロセスを検出し削除することができますし、レジストリを自分でエントリまたはフルバージョンを購入。  We might be affiliated with some of these programs. Full information is available in disclosure

システム復元を使ってJaff ランサムウェア を取り除く方法は?

1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する


Windows 7 / Vista/ XPの場合
  • [スタート] → [シャットダウン] → [再起動] → [OK]
  • [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
  • [セーフモードとコマンドプロンプト]を選択します。 Windows 7 enter safe mode

Windows 8 / 10の場合
  • Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。 Windows 8-10 restart to safe mode
  • [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
  • 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。 Windows 8-10 enter safe mode

システムのファイルや設定を復元する
  • [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
  • それからrstrui.exe を入力して再度[Enter]を押します。 CMD commands
  • 現れた画面上で[次へ]をクリックします。 Restore point img1
  • Jaff virus がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。 Restore point img2
  • [はい]をクリックしてシステムの復元を開始します。Restore point img3

2. Jaff Decryption System ransomwareを完全に削除する

システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、Jaff ランサムウェアに関連する全ての不正ファイルを取り除くことが推奨されます。

3. ボリューム・シャドー・コピーを使ってJaff virus に感染したファイルを復元する

お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、Jaff Decryption System ransomwareはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。

ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。

a) ネイティブWindows 以前のバージョン

暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。
Previous version

b) シャドーエクスプローラ

オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。
Shadow explorer

注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。

 

Jaff ランサムウェア スクリーンショット

 
         
6月 6, 2017 16:25, 6月 6, 2017 16:25

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です