Zepto ransomware を削除するには

 

Zepto ランサムウェアは、2016年6月27日にリリースされたLocky ランサムウェア の新型です。前型と同じく非相称の(RSA-2048 および AES-128) 暗号アルゴリズムを使っています。ですがこの新型にはいくつかの特性があります。

Zepto ランサムウェアとは

Zepto ランサムウェアはJS (Javaスクリプト)で書かれています。システムに入り込むと、 Windows は「wsscript.exe」モジュールを起動してスクリプトを実行します。ここでコード検証が行われたりセキュリティスキャナが実行されることはありません。「.js」実行ファイルがC&C (コマンド&コントロール)サービスにつながり、ランサムウェアのプレイコードをダウンロードします。そしてダウンロードが完了すると、コード化ウイルスがコンピュータのシステムをスキャンし、データをロックします。以下のような拡張子をもつファイルがターゲットとなります:

.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd,.wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.

Zepto クリプトマルウェアは暗号化されたファイルを長々としたファイル名に書き換えます。(例 – 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto) 被害ID は、ファイル名の最初の16文字、この例でいうと「024BCD3341D1ACD3」になります。この暗号化ウイルスはファイルの種類をも変更し、ZEPTO ファイルになります。しかもこのエンコーダーは、ファイルを上書きして元のオリジナルバージョンを削除するのです。ランサム(身代金)に関する注意書きを含んだファイル「_HELP_instructions.bmp」がデスクトップに現れます。また、「_HELP_instructions.html」ファイルがデスクトップ上の暗号化されたファイルの全フォルダにドロップされます:

!!! 重要 !!!

全てのファイルはRSA-2048 および AES-128 の暗号によって暗号化された。

RSA および AES の詳細は以下を参照:

[links to wikipedia]

ファイルの復号は、我々の秘密サーバーに保管されている秘密鍵と復号プログラムによってのみ可能である。

秘密鍵を手に入れたければ、以下のいずれかのリンクに従うこと

[Tor Web links given]

アドレスがどれも無効な場合は以下のステップに従うことf:

[Tor ブラウザのダウンロード・インストール方法]

!!! 個人ID: A2E4B02F73265D55 !!!

注意書には記してありませんが、ランサムの額はLocky’s ランサムウェアと同じく – 0.5 BTC (Bitcoins)、現在の時点では319.86 USD に相当します。大金というわけではなくとも、惜しい金額ではあります。

Zepto ランサムウェアの流通方法とは?

Zepto ウイルスはトロイの木馬型ウイルスです。「.doc」または「.pdf」ファイルのようにも見える感染した「.js」ファイルで、メールに添付されてユーザーへと送信されます。これらの メールは、ターゲットとなったユーザーのメールアカウントのスパムメール(迷惑メール)フォルダに届きます。PayPal、FedEx、税関なのど地元機関など、合法な企業によって発行された重要文書のように見せかけているので要注意です。添付ファイルを開いてしまうと、この悪魔を解き放つことになってしまいます。

Zepto ランサムウェアによって暗号化されたファイルを復号する方法は?

Zepto ランサムウェアウイルスは、 Locky ランサムウェアと同じく未だに復号が不可能です。おそらくLocky に対応するデクリプターが開発されれば、Zepto にも適合すると思われます。しかし今のところデータを取り戻す唯一の方法は、Kaspersky Lab、R-Studio、PhotoRecなどによるソフトウェアなどの、データ復元ツールを適用してみることです。この暗号化ウイルスはLockyと同様、シャドー・ボリューム・コピーを消去するようです。なのでシャドー・ボリューム・コピーは役に立たないと思われます。もし外部記憶装置またはサービスなどにファイルのコピーを保管しているなら問題はありません。そうでないなら専門ツールを使ったデータ復元という方法が残っています。これからはCloud (クラウド)サービスのようなハードドライブを活用することが賢明です。ファイルの復元だけに気をとられているべきではありません。もっと重要なことに、ランサムウェアを駆除する必要があります。ReimageSpyhunterHitman のような自動マルウェア駆除ツールを使いましょう。コンピュータシステムをスキャンし、ウイルスやその残留物を残らず除去します。Zepto ウイルスを手動の操作で駆除するための操作方法を下に提供していますので参考にしてください。


自動 Zepto ransomware の除去ツール

 

その他のツール

 
  0   0
    Malwarebytes Anti-Malware
 
注: Reimage トライアルは Zepto ransomware のような寄生虫の検出を提供し、無料でその除去を補助する。あなたは、ファイル、プロセスを検出し削除することができますし、レジストリを自分でエントリまたはフルバージョンを購入。  We might be affiliated with some of these programs. Full information is available in disclosure

システム復元を使ってZepto ransomware を取り除く方法は?

1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する


Windows 7 / Vista/ XPの場合
  • [スタート] → [シャットダウン] → [再起動] → [OK]
  • [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
  • [セーフモードとコマンドプロンプト]を選択します。 Windows 7 enter safe mode

Windows 8 / 10の場合
  • Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。 Windows 8-10 restart to safe mode
  • [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
  • 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。 Windows 8-10 enter safe mode

システムのファイルや設定を復元する
  • [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
  • それからrstrui.exe を入力して再度[Enter]を押します。 CMD commands
  • 現れた画面上で[次へ]をクリックします。 Restore point img1
  • Zepto virus がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。 Restore point img2
  • [はい]をクリックしてシステムの復元を開始します。Restore point img3

2. Zepto ransomwareを完全に削除する

システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、Zepto virusに関連する全ての不正ファイルを取り除くことが推奨されます。

3. ボリューム・シャドー・コピーを使ってZepto ransomware に感染したファイルを復元する

お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、Zepto virusはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。

ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。

a) ネイティブWindows 以前のバージョン

暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。
Previous version

b) シャドーエクスプローラ

オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。
Shadow explorer

注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。

           
7月 12, 2016 07:06, 7月 12, 2016 07:06

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です