Amnesiaはありふれたほとんどのクリプトウイルスと同じように機能するランサムウェアです。Amnesiaという名前は1つのウイルスだけではなく、このような感染スタイルの特定のファミリーを指しています。関連しているサンプルはCryptoBossと呼ばれ、これは後に出てきた亜種なのですがその前のサンプルと同じように構造化されています。さらにこの分家のサンプルが暗号化された実行可能ファイルに付け加える可能性のある拡張子もさまざまです。このファミリーが暗号化とともに追加する拡張子には次のようなものがあります: .01, .02, .amnesia, .[[email protected]].LOCKED, .CRYPTOBOSS, .[[email protected]].SON, .@decrypt_2017。これらの拡張子はランサムウェアのサンプルが実りある攻撃に成功したことを示しています。幸運にも、Emsisoft社の研究者が既に犠牲者ユーザーへのデスクリプタを紹介しています。ファイル復元ソフトウェアをダウンロードするにはここをクリックしてください。
クリプトウイルスの技術的側面
この部分の分析を始めるには、Amnesia ランサムウェアはなんと7763種類のファイルをターゲットにして暗号化に成功するという過去最多の記録に達していることを述べておく必要があります。セキュリティ研究者たちは、これほど多くのファイルを狙うようプログラムされた亜種はかつてなかったと説明しています。さらにこの亜種は、elphi プログラミング言語で書かれたランサムウェア感染のカテゴリに割り当てられるとされます。つまり洗練されたウイルスではありません。研究者が既に治療法を作り出せたのも、おそらくそういう理由だからです。
この身代金要求型感染は、非常によく選ばれているAES-256 サイファーの助けを借りてファイルを暗号化しています。この状況をさらに複雑にするために、感染はコマンドを起動しシャドー・ボリューム・コピーを全破壊します。個々のオペレーティングシステムはそれぞれに異なるID番号を与えられることによって分離されます。ID番号には何桁もの数字が含まれ、通常のものより長いのが特徴です。
しかし、この感染が最初に検出されたときにはいくらかの混乱が生じました。というのも、Globe ランサムウェアからいくつもの点をコピーしていたのですが、まもなくしてAmnesiaは全く別のウイルスであることが発見されました。その亜種の中には、ユーザーに[email protected] または [email protected] というEメールアドレスまで問い合わせをするよう要求するものがあります。
研究者はさらにこの感染の原因である可能性のあるペイロードもいくつか判別しています。Happier.exe bstarb.exe、guide.exe ファイルはオペレーティングシステム内の不正なアクティビティの原因となている可能性があります。もうひとつの特徴は、暗号化によって影響を受けたファイルの名前が全く違うものに変換されるという点です。通常のファイル名のに代わり、実行可能ファイルの名前が変えられます。この急な変更後、通常のファイル名は文字と数字のランダムなシーケンスに置き換えられます。
さらに、数週間前に検出されたサンプルはCTB-Lockerであるかのように見せかけていました。最初の亜種が「HOW the TO the RECOVER The ENCRYPTED files.txt」をランサムメモを残す一方、その次のサンプルは「the RECOVER-FILES.HTML or __ P_R_O_CH_T_I__CTB-Locker__PROChTI__PROChTI.TXT」という実行可能ファイルを提供しています。
ランサムの支払い不要: ファイルは無料で復元可能
Emsisoft社はこの亜種のデスクリプタをリリースしました。これは無料で利用可能です。ファイル復元用ツールの使用方法については、Emsisoftの公式ウェブサイトで説明されています。質問があればそこに問い合わせをするか、または下のコメント欄より当社へお気軽にお問い合わせください。私たちもできる限りのサポートをさせていただきます。この感染は既に解決済みのため、身代金の支払いを検討する必要はありません。復号のために要求される正確な金額については、ランサムメモの中には記載されていません。この情報はEメールで知らされるようです。
ランサムウェアはどのようにして広がっているのか?
悪質なペイロードはスパムキャンペーンを介して送信されている可能性があります。信頼性の低いソースから発信されたメッセージで、ユーザーには何らかの添付ファイルをダウンロードすること、またはある種のウェブサイトへのリンクを訪問することが促されます。それに従うのは賢い選択ではありません。約束されたファイルの代わりに、ユーザーはトロイの木馬をダウンロードすることになってしまう可能性が高いからです。有害なウェブサイトを訪問することで、ブラウザハイジャッカーのようなさまざまな他マルウェアやランサムウェアを知らずにインストールしてしまうこともあり得ます。
Reimage、 Spyhunter、 Malwarebytesは、Amnesia ランサムウェアウイルスの駆除に役立つ力強いツールです。その上、将来的にもマルウェアの脅威からコンピュータを保護します。
6月5日 <新情報> Amnesia 2が最近検出されたようです。暗号化されたデジタルファイルに「.TRMT」という拡張子が追加されます。また「HOW TO RECOVER ENCRYPTED FILES.TXT」という実行可能ファイルが挿入されます。有難いことに、この亜種は既に解読可能です。復号用ソフトウェアをダウンロードすれば問題は解決します。
Amnesia %e3%83%a9%e3%83%b3%e3%82%b5%e3%83%a0%e3%82%a6%e3%82%a7%e3%82%a2 quicklinks
- Automatic Malware removal tools
- システム復元を使ってAmnesia ランサムウェア を取り除く方法は?
- 2. CryptoBoss ransomware virusを完全に削除する
- 3. ボリューム・シャドー・コピーを使ってAmnesia ランサムウェア に感染したファイルを復元する
Automatic Malware removal tools
(Win)
Note: Spyhunter trial provides detection of parasites and assists in their removal for free. limited trial available, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: Combo Cleaner trial provides detection of parasites and assists in their removal for free. limited trial available,
システム復元を使ってAmnesia ランサムウェア を取り除く方法は?
1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する
Windows 7 / Vista/ XPの場合
- [スタート] → [シャットダウン] → [再起動] → [OK]
- [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
- [セーフモードとコマンドプロンプト]を選択します。
Windows 8 / 10の場合
- Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。
- [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
- 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。
システムのファイルや設定を復元する
- [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
- それからrstrui.exe を入力して再度[Enter]を押します。
- 現れた画面上で[次へ]をクリックします。
- Amnesia ransomware がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。
- [はい]をクリックしてシステムの復元を開始します。
2. CryptoBoss ransomware virusを完全に削除する
システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、Amnesia virusに関連する全ての不正ファイルを取り除くことが推奨されます。
3. ボリューム・シャドー・コピーを使ってAmnesia ランサムウェア に感染したファイルを復元する
お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、Amnesia ransomwareはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。
ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。
a) ネイティブWindows 以前のバージョン暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。
オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。
注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。