またまた、Hidden Tearプロジェクトに基づいたランサムウェアです。先日、jHash ウイルスについて議論しましたが、このオープンソースに基づくランサムウェア感染は今週すでに2つ目です。
この特定のランサムウェアは非常に強力で解読が難しいAES暗号を採用しています。もしもお使いのコンピュータがこのCyber Police ランサムウェアに感染したら、コンピュータ自体を使うことが可能でもおそらくあなたの個人ファイルは開くことができなくなっているでしょう。本記事では、Cyber Police ランサムウェアウイルスの駆除の仕方の詳細と暗号化されたファイルの復元の仕方を説明していきますので最後までお付き合いください。
Cyber Police ロッカーの特徴
Cyber Police ウイルスは、サーバーセキュリティ研究者のLawrence Abrams氏によって最初に発見され、“また別のHidden Tear ランサムウェア“に関するTwitterの投稿が掲載されました。実際、これはCyber Policeのスクリーンロッカー画像を使用しているのでPoliceロッカーという名が付けられています。 しかしこのウイルスによって使われているファイルロック拡張子はサイバー警察とは何の関係もありません。jCandy ウイルスと同じく「.locked」拡張子が付加されています。
この感染がどうやって自分のシステムに侵入したのだろうと疑問に思っているかもしれませんが、一番の可能性として考えられる手段は2つあります。– 1つは何らかの無料ソフトウェアとバンドルになって入り込んだ場合、もう1つはスパムメールの添付ファイルとしてもたらされた場合です。どちらにせよ、コンピュータ内部に入るとすぐにCyber Police ウイルスはコンピュータを自動スキャンしてファイルを探し、最終的にそれらを暗号化します。
プロセスの過程で、「.locked」という拡張子がファイルに追加され、その時点から暗号化されたファイルは開くことができなくなります。プロセスが終了すると、デスクトップセーバーが自動的にCyber Policeの画像に置き換えられ、「READ_IT.txt」という新しいファイルがデスクトップに配置されます。
READ_IT.txt ファイルの原文:
YOUR COMPUTER IS BLOCKED BY CYBER POLICE FOR UNLICENSED SOFTWARE’S USAGE.
Your documents, photos, databases and other important files have been encrypted
with strong encryption and unique key, generated for this computer. The private decryption
key is stored on a secret internet server and nobody can decrypt your files until you will
pay fine and then obtain the private key. HOW TO PAY: Go to http://www.localbitcoins.com and
buy Bitcoins worth of 100$ with your favorite payment method. Then through your account, send
Bitcoins worth about 100$ to our Bitcoin address: 1NiGZiFPRqGdxB7ZpbcVsRUVqLJ2SjLsuM and indicate
your email to receive the decryption key via your email
ご覧いただける通り、As you can see, you are ordered to pay $100 using Bitcoinsを使って100ドルを支払うよう指示されます。100ドルがそれほど高額ではないように思えても、身代金を支払うことはお勧めできません。マルウェアを分布するサイバー犯罪者は、身代金が支払われた時点でユーザーを見捨てる傾向があります。なので支払いをしたからといって解読鍵を得られる保証はどこにもありません。
さらに、このランサムウェアが犠牲ユーザーをだまそうとしている可能性がある兆候が見られます。まず、Cyber Police ウイルスがコンピュータを認識するための随一のIDを作成するかどうかわかりません。また、ユーザーがサイバー犯罪者に連絡を撮るためのボタンやEメールアドレスも見当たりません。さらに、コンピュータを感染させてお金を釣るためにファイルを暗号化している事実の代わりに、彼らは無許可のソフトウェアを使用した罪でサイバー警察から処罰を受けているのだと宣言してユーザーを脅かそうとしています。
Cyber Police ウイルスの駆除
我々がVirusTotal エンジンを使ってCyber Police ウイルスを検査したところ、68種類のマルウェア対策ツールのうち43が、これをランサムウェアまたはトロイの木馬感染と認識しました。つまり最も一般的なマルウェア対策プログラムのどれを使っても、Cyber Police ウイルスをコンピュータから取り除くことができるということです。我々の推奨はReimage または SpyHunterです – どちらのアプリケーションもこのようなマルウェアに対処する際にたいへん効率的であることが証明されています。
ロックされたファイルですが、Cyber Police ランサムウェアの無料解読ツールは現在のところまだ未開発です。ですが利用可能となった際にはすぐにお知らせします。今のところ、あればバックアップコピーからファイルを復元するしかありません。このシステム復元チュートリアルに従って操作してください。
Cyber Police Ransomware Uirusu quicklinks
- Cyber Police ロッカーの特徴
- Cyber Police ウイルスの駆除
- Automatic Malware removal tools
- システム復元を使ってCyber Police Ransomware ウイルス を取り除く方法は?
- 2. Cyber Police Ransomware ウイルスを完全に削除する
- 3. ボリューム・シャドー・コピーを使ってCyber Police Ransomware ウイルス に感染したファイルを復元する
Automatic Malware removal tools
(Win)
Note: Spyhunter trial provides detection of parasites and assists in their removal for free. limited trial available, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: Combo Cleaner trial provides detection of parasites and assists in their removal for free. limited trial available,
システム復元を使ってCyber Police Ransomware ウイルス を取り除く方法は?
1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する
Windows 7 / Vista/ XPの場合
- [スタート] → [シャットダウン] → [再起動] → [OK]
- [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
- [セーフモードとコマンドプロンプト]を選択します。
Windows 8 / 10の場合
- Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。
- [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
- 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。
システムのファイルや設定を復元する
- [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
- それからrstrui.exe を入力して再度[Enter]を押します。
- 現れた画面上で[次へ]をクリックします。
- Cyber Police Ransomware ウイルス がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。
- [はい]をクリックしてシステムの復元を開始します。
2. Cyber Police Ransomware ウイルスを完全に削除する
システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、Cyber Police Ransomware ウイルスに関連する全ての不正ファイルを取り除くことが推奨されます。
3. ボリューム・シャドー・コピーを使ってCyber Police Ransomware ウイルス に感染したファイルを復元する
お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、Cyber Police Ransomware ウイルスはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。
ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。
a) ネイティブWindows 以前のバージョン暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。
オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。
注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。