Esmeralda ランサムウェアは一番最近のランサムウェアウイルスのひとつで、2016年10月28日に発見されました。サイバーセキュリティ研究者にはApocalypse ランサムウェアの新バージョンとして認識されています。Esmeralda クリプトランサムウェアはFileCryptor.NAT, Gen:Win32.Malware.aqW@aKCOPKj, Mal/FakeAV-CS, Ransom_ESMERALDA.A, TR/Samca.olqkw, Trj/GdSda.A, Troj.W32.Fsysna!c, Trojan.Win32.Fsysna.eabk, W32/Fsysna.CS!tr, W32/Trojan.BYDE-4649, Win32.Trojan.WisdomEyes.16070401.9500.996などのウイルス対策ユーティリティによって検出されています。記事を最後まで読みその性質を知っていただければ幸いです。
Esmeralda ランサムウェアの手短な分析
Esmeralda クリプトロッカーは、一般的な非相対暗号を使って被害ユーザーのデータファイルを脆弱させるよう開発されています。DOC, DOCX, XLS, XLSX, JPG, PPT などのような種類で暗号化されたファイルには、 .encrypted 拡張子が付けられます。例えば「My_photo.jpeg」というファイルは暗号化された後「My_photo.jpeg」となります。ファイルは暗号化されるとロックされ、ユーザーは開くことができなくなり、使い物にならなくなります。
暗号化されればEsmeralda クリプトロッカーのルティーンは無事に遂行されます。害されたファイルの全感染フォルダ内に、「 How_to_Decrypt.txt」と呼ばれるランサム(身代金)通知が現れます。Notepadファイルに入れられたこれと同じメッセージがデスクトップの背景に取って代わり現れます:
Windowsが危機的な問題に遭遇し、データを回復するためにはユーザーの速やかな措置が必要です。情報が公開されたり誤用されたりするのを回避するため、システムへのアクセスがロックされ全てのデータが暗号化されました。ファイルにアクセスすることはできません。このメッセージを無視するとデータを完全に紛失してしまう可能性があります。ご迷惑をおかけして申し訳ありません。
システムのデータを復元するには下記のEメールへお問い合わせいただく必要があります。
Email: [email protected]
Unlock-Password (ロック解除パスワード)およびEsmeralda 復号ソフトウェアをご注文していただく必要があります。操作方法はEメールで送信いたします。
文頭から見られるように、メッセージはシステムのセキュリティ通知として自身を紹介していますが、読み続けると、取引をしようとしているのがランサムウェアとクリプトハッカーであることは明確になってきます。[email protected] という宛先にEメールで問い合わせをするよう催促していますが、これはロシアのEメールプロバイダでありEsmeralda file-encrypting ウイルスがロシアに起源することがわかります。
一方、ランサムの金額や支払方法などの詳細は被害者がこのサイバー犯罪者に問い合わせをしない限り開示されていません。この悪意あるプログラムのディベロッパは犯罪者という言葉に尽きるため、彼らには決して接触をしないことを勧告します。
Esmeralda ランサムウェアはどうやってシステムに入り込むのか?
他のランサムウイルスと同じく、Esmeralda ランサムウェアは単なるクリプトマルウェアではなくトロイの木馬型ウイルスでもあります。不正な手段でシステムに侵入し、脆弱させるのです。Eメールの添付ファイル、正体を隠したダウンロード、ハックされたウェブサイトなどがそうです。それ故、ランサムウェアのペイロードをPCにダウンロードしなうようにするには、認証されているマルウェア対策ユーティリティ(例 Reimage)をコンピュータシステムに取り入れるなどの一般的なサイバー対策に沿うことが必要です。最適な作動のためには常に最新の状態に保っておくことも重要です。またEメールのスパム(迷惑)フォルダは手を付けない領域であるべきです。さらにユーザーは無料ダウンロードにはもっと注意深くなり、インストーラを隅々まで確認する必要があります。
ファイルのロックを解除して感染を駆除する方法は?
セキュリティ分析者による復号鍵はまだ開発されていません。現時点ではファイルのロックを解除することができないので、バックアップからのコピーを使うか、復元を試みることしか方法はありません。1つ目のオプションは、感染前にUSB フラッシュドライブかその他の取り外し可能ドライブが使われていたときのみ用いることができます。残念ながらシャドー・ボリューム・コピーは削除されるため使用することができません。2つ目のオプションは、Kaspersky Labによる復元ツールであるRecuvaのような専門ツールを使ってください。
Esmeralda マルウェアはデータ復元が実施される前に取り除かれる必要があります。システム上でアクティブな状態のままだと、ウイルスはさらにデータを暗号化を続けるので明らかです。Esmeralda トロイの木馬を取り除くには、Reimage、Spyhunter、 Stopzillaなどでシステムに完全スキャンを実行しましょう。これらのスパイウェア対策ツールの有効性は、列挙された順に相当します。手動操作の方法は下に示しますが、ランサムウェア攻撃に対処するのはかなり難しいということを頭に入れておいてください。
Esmeralda Ransomware quicklinks
- Automatic Malware removal tools
- システム復元を使ってEsmeralda Ransomware を取り除く方法は?
- 2. Esmeralda Ransomwareを完全に削除する
- 3. ボリューム・シャドー・コピーを使ってEsmeralda Ransomware に感染したファイルを復元する
Automatic Malware removal tools
(Win)
Note: Spyhunter trial provides detection of parasites and assists in their removal for free. limited trial available, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: Combo Cleaner trial provides detection of parasites and assists in their removal for free. limited trial available,
システム復元を使ってEsmeralda Ransomware を取り除く方法は?
1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する
Windows 7 / Vista/ XPの場合
- [スタート] → [シャットダウン] → [再起動] → [OK]
- [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
- [セーフモードとコマンドプロンプト]を選択します。
Windows 8 / 10の場合
- Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。
- [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
- 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。
システムのファイルや設定を復元する
- [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
- それからrstrui.exe を入力して再度[Enter]を押します。
- 現れた画面上で[次へ]をクリックします。
- Esmeralda Ransomware がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。
- [はい]をクリックしてシステムの復元を開始します。
2. Esmeralda Ransomwareを完全に削除する
システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、Esmeralda Ransomwareに関連する全ての不正ファイルを取り除くことが推奨されます。
3. ボリューム・シャドー・コピーを使ってEsmeralda Ransomware に感染したファイルを復元する
お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、Esmeralda Ransomwareはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。
ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。
a) ネイティブWindows 以前のバージョン暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。
オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。
注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。