Rapid ランサムウェアは現在ヨーロッパと米国で活動的に広まっている非常に危険なウイルスである。既に報告されている通り、このウイルスは2018年1月にリリースされ、その後特にヨーロッパにおいて数千人のユーザーが感染している。これは典型的でありながらも同時に独特なランサムウェア感染だ。この種の感染において典型的な属性を持つ一方、同時に変わった性質も持ち合わせている。
Rapid Ransamuuea quicklinks
- Rapid ランサムウェアが何か特殊なのか
- Rapid ランサムウェアがどのようにして広がるのか
- Rapid ランサムウェアのバージョン
- Rapid 2.0 ランサムウェア
- Rapid 3.0 ランサムウェア
- RPD ランサムウェア
- Rapid V1 ランサムウェア
- Rapid ランサムウェアを駆除してロックされたファイルを復元する方法はあるか
- Automatic Malware removal tools
- システム復元を使ってRapid ランサムウェア を取り除く方法は?
- 2. Rapid ランサムウェアを完全に削除する
- 3. ボリューム・シャドー・コピーを使ってRapid ランサムウェア に感染したファイルを復元する
(Win)
Note: Spyhunter trial provides detection of parasites and assists in their removal for free. limited trial available, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: Combo Cleaner trial provides detection of parasites and assists in their removal for free. limited trial available,
2018年8月の時点において、Rapid ランサムウェアには合計4つの亜種が確認されている。技術的な違いはあまりないが、暗号化されたファイルの拡張子、暗号メール、ランサムメモがそれぞれ異なる。残念ながらこのランサムウェアには公式な復号ツールはまだない。しかし2-viruse.com のチームは、ウイルスを削除してロックされたファイルを潜在的に復元する方法について簡単なガイドを作成している。記事の最後をチェックしていただきたい。
Rapid ランサムウェアが何か特殊なのか
一般的にランサムウェア感染に攻撃された場合、コンピュータをスキャンしてお使いのハードドライブに保存されたファイルが暗号化され使用できなくなる。その後、復号鍵を受け取ってファイルを元に戻すには身代金を支払うよう要求される。今回の場合、 Rapid ウイルスは最初の暗号化を行った後もアクティブな状態のまま停滞し、新しく作成したりダウンロードしたファイルもすぐさま暗号化される。つまりオペレーティングシステムを再インストールしたり身代金を支払わずにコンピュータを使用し続けるには、コンピュータからウイルスを取り除くしかない。
しかし一部のサイバー専門家は、Kaspersky 研究によればファイルを取り戻すための選択肢はハッカーに身代金を支払うことのみだと主張する。被害者ユーザーの3人に1人が実際にこの選択をしているが、その20%はランサムメモに約束されたような復号鍵を受け取っていない。BitcoinをRapid ランサムウェアの開発者に送金することはギャンブルのようなものなのだ。ファイルを失ってしまうだけでなく何千ドルを費やす価値があるかどうかもわからない。ランサムウェアに関するさらなる統計は、Comparitech.comを参照。
さて、感染そのものの詳細について見ていこう。例のごとく、ランサムウェアはファイルの語尾に何らかの拡張子を加えることによってファイルを暗号化する。今回の場合、追加される拡張子は“.rapid”だ。なので例えば“photo.jpg”という名前のファイルがあったとすれば、感染後は“photo.jpg.rapid”となり、その時点から開くことさえできなくなる。次に、暗号化が行われた後 “”! How Decrypt Files.txt”‘ というファイルがデスクトップに配置される。そこには以下のようなメッセージがふ書かれている:
Hello!
All your files have been encrypted by us
If you want restore files write on e-mail – [email protected]
ご覧いただける通り、詳細 (身代金の額や支払い方法)は書かれていない。その代り[email protected]に宛ててサイバー犯罪者に問い合わせるよう促される。実際には、このウイルスに関連するEメールはこの他にも多くあるので上記のものが記されているとは限らない。身代金を支払うこと、サイバー犯罪者に問い合わせをすることは我々は決していい考えだとは推奨しない。先にも述べた通り、Rapid ランサムウェアによって実行される暗号化は進行するプロセスだ。新しいファイルを探してコンピュータをスキャンし続けるので、できるだけ早くウイルス自体を取り除くことが非常に重要である。
Rapid ランサムウェアがどのようにして広がるのか
最初のRapid ランサムウェアは、内国歳入庁(IRS)のメッセージのように見られる「Please Note – IRS Urgent Message-164」というタイトルの迷惑メールキャンペーンを介して巡回しているのが捕らえられた。これらのメールにはウイルスを含む悪質なファイルが添付されていた。ハッカーたちは、受信者が重要なメールだと思い込み詳細を確認するためにファイルを開くよう陥れたのだ。ここで学ぶべきこと。迷惑(スパム)箱のカテゴリーに受信したメール(特に添付ファイルを伴っている場合)は決してメールを開くべきではない。さらなる詳細は、ランサムウェアに対する究極の保護術ガイドを参照していただきたい。
Rapid ランサムウェアのバージョン
|
名前 |
リリース日 |
拡張子 |
連絡先Eメール |
ランサムメモ |
|
Rapid (オリジナル) |
2018年1月 |
.Rapid, .RPD, .EZYMN .paymeme |
How Recovery Files.txt, !!! txt the README, How Recovery File.txt |
|
|
Rapid 2.0 |
2018年3月 |
.[8 random numbers] |
DECRYPT.[5 random numbers].txt |
|
|
Rapid 3.0 |
2018年5月 |
.Rapid .EZYMN |
How Recovery Files.txt !!! txt the README |
|
|
RPD |
2018年6月 |
.RPD |
How Recovery File.txt |
|
|
Rapid V1 |
2018年8月 |
.no_more_ransom |
Rapid 2.0 ランサムウェア
この2番目のバージョンは、オリジナルのRapid ランサムウェアから2ヶ月後にリリースされ、品質も特徴も全く同じものである。唯一の違いは8桁で構成される拡張子と、ランダムな5桁の数字から成るランサムメモだ。もうひとつの興味深い特徴は、Rapid 2.0がターゲットとしていた国にロシアが含まれていなかったことだ。その後研究者たちは、Rapid ウイルスがこの地域に由来すると信じることとなった。
Rapid 3.0 ランサムウェア
Rapid 3.0は先2つのRapid ランサムウェアウイルスがアップデートされたもので、2018年5月に見つかった。このバージョンはアメリカや西ヨーロッパ(スペインやフランスなど)で最も一般的だった。暗号化アルゴリズムはそのまま(AES)であったが、身代金の金額が非常に意義深いものだった – 0.7 BTC (およそ5000ドル)だったのである。ロックされたファイルには、新しく.EZYMNという拡張子が追加された。新しい連絡先Eメール ([email protected]) は、Twitterにおいて#として知られるMalwareHunterTeam マルウェア研究者の冷やかしとして使われた。彼は復号鍵などで多くの人のファイルを復号する手助けを行っていた第一人者なのである。
RPD ランサムウェア
4番目の亜種には重要な特徴はない。悪質なEメールの添付ファイルを介して広がり、 AES サイファーを使用してファイルをロックし、感染したファイルに.RPDという拡張子を付けくわえた。その後‘How Recovery File.txt’というランサムメモを配置して、ロックされたデータを復元するには「[email protected]」へEメールを送信するよう求めた。身代金の金額はユーザーによって異なったが、支払い後に復号鍵が送信されない可能性が最も高い。
Rapid V1 ランサムウェア
Rapid V1はRapid ウイルスの中で最も新しいバージョンである。前と変わらず同じAES サイファーを使って個人データを暗号化し、.no_more_ransom という拡張子を感染したファイル全てに追加する。さらにランサムウェア策には典型的なマルスパムで広がり、 ‘rapid.exe’ タスクとして実行中のプロセスにて手動で発見することができる。全体的に見ると、他のバージョンと比較して重要なアップデートは見られない。ハッカーのEメールが変更されたくらいだ。ランサムメモには以下のような書かれている:
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email – [email protected]
and tell us your unique ID
さらなる詳細はVirusTotal scan resultsを参照。
Rapid ランサムウェアを駆除してロックされたファイルを復元する方法はあるか
おそらく、Rapid ランサムウェアとその亜種のようなウイルスを駆除する最善の方法は、マルウェア対策プログラムでコンピュータをスキャンし、面倒な駆除作業を自動でやってもらうことだ。また取り入れていない、または所有しているものではRapid ランサムウェアの検出と駆除に失敗したという場合には、Reimageまたは SpyHunterを試してみることを強くお勧めしている。いずれかのプログラムがRapidに関連するすべてのファイルを簡単に検出して削除する。またコンピュータが再びマルウェアに感染するのを防ぐこともできるため、インストールしておく価値のあるプログラムだ。
Automatic Malware removal tools
(Win)
Note: Spyhunter trial provides detection of parasites and assists in their removal for free. limited trial available, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: Combo Cleaner trial provides detection of parasites and assists in their removal for free. limited trial available,
残念ながら、暗号化されたファイルは永久に失われてしまう可能性がある。このウイルスはファイルのシャドウコピーを削除する特殊なコマンドを実行するので、外部ドライブやクラウドにバックアップが保存されていなければ、システムの復元は実行できないかもしれない。Nomoreransom.org projectによると、現時点ではこの特定のウイルスの解読ツールはまだない。しかしセキュリティ専門家が特別な解読ツールの開発に成功するときを信じて、ロックされたファイルはPCに保存しておくことをお勧めする。
システム復元を使ってRapid ランサムウェア を取り除く方法は?
1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する
Windows 7 / Vista/ XPの場合
- [スタート] → [シャットダウン] → [再起動] → [OK]
- [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
- [セーフモードとコマンドプロンプト]を選択します。
Windows 8 / 10の場合
- Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。
- [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
- 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。
システムのファイルや設定を復元する
- [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
- それからrstrui.exe を入力して再度[Enter]を押します。
- 現れた画面上で[次へ]をクリックします。
- Rapid ランサムウェア がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。
- [はい]をクリックしてシステムの復元を開始します。
2. Rapid ランサムウェアを完全に削除する
システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、Rapid ランサムウェアに関連する全ての不正ファイルを取り除くことが推奨されます。
3. ボリューム・シャドー・コピーを使ってRapid ランサムウェア に感染したファイルを復元する
お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、Rapid ランサムウェアはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。
ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。
a) ネイティブWindows 以前のバージョン暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。
オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。
注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。