セキュリティ研究者は、今のところ2017年のうちで最も複雑なもののひとつと見られるランサムウェアのサンプルを検出しました。Spora クリプトウイルスは明らかに、このプロジェクトに労力をかけたプロによって構築された悪質な感染です。ほとんどがロシア語を話すユーザーに届く悪意あるスパムメールキャンペーンを介して配布されています。つまりこのサンプルを受け取る標的となっている犠牲者です。ランサムウェアカテゴリーにあるこれまでの多くのウイルスと同じ戦略を利用しているのですが、このウイルスは複雑な暗号化プロセスと巧みに設計された支払/復号のウェブサイトにおいて他から際立っています。さらにアルゴリズムで暗号化した実行可能ファイルにおいて、元の拡張子を取り除いたり新しい拡張子を加えたりしていないのも他と異なる点です。感染した被害者ユーザーにはそれぞれ、 Spora.bzのウェブサイトでログインするためのID番号が付けられています。おそらくハッカーたちは、より型破りな支払/復号用ドメインの構築が要求額を受け取るチャンスをより大きくするだろうと考えたのでしょう。ログインの欄に入力するID番号があなたの感染の情報を自動的に読み取ります。最も重要なのは暗号化されたファイルの数です。詳細については記事を続けてお読みください。
Spora ウイルスとその特異性に関する役立つ情報
サイバー感染に関する記事の発信における長年の経験の中で、私たちは多くの感染と直面しきました。今日では、誰もがオープンソースのコードを使用して単純なランサムウェア感染を構築することができます。しかし時には、熱心なプログラマーがその複雑さのために見るのが辛いほどの傑作を生み出すことがあります。Spora ランサムウェアは間違いなく爆薬をもたらす感染のひとつで、治療法を見つけるためにセキュリティ研究者が効率的に対処しなければならないことを示しています。この感染はEメールのメッセージで広がっており、起動するとSporaのプロセスを実行するファイルが追加されます。驚くべきことに、ランサムウェアは多くのファイルに狙いを差がめているわけではなく、どのコンピュータにも存在する最も一般的なファイルの種類に固執しています。確かに、よく使われているファイルがすでにデバイスに存在しているのに何百もの種類のファイルをターゲットにする必要があるでしょうかSpora ウイルスは、Wordのドキュメント、PDFファイル、ZIPファイル、RARファイルなどに影響を与えようとします。.KEY ファイルは非常に複雑な暗号化プロセスを実装します。その詳細はここでは触れません。とはいえ、セキュリティ研究者たちに無料のデスクリプタを作り出すチャンスを持たせないよう、このプロセスで暗号化にRSAとAESアルゴリズムの組み合わせが使われていることは述べておきたいと思います。Spora ウイルスはまた、すべてのシャドー・ボリューム・コピーを破壊してファイル復元の可能性を低減させることに徹底しています。
ランサムウェアは3つの実行可能ファイルで動作することが分かっています。まずは起動後、おそらくTEMPフォルダ(一時フォルダ)内に「close.js」ファイルを置きます。その後このファイルはさらなる実行可能ファイルによって結合され、正常な暗号化処理を担います。決まったタイトルはなく、個々の犠牲者ユーザーに対して異なって作成されます。Spora ウイルスに割り当てられる3つ目のファイルは、「ファイルのフォーマットがファイル拡張子と一致しないのでWordが開かれない。」という内容のメッセージをもたらす.docxタイプの実行可能ファイルです。
私たちは既に、Spora ウイルスの支払/復号ウェブサイトが他と少し異なることを述べました。感染した犠牲者ユーザーは、ウェブサイトの完全版にアクセスするためにID番号を入力する必要があります。つまりSporaに妥協しないとそのパーティの会場には招待されないということです。しかしIDの組み合わせを入力するだけではまだ不十分で、.KEY ファイルをウェブサイトに追加する必要があります。そうして初めてウェブサイトは暗号化されたファイルの数に応じてデスクリプタの金額を割り出します。ファイルの解読とシステムの完全な復元を提供することに加え、ハッカーたちはこの機会から可能な限りの資金を絞り出そうとします。犠牲者ユーザーには、これらの凶悪なプログラマーがこれから作成するであろうランサムウェア感染への免疫が提供されます。これは彼らが今後さらなるランサムウェアウイルスを世に送り出すことを示しています。下の画像にて、悪質なメッセージ(英語原文)の例を参照できます。
解読のための複雑な戦略: Spora ウイルスを打ち負かすチャンスはあるのか?
Spora ウイルスが被害者ユーザーのファイルを暗号化するのに使っている方法を知った上で、すぐにファイル復号ツールがリリースされるかどうかを判断するのは困難です。このような複雑なサンプルは、リリースされるデスクリプタのためにより多くの分析を要します。今アドバイスできることは、とにかく落ち着いて合理的な決断力を保つことです。騙されてハッカーにデスクリプタ代金を支払わないようにしましょう。ただし、2つのファイルは無料の復号が提供されているので、この機会は利用すべきです。これはセキュリティ研究者が無料ツールを作成する手助けになります。このウイルスは現在のところ主にロシア語を話すユーザーをターゲットにしていますが、チャンスがあればすぐに他のグループにも食いつく様が予想できます。万が一を考えてのアドバイスとして、ランサムウェアに対する免疫となる最も役立つ手段が2つあります。大切なファイルをバックアップストレージに保存する、または他の安全なロケーションに保管しておくことが重要です。もしも感染したとしても、これらの場所から取り戻すことができるのでファイルの復号について心配する必要はありません。
Spora ウイルスがコンピュータデバイスに到達するために活用する戦術
Spora ランサムウェアのクリエイターは、感染性の添付ファイルを伴ったEメールを不特定多数の人々に送信します。添付されたファイルを実行すると、それだけでウイルスの不正な作業を受け入れてしまうことになります。なので受信箱にはいつでも迷惑メールがない状態に保っておきましょう。とはいえ、信頼できるメッセージと単なる詐欺のメッセージとの間に線引きするのは時として難しいこともあります。見知らぬ差出人からのメッセージは開かないことが奨励されます。添付ファイルは、開いて安全だと確証がない限りは開いてはいけません。
Spora ウイルスはシャドー・ボリューム・コピーを削除したり、他のトリックを使ってファイルの復元を難しくするので、この分野で私たちが提供できる術はほとんどありません。しかしランサムウェアはできるだけ早くシステムから取り除く必要があります。Reimage、 Spyhunter、または Malwarebytes などのツールがこのプロセスで大いに役立ちます。
2017年1月24日 <新情報> 予想していた通り、このランサムウェア感染が最初のターゲットからまた別の地域の人々をターゲットにするまであまり時間はかからなかったようです。最初はロシアの人々が悪質なスパムメッセージの主な受信者でした。今ではさまざまな国の人々がSporaウイルスの犠牲者になる可能性があります。Sporaは、Cerber やLockyのような巨大なランサムウェアを拡散したサーバーによっても伝達されていることがわかっています。これは大参事になり兼ねません。ターゲットとしてどの国々が加えられるかはまだ分かていないため、くれぐれも注意するよう心がけてください。
2017年2月6日 <新情報> セキュリティ研究者たちは、Spora ウイルスが分布のために新しい戦略を組み込んだことに気づきました。なんと現在Google Chromeにて、ユーザーがブラウザのアップデートをリクエストした場合に拡散される可能性があります。EITest Chrome Font Updateというウインドウがおそらく紹介されるかと思いますが、ユーザーはこれをインストールすることに同意するべきではありません。
2017年3月20日 <新情報> セキュリティ研究者の分析のおかげで、Spora 感染を識別するのがより簡単になりました。さらにTorifyme.comという新しいウェブサイトがこの亜種によって組み込まれたようですのでご注意ください。
Spora Uirusu quicklinks
- Automatic Malware removal tools
- システム復元を使ってSpora ウイルス を取り除く方法は?
- 2. Spora ウイルスを完全に削除する
- 3. ボリューム・シャドー・コピーを使ってSpora ウイルス に感染したファイルを復元する
Automatic Malware removal tools
(Win)
Note: Spyhunter trial provides detection of parasites and assists in their removal for free. limited trial available, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: Combo Cleaner trial provides detection of parasites and assists in their removal for free. limited trial available,
システム復元を使ってSpora ウイルス を取り除く方法は?
1. [セーフモードとコマンドプロンプト]でコンピュータを再起動する
Windows 7 / Vista/ XPの場合
- [スタート] → [シャットダウン] → [再起動] → [OK]
- [詳細ブートオプション]画面が現れるまでF8 キーを何度か押します。
- [セーフモードとコマンドプロンプト]を選択します。
Windows 8 / 10の場合
- Windows ログイン画面で[電源]ボタンを押します。それから[Shift]キーを押しながら[再起動]をクリックします。
- [トラブルシュート] → [詳細オプション] → [起動設定]を選択し、[再起動]をクリックします。
- 読み込んだら、起動設定のリストから[セーフモードとコマンドプロンプトを有効にする]を選択します。
システムのファイルや設定を復元する
- [コマンドプロンプト]モードが読み込まれたら、cd restore を入力して[Enter]を押します。
- それからrstrui.exe を入力して再度[Enter]を押します。
- 現れた画面上で[次へ]をクリックします。
- Spora ransomware がシステムに侵入する前に使用可能である復元ポイントをひとつ選び[次へ]をクリックします。
- [はい]をクリックしてシステムの復元を開始します。
2. Spora ウイルスを完全に削除する
システムの復元後は Reimage Spyhunter のようなマルウェア対策プログラムを使ってコンピュータをスキャンし、Spora ransomwareに関連する全ての不正ファイルを取り除くことが推奨されます。
3. ボリューム・シャドー・コピーを使ってSpora ウイルス に感染したファイルを復元する
お使いのオペレーションシステムにおいてシステムの復元を使わないのであれば、ボリューム・シャドー・コピーのスナップショット機能を使うことができるかもしれません。システム復元スナップショットが作成された地点のファイルのコピーを保管するのです。通常、Spora ransomwareはボリューム・シャドー・コピーの可能な限り全てを削除しようとします。なのでこの方法は全コンピュータで機能するとはいえませんが、できる場合もあります。
ボリューム・シャドー・コピーは、Windows XP サービスパック2、Windows Vista、Windows 7、Windows 8でのみ利用可能です。ボリューム・シャドー・コピーを介してファイルを再獲得する方法は2通りあります。ネイティブWindows 以前のバージョンを使って、またはシャドーエクスプローラを介して行うことができます。
a) ネイティブWindows 以前のバージョン暗号化されたファイル上で右クリックをし[プロパティ]から[以前のバージョン]タブを選択します。その特定のファイルの前コピーとそれがボリューム・シャドー・コピーに保管された日付が見られるはずです。再獲得したいファイルを選び、自分のディレクトリに保存したいなら[コピー]をクリック、または既存する暗号化されたファイルに上書きしたいなら[復元]をクリックします。ファイルの内容を確認したい場合は[開く]をクリックしてください。
オンラインで無料で見つけられるプログラムです。シャドーエクスプローラの完全版またはポータブル版のどちらかでダウンロードできます。Iプログラムを開きます。左上端で探しているファイルが保管されているドライブを選択してください。そのドライブ上にある前フォルダを確認できます。フォルダ全体を再獲得するには、そのフォルダの上で右クリックをして[エクスポート]を選択します。それから保管したい場所を選択してください。
注意: 多くの場合において、最近のランサムウェアによって感染したデータファイルを復元するのは不可能です。したがって用心のために、きちんとしたクラウドバックアップソフトウェアを使用することを推奨します。私たちが推奨しているのは、Carbonite、BackBlaze、CrashPlan、Mozy Homeです。ぜひチェックしてみてください。