現在Lockyウイルスというランサムウェアに感染するスパムメールが世界中に配布されています。
ランサムウェアというと少し前の記事にも書きましたが「vvvウイルス」が記憶に新しいですが、この新しいLockyウイルスに感染してファイルが暗号化されてしまうと現段階では復号化の方法がありません。
スパムメールに添付されているWord文書(doc)ファイルをプレビューしただけで感染してしまうので、outlook等のメーラを利用している方はすぐにプレビュー機能をオフにすることをおすすめします。
感染すると
感染すると、ファイル名がすべて「F67091F1D24A922B1A7FC27E19A9D9BC.locky」のようなものになり、デスクトップの壁紙が黒背景の赤文字で『すべてのファイルは、RSA-2048およびAES-128暗号で暗号化されています。~~』等と書かれたものに変更されてしまいますが、変更されずにファイルが暗号化するだけの事例も報告があります。
おおよそ、暗号化されたファイルを復号化するためにお金を払えだのよくわからないソフトを購入しろだのといった内容が書いてありますが、絶対に無視してください。
また現在ネットで「Locky 復号化」等のキーワードで検索して出てくる「復号化」を謳うページはほぼインチキ(よく読むと日本語がおかしいのですぐわかると思います)ですので、そのページに書いてあるソフトウェアをインストールする等の行為は控えてください。
そして厄介な事に感染したマシン上のシャドウボリュームをすべて削除してしまうので、システムの復元もできません。
暗号化されるファイル一覧
.m4u | .m3u | .mid | .wma | .flv | .3g2 | .mkv | .3gp | .mp4 | .mov | .avi | .asf | .mpeg | .vob | .mpg | .wmv | .fla | .swf | .wav | .mp3 | .qcow2 | .vdi | .vmdk | .vmx | .gpg | .aes | .ARC | .PAQ | .tar.bz2 | .tbk | .bak | .tar | .tgz | .gz | .7z | .rar | .zip | .djv | .djvu | .svg | .bmp | .png | .gif | .raw | .cgm | .jpeg | .jpg | .tif | .tiff | .NEF | .psd | .cmd | .bat | .sh | .class | .jar | .java | .rb | .asp | .cs | .brd | .sch | .dch | .dip | .pl | .vbs | .vb | .js | .asm | .pas | .cpp | .php | .ldf | .mdf | .ibd | .MYI | .MYD | .frm | .odb | .dbf | .db | .mdb | .sql | .SQLITEDB | .SQLITE3 | .asc | .lay6 | .lay | .ms11 | .ms11 | .sldm | .sldx | .ppsm | .ppsx | .ppam | .docb | .mml | .sxm | .otg | .odg | .uop | .potx | .potm | .pptx | .pptm | .std | .sxd | .pot | .pps | .sti | .sxi | .otp | .odp | .wb2 | .123 | .wks | .wk1 | .xltx | .xltm | .xlsx | .xlsm | .xlsb | .slk | .xlw | .xlt | .xlm | .xlc | .dif | .stc | .sxc | .ots | .ods | .hwp | .602 | .dotm | .dotx | .docm | .docx | .DOT | .3dm | .max | .3ds | .xml | .txt | .CSV | .uot | .RTF | .pdf | .XLS | .PPT | .stw | .sxw | .ott | .odt | .DOC | .pem | .p12 | .csr | .crt | .key
感染しないために
現段階では有効な復号化の手立てがない以上は自衛するしかありません。
セキュリティソフトの定義ファイルを最新のものしておくことはもちろん、不明な添付ファイルは開かない(プレビューもしない)、怪しいサイトは見ない(見るだけで感染するケースもあります)、OSやソフトウェア(Java、Adobe Flash Player、Adobe Reader)をアップデートして脆弱性を解消しておくことが重要です。
コメント
コメント一覧 (2件)
初めまして。検索ワードからこのページにたどり着きました。
知り合いがこのウィルスにかかってしまって対処を依頼されております。
現時点で暗号化を解除する方法はないようですが、
・ 復元ポイント
・ ファイルを以前のバージョンに戻す
等でもファイルの復旧は難しいのでしょうか?
また、レジストリの削除やウィルス対策ソフトで駆除できれば問題ないのか、
もうOSの再インストールしか方法はないのでしょうか?
質問ばかりで申し訳ないですが、ご回答頂ければ幸いです。
こつか さん
私も試してみたのですが、暗号化されたあとご丁寧にシャドウコピーを削除されてしまうので復元することも出来ません。
Lockyウイルス自体を駆除してしまえば問題ないですが(今のところ再び悪さをしたという報告はうけておりません)、ご心配であれば再インストールされた方がいいかと思います。