とある企業で、いきなりファイルが暗号化されました。Locky に似た新たなランサムウェア「Zepto」です。 ランサムウェアはWindowsの文書画像ファイルを暗号化し、身代金要求するウィルス(マルウェアともいいます)です。近年、爆発的に増大し日本でも、企業・個人問わず感染しています。(当社ではありません

身代金(3万~5万)程度を支払うと、ファイルは元にもどるのですが、もどらない場合もかなりあります。また、一度支払いを行うとセキュリティ対策が甘い企業・個人としてマークされます。

ウィルス対策していてもダメです。
基本的に、メールに添付されてくるのはウィルス対策をすり抜けるようなファイル形式になっていて、安易にそれをクリックするとネット上から本体がダウンロードされ勝手に実行されてしまいます。

また、メールではなく、特定のサイトを見た時に自動実行されることもあります。

(TOP画像はトレンドマイクロ、2016年上半期 セキュリティラウンドアップに掲載されていたPDFより) 

zeptoウィルスにかかると

zeptoウィルスにかかると、添付の様にオフィス文章が暗号化されます。
image166

暗号化されるのはワード、エクセル、パワーポイント、PDF、テキスト、音楽や動画・・・と、ほとんどすべてのファイルを暗号化します。

今回はzeptoウィルスなので、ファイル名の最後が「.zepto」になります。他の同様な「身代金要求タイプ」のものも、同じで、ファイル名の最後が各ウィルスによってちがいます。

ファイルを暗号化したところに、htmlファイルがあります。(ブラウザで開ける形)。
開くと下記のようなメッセージが表示されます。

image167

トレンドマイクロから、旧型のものであれば、暗号化されたファイルを元に戻すツールが提供されているのですが、残念ながら今回のzeptoには対応していません。

ですので、暗号化されたファイルをそのままもとに戻すことはほぼできません(専門業者で高額な費用を支払うか・・・)

zeptoウィルスにかかってしまったら


1.Windowsをセーフモード で再起動します。
参照Win7:http://esupport.trendmicro.com/solution/ja-jp/1309997.aspx
参照Win10:http://www.japan-secure.com/entry/how_to_start_windows_10_in_safe_mode.html

2.レジストリ検索
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
の中から、該当の項目名・データを削除します。(C:\Users\[ユーサ゛ー名]\AppData\Local\Temp\svchost.exe)
Windowsレジストリについては、自分で検索でき、編集能力のある人のみ実施してください。
ですので、起動方法などについては、当ページでの案内は割愛させていただきます。

3.C:\Users\[ユーサ゛ー名]\AppData\Local\Temp\ 内の対象ファイル削除
C:\Users\[ユーサ゛ー名]\AppData\Local\Temp\svchost.exe
C:\Users\[ユーサ゛ー名]\AppData\Local\Temp\適当な長さの英数.exe
C:\Users\[ユーサ゛ー名]\AppData\Local\Temp\適当な長さの英数.dll

Windows の隠しファイルや隠しフォルダーを表示する方法 (Microsoft サポート)
https://support.microsoft.com/ja-jp/kb/2453311

4.ウィルススキャン

下記はいずれも、動作確認済みの「問題のない」ツールです。
3でもそうですが、海外製の変なツールをダウンロードして稼働させないようにしてください。適当なファイルをウィルスだと言ったり、駆除は有料版でという表示がでて終了する場合があったり、あらたなウィルスをダウンロードさせたりする危険性があります。

トレンドマイクロ オンラインスキャン
Kaspersky Lab社(カスペルスキー)ウイルス駆除ツール
Microsoft Safety Scanner

5.修 復
Windowsのシャドウコピーが有効になっていれば、感染前の状態におおよそ戻ります。

zeptoウィルスにかからないために

1.全社員にセキュリティ教育と行動の徹底をさせる
これが、一番重要です。
いくらウィルス対策をしていても「新種」には通用しません。

最重要ポイントは2点ですので、是非、徹底してください。

* メール添付のファイルは安易に開かない
確実に大丈夫だと確信の持てる添付ファイルのみを開くようにしてください。
特に、外部(郵政省)や銀行、または公的機関を語り、いきなり添付ファイルが来たら、絶対にあけないようにします。

* 業務に関係ないウェブサイトを閲覧しない
残業中の社員が、勝手にアダルトサイトを見ている事例もかなりあります。
ロックをかけるか、記録をとるようにして、記録していることを社員に伝えます。

2.ファイルのバックアップを取得しておく
重要なファイルは3重にバックアップを取得しておきます。
また、GoogleDriveやDropBoxなど、履歴ファイルを残せる環境にファイルを置いておくのもお勧めです。

3.ファイルの拡張子を表示するようにしておく。
どのようなファイルの種類か、わかるようにしておきます。

どこかのフォルダを開き、「整理」->「フォルダーと検索のオプション」->[表示]
下から3つ目の「登録されている拡張子は表示しない」のチェックを外しておきます。
image168

image169

4.JSという拡張子をメモ帳で開くようにする。
1)メモ帳でA.TXTなどわかりやすい名前でファイルを作成します。
2)このファイル名をA.jsと変更します。
image172
3)右ボタンでクリックしてプログラムから開くを選択し、メモ帳で開くように設定しておきます。
image173

image174
5.常日頃の対策

Microsoft Outlook でセキュリティを強化したい場合は「迷惑メールフィルター」を設定します。

1.WindowsUpdateをきちんと実行しておく
2.Javaのアップデートをきちんと実行しておく
3.PDFを含めAdobeのアップデートをきちんとしておく。
4.ウイルス対策ソフトを必ず導入し、アップデートが昼間PC起動時間に稼働するようにしておく。

以上です。