世の中色々と悪巧みを企む輩はいるようで、表題にあるHELP_DCRYPTに引っかかりました。
これはJPEGやExcel、word、MP4などを暗号化し見せられないようにする、つまり各種ファイルを人質として金品を要求する悪質なマルウェアです。脅迫ウィルスとも称されているようですが「暗号を解読して欲しくば身代金を払え。さすれば解読ツールを与えよう。身代金はこのサイトから払え」みたいな英文のメッセージが現れます。テキストだけでなくご丁寧にもhtmlでも表示されます。さらに「ビットコインでよこせ」みたいな。ビットコインの普及によってもこいつらが蔓延る世の中になっているのでしょう。
もっとも今更ビットコインでもなかろうが、ですがね。
そうそう、引っかかったと申し上げても、おいらではありません。とある日持ち込まれたノートパソコンです。
デスクトップには見慣れない「HELP_DECRYPT.TXT」「HELP_DECRYPT.HTML」「HELP_DECRYPT.PNG」「HELP_DECRYPT.URL」の四つのショートカットがあります。
最初、HELP_DECRYPTに関する情報を持っていなかったため、パソコンを起動する度に英文が現れるのを見て「なんじゃいな」てな感じでゆったりと構えてした。持ち主も「何だか分からんで」てな調子。
ひとまず預かって、いつものようにCCleanerで検査。
次にmsconfigやレジストリを弄くり倒します。
とりあえず起動しなくなりましたがピクチャフォルダを見ますと、写真らしきものがphotoviewerなどで見られなくなっております。
コピーしてUbuntuで見ますと「暗号化されているので見られへんや旦那」みたいなメッセージが出ました。
ここでも未だ異変に気がついていないSecondFiddle。
ありゃ? ミュージックフォルダの各種MP3が平建造。
おりょ? word、Excelデータが平建造。
どれもこれもが「暗号化されてまっさ」で平建造。
そこでようやく気がつくSecondFiddle。HELP_DECRYPTをキーワードにネット探索。
すると上記のような驚愕な事実がっ! 進退窮まるSecondFiddle。
そして、読み解くとデスクトップにある戦慄なる四つのショートカットの意味合いが、今ここに現れました。
参考URL
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware-cryptowall.htm
HELP_DECRYPT.TXT ... 暗号化した趣旨と身代金支払い方法が書かれたテキスト文章
HELP_DECRYPT.HTML ... (↑と内容同じ) HTMLファイル
HELP_DECRYPT.PNG ... (↑と内容同じ) PNG画像ファイル
HELP_DECRYPT.URL ... 身代金支払いページが開くショートカット
「平次親分、てぇへんだてぇへんだ」
「どうした、ガラッ八」
「神田界隈の全世帯のパソコンに身代金要求のメッセージが出たんでやんす」
「何、本当か」
銭形平次もおちおち寝てもいられないってぇわけでして。百戦錬磨のおいらとしてもこんなのがあるなんて気がつきませんでした。
しかしまあ、ユーザーのお宝データを暗号化して身代金を要求するッたあ、かなりの使い手。てかそんな事を考えるならもっと他に有用なこともありましょうに。
で、どんなにしても解読不能です。チクショ〜
参考URLから抜粋しますと
「暗号化の解除に必要な鍵データが攻撃者のサーバー上に保管されてるため、残念ながら現時点では要求に屈して身代金の支払いに応じる以外にファイルを元に戻す復元は困難な状況です」
解除に必要な鍵が相手にある以上、手出しが出来ません。バイナリで弄くればどうにかなるというものでも無さそうですし、今回のSecondFiddleは全くの手上げ。
仕方なく初期化しました。しかし初期化しても暗号化されたデータ群は元に戻りません。
では、防ぐ手立てはないのか?
参考URLにもありますように(Webより抜粋)
Java を更新することなく旧バージョンのまま放置してる
Adobe Reader 〃
Flash Player 〃
Windows Update が行われてない
これらが危ない。
逆に言うと、これらを守っていれば、入り込む余地はかなり少なくなると言えましょう。あるいはMAC、Linux、その他Windows以外のOSを使えばよろしかろうッてなことでしょうか。
日々勉強ですなあ。
