この数週間、我々はヨーロッパ全域でランサムウェアが横行するのをモニタリングしてきた。地元警察からのものとおぼしきメッセージが表示され、コンピュータをアンロックするには罰金を払わなければならないと要求するものだ。先月は、フィンランド語の亜種についてお知らせしている。我々の統計を見る限り、攻撃者達は現在もまだ非常に活発な動きを見せている。

Police warning

  このメッセージが偽だと気づけるだけの知識があっても、ユーザのハードドライブに不快な素材があるという同マルウェアの告発が萎縮効果を生みだし、外部の助けを求めようとしない人が出る可能性がある。

  以下は、最近の亜種を用いて今日、我々がとったスクリーンショットだ:

Poliisi

  コンピュータをアンロックするには、ユーザは地元のコンビニエンスストア・チェーン(フィンランドではR-Kioskiだ)でPaysafecardを100ユーロ分購入するよう求められる。このテクニックは効果的だ。WebmoneyやeGoldといったオンラインペイメントサービスを使用することができない可能性のある、技術的なことに疎い人々でも、支払いを行うために近所のストアには歩いていけるだろうからだ。

  このケースで、スクリーンショットに表示されている「talletus@cybercrime.gov」というメールアドレスは、攻撃者に属するものではない。「cybercrime.gov」というドメインは有効で、米司法省に属している。

  この亜種(SHA1: e6e330614c46939b144cff9bd627ba098dce9873)では、手動で停止させる最も容易な方法は以下の通りだ:

1 – 「Ctrl-O」(大文字のOで、数字の0ではない)を押す。
2 – 「Browse」を選択し、「c:\windows\system32」へ行き「cmd.exe」を開く。
3 – 新たに開いたウィンドウに「explorer.exe」とタイプする。すると、デスクトップを再び使う事ができるはずだ。
4 – 「Startup」フォルダをブラウズする。パスは言語設定およびWindowsのバージョンにより異なる。以下のスクリーンショットでは、英語版Windows XPでのパスが示されている。このパスで「Administrator」を自分のユーザ名で置き換える必要もある(既にAdministratorを使っているのでなければだが、それには触れないでおこう…)。

Startup

5 – 見覚えのないエントリは全て削除しよう。悪意あるエントリの名は、スクリーンショットで示されているものとは違うかもしれない。自信がなければ、全てのエントリを削除することもできるが、他の有効なアプリケーションが自動的に開始されなくなるリスクがある。
6 – コンピュータを再起動する。

  この後、脅威は停止されるが、悪意あるファイルはまだコンピュータ上にある。アンチウイルス製品でコンピュータをスキャンすることを強くお勧めする。

  ステップは亜種によって若干、異なるかもしれない。CERT-FIが別の亜種を少々異なるステップで削除するインストラクションを掲載しており、Microsoftも彼らの説明に情報を掲載している。

4月5日の追記:我々の「Trojan:W32/Reveton」に関する説明に、削除のインストラクションがある。

—————

Security Response Post by — Antti and Karmina