Trojan.Cryptowallに感染

20140921知人の端末(Windows7)がTrojan.Cryptowallに感染しました。 Excelなど開けなくなったと連絡があり対応を試みました。

感染まで(知人から聞いた範囲で)

感染元はスパムメール。e-faxの送信レポート風でした。 知人は普段からe-faxを利用しており送信レポートが届くので、多少フォーマットが違うメールでも何気なくZIPファイルをダブルクリックしたらしいです。 ダブルクリック直後は何も起きず、感染に気付かなかったが、ESET NOD32からのアラートで異常事態に気付いたらしいです。 いくつかのフォルダのExcelやJPEGの日付が更新されていて、ファイルが開けなくなったところで、私に相談がありました。

調べたこと

ESET NOD32のログから、Trojan.Cryptowallっぽい事がわかりました。「DECRYPT_INSTRUCTION」というファイルがESET NOD32によって隔離されていました。 身代金要求型マルウェア(ランサムウェア)というらしいです。 勝手にファイルを暗号化してしまい、回復したければBitcoinを払いなさい、という動作だそうです。 Symantecのサイトには「危険度1: ほとんど影響なし」とあるが、感染して暗号化されたファイルの復元方法は掲載されていませんでした。 「CryptoWall & DECRYPT_INSTRUCTION 身代金要求ソフト インフォメーションガイドとFAQ」というPDFを参考に対応しました。

対応したこと

暗号化されたファイルを復号化するのは無理そうなので諦めました。 そうかといって、Bitcoinを送金したところで復号が保証される訳でもないと判断。 対応するには、 1. バックアップ 2. ファイルリカバリソフトウェア 3. シャドー・ボリューム・コピー とありますが、知人はバックアップを取っていませんでした。 このウイルスは、暗号化後にオリジナルファイルを削除するらしく、ゴミ箱からの復元ツールを利用してみました。 復旧までに、いろいろ操作をしていたので壊れたファイルが多かったですが、いくつかは復元できました。 この手のウイルスに感染した場合、 ・すぐにネットワークから外すこと ・ウイルススキャンと駆除を行う ・余計なファイル操作をせず、ゴミ箱の復元ツールを試すこと また感染の予防策は月並みですが、 ・ウイルス対応ソフトを入れておくこと ・スパムメールの添付ファイルは触らないこと ・定期的に別ドライブにファイルをバックアップさせること 今回の反省を活かし、Windows8のファイル履歴を設定してみました。 (知人は、新たにWindows8端末を購入しました。。。) その他、定期的にクラウドドライブにバックアップさせる仕組みを検討してみようと思います。

その他メモ

ちなみに、Trojan.Cryptowallの対策を探している際、怪しげなサイトがありました。 http://www.remove-pcvirus.com/jp/delete-cryptowall/ 一見、適切なサイトに見えるのだが日本語がおかしい。 対応ツールのダウンロードボタンも「ダウンロードの削除ツール」と表記され、なにやら怪しいです。 このサイトが該当するか不明ですが、ウイルス対策を語るフィッシングサイトもあるようです。 普段はMacを使っているのでウイルスの意識は低かったが、気持ちを改めることにしました。