ランサムウェアに要注意！

久しぶりの投稿です。（何せ、「貧乏暇なし」なもんで．．．）

本日訪問した客先のPCが、「暗号化型ランサムウェア」というウイルスに感染していました。
これに感染すると、PC内のすべてのデータが暗号化されてしまい、開かなくなります。
そしてPC起動時に、「暗号化を解除してほしければ、金を払え」というような英語（日本語の場合もあるみたい）のメッセージ文がたくさん表示されます。

残念ながら、この暗号を解除する手段は現状では、「身代金」を支払うしかないそうです。
しかし仮に支払ったとしても、解除してくれるかどうかは疑問ですが。

本日まずこのPCを確認したところ、やはりどのファイルも開かず、WEBの閲覧も正常にできない状態で、スタートアップを調べようとMSCONFIGを起動しようとしても立ち上がりません。
しかたなく、Safe Modeで起動しMSCONFIGを開いたら、スタートアップに10個くらい不正な設定がありました。
それらの設定を無効にし、再起動するとまた「身代金要求画面」が複数出てきます。
起動時にウイルスが実行され、またスタートアップに設定されるようです。

このPCはWindows XPで、ウイルス対策ソフトも入っていません。
ネットでオンライン・ウイルスチェックをしようとしましたが、そのサイトに移動できませんでした。
幸い別のユーザーIDが作れたので、テスト用に作成し、そちらに切り替えました。
そちらでも最初に身代金要求画面が出ましたが、WEB閲覧は正常にできたので、トレンドマイクロのオンライン・チェックを実行しました。
しかし、ウイルスは検出されませんでした。（どうなってんの？）

テスト用IDの方で再度MSCONFIGで不正なスタートアップを削除し、再起動し、テスト用IDでログインすると、身代金要求画面は出なくなりました。
しかし、再起動し、元のユーザーIDでログインするとまた出てきて、その後テスト用IDでログインすると出てきます。
タスク設定は全て削除したし、レジストリのRunにも何もありません。
どうやら、元のIDでログインした時に全てのIDのスタートアップに不正な設定を施すようです。

どうせデータは全部パーなので、HDDを初期化し、Windowsを再セットアップした方が確実にウイルスを消せるのですが、時間がないので、新しいIDの方に切り替えることにしました。
メールデータ、アドレス帳、お気に入りなどを新しいIDの方に移行し、元のIDを削除しました。
新IDの方で再度スタートアップを修正し、再起動をしましたが、身代金要求画面は2度と出ませんでした。

このランサムウェアには複数の亜種があり、最近全世界で急速に感染拡大しているそうです。
Windows XPだけではなく、最新のOSでも感染しているそうです。
感染経路とされているのは、やはり、メールの場合が多いそうですが、感染したWEBサイトを閲覧した場合もあるそうです。

感染を防ぐ方法としては、OSをWindows 7以上にし、Flash PlayerやAdobe関係のソフトを最新にし、Windowsのセキュリティ更新も最新にし、当然ですが、ウイルス対策ソフトを入れ、それも最新に更新しておくことですが、如何わしいサイトを見ないことも重要です。

どうぞご注意ください。