【小ネタ】ランサムウェアに襲われてみた話

まあ、タイトル通りです。

ちょっと「どうしても削除できないソフトウェアが Windows 10 Pro環境に居残ってしまった(まあ、BlackBerry 10 OS用の BlackBerry Link、および BlackBerry Device Managerなどですが)」ので、それを削除するためにもちょっと危ないソフトウェアに手を出さざるを得ず.....。

※BlackBerry 10 OSの頃とか、本当にソフトウェアの
　セキュリティが強固すぎて、レジストリ内なりサービスが
　どこでどの様に設定されているのか？、総当り検索しないと
　削除しきれない程ガチにきついので。(^^;)

そういうちょっと危ないソフトウェアを使うときってやむを得ずウイルスチェックプログラムのリアルタイムスキャンとか止めちゃうんですよね。
そうしないと「手動での強制削除までブロックされちゃう」ので。

で、やっぱり入ってましたよ、ランサムウェアが(笑)。
結果から言うと「被害なし」だったんですが。

※この辺りは経験と「PC(なりサーバーOSなど)の挙動を
　どれだけ見慣れているか？」にも夜と個人的に思います。

強烈にガシガシストレージへアクセスしてるので「こりゃちょっとおかしいなあ？」と思いつつも途中でウイルスチェックプログラムを有効にしたらブロックの嵐。
おお、こりゃあ本格的に来てるやつだな、と。

※まあトロイ(トロイの木馬などのワーム)
　くらいだったら手で削除するのも出来ない
　わけじゃないです。
　(時間掛かるのでやりたくないだけです)

で、早速裏で動いてるプロセス、サービスを強制切断・停止してディレクトリ内部状況を総なめしたところ、先に「おまえの PC内データ、全部暗号化したから(pgr)」のテキストを書くディレクトリに配布してる最中でした。

ランサムウェアもこのディレクトリ内ファイルコピー中に「どのファイルを暗号化すれば被害甚大か？」というのを分析してるんですけど、今回は「ファイルがないディレクトリまで暗号化しようとしていた」ので、ちょっと物足りないです。

※ランサムウェアに「物足りない」とか言い出す時点で
　既に色々おかしいと思いますが、職業柄なので
　気にしないでください。
　結構そういうところ麻痺してたりします(笑)。

ひとまずワームなどをブロックしまくって、先程まで動作していたものの配置場所を確認。
さっさとファイルを削除していって、次にレジストリ内部を総なめ(ワームがキックする先の暗号化プログラムなどのファイル名)していきました。
うじゃうじゃ書いてますね、レジストリに(笑)。

※この時点で消したかったソフトウェアも一緒に
　レジストリ削除していきました。
　結構面倒でしたけど。(項目多すぎるんだよ、BlackBerryさん！！)

で、レジストリ整理なりファイル削除を完了してから数回再起動して「余計なプロセスが上がってこないこと」を確認しました。

まあ、こう言うのは「どれだけ早く自分が来づけるか？」でなんとか防御できる否かの瀬戸際だったりするんですよねえ。意外と慣れが必要だったりします。

ちなみに何で暗号化されずに救えたのか？というと、以下の理由があります。
１．使ってる環境が HDD起動の環境。
→しかも HDD使用率、既に 75％を超えてるのでそれなりにディスクとしては重い状態。

２．Microsoft Defenderに切り替えた。
→Microsoft Defenderってランサムウェア対策機能があるのを知って Aviraから
　１台だけ切り替えました。
　今回はその「切り替えた１台で遭遇」したわけです。

昨今の PCは SSD化が進んでいますけど、SSDの場合は襲われるの早いので、ランサムウェア対策は重要です。

で、肝心な BlackBerry 10 Desktop Softwareやらのタグ位はどうやって消したのかって？。
地道に手で消しましたよ＜ほら、ツール使う意味なかったじゃん(笑)。

今回のランサムウェアが警告として各ディレクトリに置いていた脅迫文を掲載。
細かなところは全て伏せ字にしてあります。
各ディレクトリにこれをばらまこうと思ったら、確かに若干時間は必要ですね。
つくづく「HDD環境で使ってるのはある意味安全」と思いました。(笑)
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://xxxxxxxx.xxxxxxxx
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
xxxxxxxx@xxxxxxxx.xxxx

Reserve e-mail address to contact us:
xxxxxxxx@xxxxxxxx.xxxx

Your personal ID:
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

★更に続報★

もうランサムウェアの被害は解決したと思っていた皆さん、残念でした。(涙)
調べてみたら「ネットワークドライブのルートディレクトリに置いてあったファイル」から暗号化されてました。ここは笑うところです、はい(^^)。

暗号化されたファイルの拡張子を調べたら「.wiot」となっていたので、再度調べたところ、「Wiot Virus」とか命名されているランサムウェアのようです。
国内ではあまり観測されてないですね。:)

●Wiot Virus Removal Guide (+Decrypt .wiot files)
https://adware.guru/wiot-ransomware-decrypt-files/

●Wiot ransomware (virus) - Bonus: Decryption Steps
https://www.2-spyware.com/remove-wiot-ransomware.html

結論から言うと「別に無くなっても問題ないファイル」だったので、さっくり削除しました。HDDが少しだけ空いたのでギリセーフ(苦笑)

Windows 8.1 ISOが暗号化されてしまったため、それは Microsoftから持ってきました。

ということで、昨今のランサムウェア対策は以下も追加しておいたほうが良いかもしれません。

●ファイルなどはディスクのルートディレクトリに置かない。
→真っ先にランサムウェアで暗号化の餌食になります。ディレクトリ総なめしていきますので、
　なるべく深いディレクトリへ移動しておくのが良いかもしれないです。

●Windows環境であれば「システムファイルを保護する」ツールを使用する。
→Microsoft Defenderのランサムウェア対策機能で十分です。

●毀損などで影響あるファイルは「オフラインで定期的にバックアップ」し、隔地保管に近い形で保存(要は常時切り離し)する。
→クラウドストレージにつながっていても、昨今はそちらを暗号化するようです。

★暗号化され、オフライン暗号キーがない場合は復号化出来ないので、『さっくりと諦めて暗号化ファイルは捨てる』こと。
→ここ、重要です。金払って云々なんてのは無駄です。(下手すりゃ暗号キー渡されずに金だけぶん取られるので)

まあ、皆様もお気をつけください(^^)