システム屋さんの忘備録

訪問ありがとうございます。システム屋と経営者・ユーザーとのやりとり、社内SE・システム管理者向け情報、生まれ育った京阪神の情報ブログです。このページへは「システム屋さん」で検索。

ランサムウエア「Fantom」

感染すれば、ファイルを暗号化したりPCをロックしたりして操作不能にし、身代金を要求するランサムウエアの一種でWindows Updateのふりをするタイプが発見されました。このタイプはWindows UpdateのWindowsの重要なアップデートのように見せかけたポップアップを表示しその裏ではファイルを暗号化する「Fantom」と呼ばれているランサムウエアです。

感染を待つ

最近の感染経路は従来の不審なWEB、メール等に加えてFacebook、Twitter や他のソーシャル メディアの投稿のリンクをクリックして感染します。この「Fantom」は先週発見されたので感染拡大はしていないと思われますが、今のところ修復するにはクリーンインストールしか無さそうです。右側のリンクにあります「ウイルス駆除ツール2(無料)」が対応するまで数日がかかるかもしれません。

Windows 10では同じPCでのクリーンインストールが容易になりプロダクトキーが無くてもインストールできます。メール、アプリ、個人ファイルなどもクラウドで管理していれば復旧は容易です。クラウド環境ではOne drive、Google driveなどが関連アプリも充実しています。

ウイルス駆除 (削除) ツール

ユーザーからの急な電話やメールで「ウイルスに感染した」との連絡を受けることがあります。ユーザー自身が気づいているので感染症状がひどいのでしょう。画面を見ると「Disk Antivirus Professional」というセキュリティソフトが動作しており入金すれば助かるとの表示がありました。この種の偽セキュリティソフトはあらゆるユーザーの動作をブロックするので感染すると業務の継続はできません。その他に「live security professional」「AVASoft Professional Antivirus」「System Progressive Protection」「Live Security Platinum」「Smart Fortress」「Security Shield」「Security Defender」「System Repair」などがあります。勝手に感染してパソコンを乗っ取りお金を要求するというタイプです。

Disk Antivirus Professional

【削除、駆除方法】
削除、駆除するツールはMicrosoft Safety Scanner(無料)またはWindows Defender Offline(無料)を使います。手動でセーフモードからレジストリを削除する方法もありますが高度ですので初心者には不向きと思います。私たちシステム管理者がレシストリを変更する時はバックアップ、操作記録など社内ルールに縛られ結構やっかいです。次から次へ出現するウイルスの挙動の特定も難かしく変更された属性の復旧やWindows Up Date関連の修復も必要になるタイプもありますので対策ツールの方が簡単です。今回のケースではパソコン操作に制限がありますのでWindows Defender Offlineを使います。Windows Defender Offlineでは感染していない他のパソコンでCD、DVD、USBに駆除ツールを作成して、感染しているパソコンで作成した媒体から起動することでウイルスやマルウエアを駆除します。作成時に最新のウイルス定義をダウンロードするのでなるべく駆除実行直前に作成します。Microsoft Safety Scannerを感染したPCでコピー、実行できれば楽ですが、たちの悪いウイルスではコピーや実行すらできません。また本当に恐いのは「感染したことがわからないウイルス、マルウエア」です。バックグラウンドで動作して色んな情報を作成者の元へ送信しますので気をつけましょう。社内システム管理者としては感染を防げないウイルスもありますのでユーザーには「感染したと思ったらすぐにLANケーブルを抜く」を周知し隔離してから削除します。駆除ツールのできも良くなってきましたので以前のようにHDDなどのフォーマット、OSの再インストールすることが少なくなりました。

【ウイルス削除・駆除ツール】
Windows Defender Offline 【CD、DVD、USBから起動するタイプ】
Microsoft Safety Scanner【ダウンロードなどの操作ができる場合】
使用法などはリンク先ページをご覧ください。
ウイルスによってはマイクロソフトのサイトやマカフィー等のセキュリティ各社へのアクセスをブロック、ファイルの属性をを変更して見えなくしたり、キーロガー等の仕組みを組み込む、Windows UpDateサービスの変更をする事もあります。(この場合はWindows Defender Offlineを使います)
手動でのレジストリ操作での回復は上級者向けです。

【追記】2013/08/15
NORIHIRO 様から実行結果についてコメントを頂きました。
参考になりますのでコメント欄をご覧ください。 


【ツールは下記の様なウイルス・スパイウエアの削除 駆除をします】
live security professional
Antiviral Factory 2013
PC Defender 360
Attentive Antivirus
System Doctor 2014
System Care Antivirus
Disk Antivirus Professional
Smart Security
Multirogue Defender
Disk Antivirus Professional
AVASoft Professional Antivirus
System Progressive Protection
Live Security Platinum
Smart Fortress
Security Shield
Security Defender
System Repair
※一部未確認のものもあります。

Windows8のセキュリティ対策

色々なユーザーのパソコンをメンテナンスしますが、ウイルス対策ソフトは各ユーザーまちまちです。同じ社内でも違うウイルス対策ソフトが動作していたり、購入時付属のソフトと会社指定のウイルス対策ソフトが二重に入っている「強固なセキュリティ??」のパソコンもあります。

Windows8 Pro

Windows8の特長として、ウイルス対策が標準搭載されました。タブレットやスマホとの操作性やセキュリティ対策を統一するようです。Windows8に搭載されているのは「Windows Defender」と呼ばれる機能ですが今まで無料で配布されていた「Microsoft Security Essentials」と機能統合されています。その以前はWindows Live one careとして有料で販売していました。ウイルス定義などは企業向け有料セキュリティ対策「Forefront」と同等ですので無料ですが今のところ安心して使用できます。よく有名セキュリティソフト有料版に比べると劣るような記事を見ますが、今まで数百台にインストールしましたが問題はありませんでした。やっとOSに標準でウイルス対策ソフトが搭載されるようになりました。

注)ウイルス対策ソフトはパソコンには1種類しか入れてはいけません。動作が重くなるばかりか色んな問題が発生する可能性があります。特にパソコン動作スピードに過敏な方はレジストリなどのチェックをお勧めします。ウイルス対策ソフトによってはアインインストールでの削除が不十分の場合があります。セキュリティ会社ホームページには各社削除ツールがありますので再確認をお勧めします。

Windows vista recovery に感染

Windows vista recovery に感染

知人がウイルスにかかったみたいだと言うことで、ウイルス駆除をしてきました。windows recovery という感染するとウイルス対策ソフトが機能しないようです。デスクトップのファイルが消えてシステムの復元もできなくなっていました。知人から送られたビデオのファイルを実行したときに感染したらしいです。普通にインターネットを閲覧していても悪意のあるページから感染します。このウイルスは「あなたのパソコンにエラーがあるので修復ソフトを買ってください」という内容です。現象として、ウインドウズアップデートができなくなる、マカフィーなどセキュリティベンダーへ接続できなくなる、画面に頻繁に「エラーがありますよ」と表示される、デスクトップのファイルが消える、感染したら一目でわかるウイルス(マルウエア)です。

Windows vista recovery


【駆除方法】
セキュリティサイトへはアクセスできないので、他の感染していないパソコンでこちらのウイルス駆除ツールをダウンロードします。
まれにこのページへ感染したパソコンからアクセスできる時があります。
USBメモリ、CD、ネットワーク経由でダウンロードした msert.exe を実行し画面の指示に従い操作します。
ウイルス削除後に画面に停止されていたウインドウズアップデート関連のサービス設定方法が表示されますのでサービスの開始設定などを行います。
デスクトップなどのファイルは隠しファイルになっていますので属性を元に戻します。

私も先日このWindows7 recoveryに感染しました。画像検索していたときでした。仕事柄いつも各セキュリティベンダーの駆除ツールを持っていますが、いつも使っているmicrosoft 社のツールが使いやすかったように思います。

さて会社などのネットワーク環境でウイルスに感染した時の初期対応をご存じでしょうか? 答えは「LANケーブルを抜く」です。その状態でシステム管理者へ連絡します。すでに他のパソコンに感染しているかも知れませんが、とりあえずあとは管理者に任せるしかありません。


ブログ内検索フォーム
インデックス
人気ランキング参加してます
人気ブログランキングへ 
法人向けPC、サーバー、他
Translation