ブログ統合のお知らせ2020年5月より、「アンド・はとや スタッフブログ」にて記事をアップしていきますので、よろしくお願いいたします。

「アンド・はとや スタッフブログ」はこちら

SPORA Ransomware(スポラランサムウェア)感染記 その3「身代金編」

思いがけず始まってしまったSPORA Ransomware(スポラランサムウェア)感染記。

感染編下衆編の次は、「身代金編」です。

とっても丁寧な支払サイトによると、フルレストア(完全復旧)には140$が必要です。

しかし、支払はビットコインのみ。

ビットコインとは、ネット上の仮想通貨です。相場はかなりのペースで上下します(汗)

まずはビットコインを使えるようにするため、iPhone用のアプリ「bitFlyer」をインストールしました。

しかしそれだけでは使えず、少なくとも、

  • 携帯電話認証(SMS利用。すぐできる。)
  • 銀行口座認証(口座が存在するかの確認。営業時間内なら数時間。営業時間外なら、翌営業日)

の二点が必要です。(下記参照)

この中で「日本円の入出金」が必要になります。

流れとしては、下記のとおりです。

  1. bitFlyerに日本円を入金する。(振込)
  2. bitFlyer上で、ビットコインを購入する。
  3. 購入したビットコインを、指定された入金先へ振り込む。

振込はゆうちょダイレクトで行ったので、すぐ反映されます。

そしてbitFlyer上で、ビットコインを購入します。

何度見ても泣けてきます…。

これで購入が確定すると、支払サイトでめでたくPAIDになります。

左上の「FULL RESTORE」をクリックすると、復号化するための鍵のダウンロードが始まります。

が、普通にダウンロードするとアンチウイルスソフトがブロックしてしまうので、勇気を出してリアルタイム保護をオフにします。

そして先程のファイル(zip)をダウンロードしたら、勇気を出して解凍します。

中には、2つの実行ファイル(GLOBAL.exe LOCAL.exe)と readme.txt が入っています。

以下、readme.txtの和訳(Google翻訳)です。

################
英語版
################

– 完全な復元を購入していただきありがとうございます。
– アーカイブには2種類のデコーダがあります:
GLOBAL.exe – すべてのディスクでグローバルファイル検索を実行し、それらを回復します。
LOCAL.exe – 現在のディレクトリとすべてのサブディレクトリで検索とファイルリカバリを実行します。

グローバルリカバリの手順(推奨):
1.持っている場合は、ウイルス対策ソフトをオフにします。
2.デスクトップにGLOBAL.exeを展開します。
3. GLOBAL.exeを実行します。
4.回復が完了するまで待ちます。
5.復号化プログラムは何度でも実行できます。

部分回復の手順(代替):
1.持っている場合は、ウイルス対策ソフトをオフにします。
2.ファイルが復元されなかった任意のフォルダ(たとえば、ネットワーク/共有フォルダ)にLOCAL.exeを解凍します。
3. LOCAL.exeを実行します。
4.回復が完了するまで待ちます。
5.復号化プログラムは何度でも実行できます。

考えられる問題と解決策:
問題:
一部のファイルは、GLOBAL.exeおよびLOCAL.exeの後も開いていません。
解決する:
このファイルは(別のユーザーまたはコンピュータによって)別のキーで暗号化されている可能性があります。
別のHTMLファイル(別のユーザーまたはコンピュータを使用)を見つける必要があります。
ユーザー%APPDATA%フォルダーまたはユーザーのデスクトップフォルダーで別のHTMLキーを探してください。
キーワードでグローバル検索を使用してみてください:.HTML
別のキャビネットにログインしたら、その暗号化されたファイルを[フリーリストア]フィールドにアップロードします。
システムがこのファイルを復元するか、または書き込まれると、
そのファイルは正常に復元されました。このデータを復元するには、このKEYを購入できます。
この場合、感染したPCが2台以上あることを意味します。

問題:
ユーティリティGLOBAL.exeとLOCAL.exeを実行できませんでした。
解決する:
たぶん、あなたがZIPアーカイブをダウンロードしたときに、あなたのアンチウィルスは両方のデクリプタを壊しました。
アンチウィルスを無効にして、サイトからZIPアーカイブを再ダウンロードする必要があります。

問題:
感染したPCでデコーダを実行することは不可能です。
解決する:
このような状況が発生した場合は、他のコンピュータを使用してデータを復元できます。
1.感染したPCに、回復に必要なファイルを外部デバイス(例:Flash、HDD)にコピーします。
2.両方のデコーダを外部デバイスにコピーします。
3.復号化を実行する別のコンピュータを準備します(推奨OSはWindows 7)。
4.外部メディアから暗号化されたデータと両方のデコーダをこのコンピュータに移動します。
5.このコンピュータのデータを復号化します(上記の手順)。

他の問題が発生した場合は、電子メール◯◯(伏せます)までご連絡ください。

– 終わり

というわけで、GLOBAL.exeをデスクトップで実行すると、コマンドプロンプトが立ち上がって一気に復号化が始まります。

そして、無事全てのファイルが復号化され、開くことができました…。

ただ、支払サイトにあった書き込みを忘れてはいけません。

先程、アンチウイルスのリアルタイム保護をオフにしたので再びオンにし、完全スキャンを行います。

復号化に使ったファイルが検出されるので、削除します。

そしてデータを全てバックアップして、Windowsをリカバリします。

これにて一件落着することを祈るしかありません。

それではバックアップが終わったので、今からリカバリします!

つづく。