ランサムウェア『Locky』『Zepto』の亜種『Thor』にご注意ください

こんにちは！
パソコンの出張・訪問修理のさくらパソコンサービスです！

日本で多くの被害を出したランサムウェア『Locky』の亜種『Thor』が10月25日にリリースされました。

前種のランサムウェア『Shit』のリリースからわずか１日での発見となります。

ランサムウェア『Thor』に感染した際の症状

ランサムウェア『Thor』に感染するとパソコン内のデータがAES-128を用いて暗号化され、AES暗号化キーはRSA-2048で暗号化されます。

暗号化されたファイルの名前はランダムな英数字、拡張子が「.thor」に変更され、ファイルタイプはTHORファイルとなります。

また、フォルダ内にはランサムウェア『Thor』によって以下のファイルが自動的に追加されます。
_WHAT_is.html
_WHAT_is.bmp
_WHAT_is.html

状況によっては以下のように3桁の数字が追加されている場合もあります。
_[数字3桁]_WHAT_is.html
_[数字3桁]_WHAT_is.bmp
_[数字3桁]_WHAT_is.html

ランサムウェア『Thor』の感染経路

ランサムウェア『Thor』はメールに添付されている.vbs（Microsoft Script）ファイル、.ws（Windows Script）ファイル、.js（JavaScript）ファイルなどを開くことによりインターネット上から自動ダウンロードされ、Windowsに標準で備わっているrundll.exeを用いてパソコンに感染します。

ランサムウェア『Thor』の駆除方法

以下のフォルダ内にランサムウェア『Thor』の本体が存在するので削除します。

C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダムな文字列].dll

通常、Tempフォルダ内には一時ファイルしか存在しない為、場合によってはTempフォルダ内すべてを削除しても良いと思われます。

尚、Tempフォルダ内に重要なファイルがある場合や、削除後にレジストリ等の修正が必要となる場合がある為、ランサムウェア『Thor』の駆除についてはプロに相談するのが良いと思われます。

ランサムウェアへの対策

ランサムウェア対策は４つのパートに分けられます。

残念ながらどのパートもランサムウェアの対策として100%ではありません。

全てのパートを同時に実施することで100%のランサムウェア対策となります。

１．スタッフ教育

ランサムウェアとは何か、改竄されたWEBサイトや広告からの自動ダウンロード、メールの添付ファイルなどランサムウェアの感染ルートの知識を共有することが重要です。

また、ランサムウェア対策の４つのパートについて熟知する必要があります。

２．感染予防

セキュリティ対策ソフトの導入は必須ですが、ソフトによっては予防力の低いものも存在しており、選定の際には注意が必要です。

また、Windowsやインストールされているソフトウェアの更新を滞りなくおこなう必要があります。

残念ながらセキュリティ対策ソフトの導入とソフトウェアの更新では100%の感染予防は不可能です。

３．データ保護

感染予防策をくぐり抜けたランサムウェアから重要なデータを守る必要があります。

重要なデータはバックアップを取り、バックアップデータをランサムウェアの手が届かない場所に置く必要があります。

４．対策のアップデート

ランサムウェアを含むマルウェアは進化の速度が速く、これまでも数日で状況が変わったこともありました。

その為、最新のランサムウェアへの情報収集、それらを元にしたランサムウェア対策のアップグレードが不可欠です。