読者です 読者をやめる 読者になる 読者になる

Lifecooking

プロブロガーを夢見る医者

情強ぶってたらランサムウェア「SPORA」に感染して2万円払いました。

f:id:lifecooking:20170513210759j:plain

え?PCウィルスに感染するやつなんているの?あんなのEXEファイル実行しなきゃいいだけでしょ。PCウィルスに感染するのとオレオレ詐欺に引っかかるのって同レベルの知能だわ。
とか思ってました。もう1X年近くウィルス対策ソフトも入れてませんでした。
それでも今までPCウィルスに感染したことなかったんですね。
情強ぶってましたね、正直。
今回はそんな僕に鉄槌が下ったメシウマ話です

 

 SPORAの感染経路は?

確かイタリアGoogleでリゾットのレシピを調べた時のことです。

文字化けしたサイトがありこんなポップアップが出てきたんですね。

f:id:lifecooking:20170513210756p:plain


どうやら感染したサイトにアクセスすると、サイトが文字化けしてこのポップアップが出るみたいです。

情強情弱「ほ~ん、イタリアだし別のフォントいるのか」

なんの迷いもなくクリックしてダウンロードから実行。
情強情弱「あれ?何も起きねーな」

というわけで見事にグーグルフォントに偽装されたウィルスを実行しました。

SPORAの感染症状

ファイルの暗号化

まず[.1cd .7z .accdb .backup .cd .cdr .dbf .doc .docx .dwg .jpeg .jpg .mdb .odt .pdf .psd .rar .rtf .sqlite .tiff .xls .xlsx .zip]のファイルが暗号化されます。

そしてビューアーで該当ファイルを開こうとしても、ファイル破損で開けません。
ただ数日は気づいていませんでした、その時は1つのパワーポイントに集中していたので

「あれ?保存する時に何かやらかしたかな?」と思い、すぐにドロップボックスからバックアップを再ダウンロードしていたんですね。

ちなみにクラウド経由でデスクトップ、ノートパソコンともに感染していました。

電源をつけると変な画面が立ち上がる。

スタートアップにhmlが登録されるため、パソコンを立ち上げた時に

f:id:lifecooking:20170513210755p:plain

このような画面が表示されるようになります。
これもPCの電源を落とさないことと、変な画面が立ち上がっても秒で消していたので気づかなかった。

今まで感染しなかったのが不思議なくらいの情弱っぷりですね。

やっと気づく

情弱の王たる僕も流石に不具合に気づきだします。

f:id:lifecooking:20170513210754p:plain

見てください。フォロワー数も少ないのにフォロワーに助けを求める僕。
よっぽど困ってたんでしょうねw

そしてやっとPCウィルスに感染していることに気づく。

f:id:lifecooking:20170513210757p:plain

時すでにお寿司。

SPORAはサポートが手厚いぞ

ランサムウェアの最大の特徴としてはカネさえ払えばファイルが復活するってことです。
ウィルス作成者の目的は破壊ではなくてお金ですからね。実際に病院が支払いに応じた例もあります。


スタートアップした画面のここをクリックすると

f:id:lifecooking:20170513210801p:plain

支払いとサポート画面に移行します

f:id:lifecooking:20170513210802p:plain

ファイルのフルリカバリー140ドル、将来的な予防30ドル、ウィルス駆除30ドル、
しかも2つのファイルだけは無料で暗号化を解除されるという親切設計。

実際に暗号化が解除されることを示さないと誰もお金を払わないからでしょう。
実際に写真を選択すると見事回復されました。

ご丁寧に右にはサポートのチャット欄まであります。
外人のF◯ck混じりの阿鼻叫喚がチャント欄を埋め尽くす。
右下にデッドラインがあり、「数日以内にお金払わないと値上げしちゃうよ」って書いてます。ここらへんも巧みにお金を支払わせるような文言ですね。

支払うべきか待つべきか

いくつかのランサムウェアは暗号化を解除するツールがウィルスセキュリティ会社から配布されています。
しかしSPORAは現在のところ暗号化を解除するツールがありません。そのうちツールが配布されることにかけて放置してもよいのですが、待っている間にも暗号化を解除するための値段がどんどん上がってしまう。
僕が取りうる選択肢は

1.ファイル諦める(全部クリーンインストール)
2.すぐに支払う
3.ウィルス会社のツールを待つ

1は旅行の写真とかがあるので諦めきれない。仕事のファイル?それはどうでもよい。
3でも良かったのですが。

待ったあげく
ウィルスセキュリティ会社「すまん無理だわ」
が1番最悪な展開なので泣く泣く2を選びました。
ノーパソのファイルはほぼデスクトップにバックアップがあったのでノーパソはクリーンインストール。

Bitcoinで支払う

ビットコインのマークを押すと

f:id:lifecooking:20170513210753p:plain

ビットコインの送信アドレス先が表示されます。
ご丁寧に現在のレートでのドル換算付き。
感染者別に個別のアドレスを持っているのでしょう、ビットコインを送金すると現在のデポジット額(Current Balance)にすぐに反映されます。
こんなことで仮想通貨に初めて触れるとは思わなかった。

解除、ファイル復活

Current Balanceに140ドルあることを確認して、Full RESTOREをクリックするとZIPファイルがダウンロードされます。
中身はこれ

f:id:lifecooking:20170513210752p:plain

ご丁寧に説明書付き

f:id:lifecooking:20170513210803p:plain

とりあえずウィルス対策ソフトを全部オフにして
GLOBAL~.exeをデスクトップに移してダブルクリック

f:id:lifecooking:20170513210758p:plain

ずらずらずらずら~~~
時間かかりそうなので就寝。朝には完全復活してました。おしまい。

ウィルス駆除

はじめに

ウィルスを駆除してからでも暗号化解除は可能です。自分は先にウィルスを駆除しました。

ウィルスを駆除してもスタートアップに仕込まれたhtmlは消えず、またそれ自体に感染力はないのでスタートアップ設定を外した後はどこかに保存しておきましょう。
htmlを勢いで削除してしまうと後にお金を払って解除しようとしても個別の送金先がわからなくなります。

whindowsをセーフ&ネットワークモードで立ち上げる

左下の電源ボタンを選択、シフトを押しながら再起動をクリック。

トラブルシューティング→詳細オプション→スタートアップ設定→5)セーフ&ネットワークモードで立ち上げます。

ソフトでウィルスを駆除する

「SPORA、駆除」等で検索すると怪しげな日本語のサイトが出てきます。

SPORAウィルスについて優しく説明してくれる優良サイトに見えますが、読み進めていくうちにオリジナルの駆除ツールをインストールさせようとします。無視しましょう。
ここではマルウェア対策で有名な2つのソフトで除去します。

Malwarebytesをインストール→実行

Malwarebytes | Free Cyber Security & Anti-Malware Software
からmalwarebytesをインストールして実行→除去

Hitmanproをインストール→実行

続けてダブルチェックです。
https://www.hitmanpro.com/en-us/hmp.aspx

からHitmanproをインストールして実行→除去

スタートアップ設定にあるhtmlファイルを削除(もしくは保存)

C→ユーザー→[ユーザー名]→AppData→Roaming→Microsoft→Windows→スタート メニュー→プログラム→スタートアップ

にいくと怪しげな英語の文字列のhtmlファイルがあるので削除(もしくは前述の理由で保存)

これで完了です。

まとめ

今回はまんまとランサムウェア「SPORA」に感染した話です。
結局140ドルで全ファイル復活しました。
SPORAによって暗号化されたファイルを復活させるという触れ込みの業者がネットで見受けられます。
しかしファイル復活を業者に依頼したところで業者もウィルス作成者に金を払っているだけと思われます。
大事なファイルがあるならば「俺は絶対にウィルス作成者に金は払わない!」という信念を持っている人以外はお金を払ったほうが早いと思われます。

めちゃくちゃ悔しいけどな!!!!

*なにせ情弱なので情報に間違っている部分があれば指摘お願いします