ドイツにおけるセキュリティソフトウェアのリーディングカンパニーG Data Software AGの子会社であるG Data Software株式会社(本社:東京都千代田区、日本支社長:Jag 山本)は、新たな脅威として、ウィンドウズを起動させなくしたうえで、100ユーロの身代金を要求するマルウェア(=ランサムウェア)が発生したことを報告します。
*画像:http://sv20.wadax.ne.jp/~gdata-co-jp/press/RTEmagicC_ransom_anonym.png.png
2011年9月6日頃より、ドイツ語のウィンドウズOSから、新たな脅威が発見されました。感染後に再起動すると、アクティベーションを要求するスクリーンが表示され、「このOSは違法な使用であるため、100ユーロを支払わねばならない」という(偽の)警告画面が現れるばかりで、お金を支払わないかぎり、パソコンが使えなくなるというものです。
G Dataはこれを「ランサムウェア」つまり、身代金を要求するマルウェアと認定し、以下の名称でデータベース化しました。
Trojan.Generic.KDV.340157 (エンジA)
Win32:Trojan-gen (エンジンB)
感染した場合の対処法
まず、注意せねばならないのは、この偽の警告画面に正式なウィンドウズのロゴが使われていても、決して信用できない、ということです。そして、このような身代金要求に対して、ネット犯罪者にお金を払ってはなりません。また、ウェブに個人情報や元のライセンス情報などを入力するのも、もってのほかです。
スクリーンにあるメッセージは、インストールされたウィンドウズOSによる本物の表示のように見せかけられています。しかし、表示された警告メッセージは、オリジナルのウィンドウズのアクティベーションとは全く異なるものです。
*画像=http://i.technet.microsoft.com/Dd979803.GR8553%28en-us,TechNet.10%29.jpg
マイクロソフトの公式サイトには、「正規のウィンドウズ」についての説明があります。
*サイト=http://windows.microsoft.com/ja-JP/windows/genuine
ウェブ上でインストールされたウィンドウズOSの検証ができ、また、ウィンドウズのアクティベーション方法については、すべてここで必要な情報を見つけることができます。
また感染した被害者は、100ユーロを支払うように要求されますが、この場合「UKASH(ユーキャッシュ)」のクーポンか「Paysafecard(ペイセーフカード)」を使わねばなりません。EUではこの二つは、郵便局やガソリンスタンドなどの公共的な商業施設で購入可能なプリペイド通貨です。しかしマイクロソフトは、このユーキャッシュのクーポンやペイセーフカードで料金を払うように顧客に依頼することはありません。
さらに被害者は、ウェブ上で、メールアドレスや携帯電話番号、さらにはプリペイドのカードのIDおよびパスワードを入力するよう要求されます。
*画像=http://blog.gdatasoftware.com/fileadmin/user_upload/Blog/International/2011/09/Images/ransomware_web_codeentry.png
このサイトは「マイクロソフトのライセンスセンター」と書かれています。しかしこれは、明らかに偽物です。ハイパーリンクであると思われるボタンがいくつかありますが、実際のマイクロソフトのページにはこのような画像はありません。
*画像=http://blog.gdatasoftware.com/fileadmin/user_upload/Blog/International/2011/09/Images/ransomware_web_linkpictures.jpg
もちろんマイクロソフトは、公式のマイクロソフトのドメイン以外では、公式のサービスは行っていません。
正規の「ウィンドウズ7」のライセンスを入手できるのは、小売店、OEM、または、ボリュームライセンス、これら三つのチャネルのいずれかを通じてです、とマイクロソフトは説明しています。当然ながら、ショートメッセージサービス(SMS)やメールを通じてライセンスの提供は、一切行っていません。
*画像=http://technet.microsoft.com/en-us/library/dd979803.aspx
このランサムウェアが仕掛けた偽のスクリーン・メッセージはさらに、もしユーザーがこの警告を無視して48時間以内にアクティベーションを行わない場合、コンピューターに保存されているすべてのデータが削除される、と脅しをかけていますが、G Dataの検証では、48時間が過ぎてもファイルの削除をされることはありませんでした。
.
さらに、このスクリーンで言及されている法律は、ドイツ著作権法第126章第3節に基づくとされ、アクティベーションを行なわなかった場合、ユーザーは非合法であることを責められるだろうと示唆しています。しかし実際この箇所は全く異なる内容について書かれているので、この文章には、まったく根拠がありません。
*実際の126章=http://www.gesetze-im-internet.de/urhg/__126.html
除去方法
パソコンの専門知識なしに、このマルウェアを除去する方法を説明します。
パソコンがロックされた時に求められるアクティベーションキーをここに提供します。このコードは、マルウェア・プログラムのなかに暗号化されて収納されていたものをG Dataセキュリティラボが発見しました。
アクティベーションキー: QRT5T-5FJQE-53BGX-T9HHJ-W53YT
*画像:http://sv20.wadax.ne.jp/~gdata-co-jp/press/ransomware_activationkey.pn
このキーを使用することによって、マルウェア・プログラムはクリーニング機能をスタートします。ほとんど完全に、この機能はコンピューターを再起動し、システムからこのマルウェアを取り除くでしょう。残るただ一つのデータは%TEMP%ですが、これは無害です。
また、パソコンに詳しい方は、以下の方法で除去ができます。
1)G DataのブートCDを用意し、ドライブに装着してから起動。
2)コンピューターをフルスキャンし、すべての「msvcs.exe」を除去。
3)再起動
4)レジストリを手動でクリーニング(任意)
*詳細:http://blog.gdatasoftware.com/blog/article/beware-of-new-windows-activation-trojan.html
ランサムウェアに騙されないためのTIPS
・パソコンとデジタルデータを守るために、ウイルス対策、HTTPフィルター、スパムメール対策などの機能をもつインターネットセキュリティ製品を使用する。
・OSとインターネットブラウザはこまめにアップデートを行い、いつも最新の状態にする。
・怪しいと思ったら、URLのリンクはクリックをしない。
・この種の詐欺に使用された多くのドメインは、ソフトウェアやウイルス対策などと関係するキーワードの組み合わせを使って、ユーザーを罠にかけようとしている。
・警告として画面に表示される文章を冷静に読んでみる。文法的な誤りや綴りの間違い(日本語の場合、漢字が簡体字や繁体字になっているなど)が多い場合は、用心する。
・「正規のウィンドウズ」の場合、このようなメッセージも、そのまま自分が使っている言語で表示される。たとえば日本語版のOSに対して、英語の表記が出る場合、要注意。
・メールやネットにて、個人情報や銀行データを入力する際には、十分に気をつけて。
・知らない相手に送金をしない。
ジーデータソフトウェアとは
G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間以上にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。
*本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。
【本リリースに関する問合せ先】
G Data Software株式会社
101-0042 東京都千代田区神田東松下町48 ヤマダビル6F
窓口: 瀧本往人
E-mail: gdata_japan_info@gdatasoftware.com
TEL: 03-3526-6605
URL: http://www.gdata.co.jp/