「最近のゲームって、何だかなぁ~」って事は、結構前から愚痴ってましたが、
「それならいっその事レトロゲームに手を出してみよう」
と思っていたのですが....
●始まる前に終わってた
最初に頭をよぎったのは
「はぁ~どぉ~でぃすくが、こわぁ~れぇ~たよ♪」
って言うメロディ....
実際にHDDが壊れた訳ではありませんが
作者の心境と、この曲のイメージが少し分かった気がします。
と言うのも、よりにもよってランサムウェア(Ransomware)に感染しました...
しかも最新版w(crypzで、cryptタイプの最新バージョン)
まぁ原因は分かったので、仕方なしって感じてます。
●ウイルスに感染したい人必見!!
特別、セキュリティホールなんて無いと思ってたのですが
「そろそろWindows10を試してみようかな?」
と思ったのが、全ての始まりでした。
感染経路は
「 ウイルスメールの添付ファイル」か
「ネットサーフィン中のドライブバイ・ダウンロード攻撃」
と言う事ですので、間違いなく後者でしょう...
以下のどれか1つでも該当すると感染する可能性がある。との事
1、Adobe Flash Player を更新することなく旧バージョンのまま放置してる
2、Windows Update が実施されてない
3、Java を更新することなく旧バージョンのまま放置してる
4、Adobe Reader を更新することなく旧バージョンのまま放置してる
はぃ!!2番、2番です先生!!
他って結構ブラウザ側で警告出たりするので分かりやすいですが
Windows10テロ問題で、見てからUpdateインストールしてた時期だったのねぇ
約60個の更新ファイルが更新待ちで放置されていました...
・感染経緯
1、現状からアップデートでWindows10にする
2、不具合でスタートメニューが開かない&設定グチャグチャ
3、「取りあえずダウングレードするか~」
4、メニューにダウングレード項目なし。
5、仕方なしにリカバリー(SSDを入れた1月頃に戻る)
6、半年分のWindowsUpdateを忘れたまま使用
7、ブログネタ用で検索してる時(海外サイト、放置サイト含む)に恐らく感染。
8、現状に至る。
30分ほど離席して帰ってきた時に画面が変わってたので
サイトに接続した瞬間は発症せずに、暫く操作が無いと発症したり?
コソコソとファイルを暗号化しつつ、ある程度暗号化が終わると発動して、
身代金要求画面が出たりするのでしょうか?
最初は「ポップアップブロックあるのに、消せないポップアップなんて今頃珍しいな」
なんて思ってたのですが、再起動してファイル名が変わってる事に驚愕!!
セキュリティに引っかからなかったって事はトロイの木馬系だろうと踏んで
取りあえずウイルスの駆除方法を調べて駆除してから
再度、じっくりこのウイルスについて調べてみた所
復号化は結構難しいようで、トンデモ仕様のウィルスだと分かりました...
●ランサムウェアとは?(今回感染したのはcrypz)
特定の拡張子のファイルが
「ファイル名.旧拡張子.****」
(****は、ウイルスによって「vvv」「locky」「crypt」や、その他ランダム)
と言う名称に変更され、名称変更だけでなく暗号化されてしまうため
”専用ソフト”が無いと解除出来ない仕組み。
その「”専用ソフト”が欲しければ、お金払って下さい」
と言うウィルスなんですね。
暗号化されるファイルの種類は、
画像ファイル(.jpg .png .bmp .gif)
文書ファイル(.doc .docx .xls .xlsx .pdf .txt .cpp .html)
メディアファイル(.wav.avi .wma .mp3 .mpg .mp4 .wmv .flv)
圧縮ファイル(.zip .rar)
等で、文書、メディア、画像、圧縮ファイルの場合、
これら以外の拡張子もデータファイルは変更される可能性が高いです。
が、何故か「.lzh」は全くの無傷でした。
ガラパゴスって良い面もあるよねっ!
個人作成した多くのファイルが犠牲になってしまう為
身代金を払ってしまう人が多いのでしょうか?
しかし、実際に身代金を払ったからと言って
専用ソフトが送られてきてファイルが返ってくるとは限らず
お金だけ取られた!!って事もありえそうです。
さらに、これに便乗した
「ランサムウェア(crpyz)を削除、復号化」などと言う文句で
セキュリティソフトのインストールを誘い、インストールから実行すると
「じゃじゃ~ん!ウイルスが一杯見つかったよ、駆除したければ有料で~す(はぁと」
と、セキュリティソフトを買わせようとするサイトが大量に出ていますのでご注意を。
(しかもよく読むと、除去は出来るがメインで復号化はほぼ出来ないとか書いてる?)
・復号化って出来るの?
去年12月「vvvウイルス」で話題になったTeslaCrypt(テスラ クリプト)は
製作者が暗号化したファイルを復号して復元できるマスターキー(64ケタの英数字)
を公表した事によって救われました。
恐らくcryp***も、膨大な桁数の暗号なので、マスターキーが公表されない限り
復号化は期待はしない方が良いでしょう。
追記:
・実際に復号化してみた。(2016/6/30)
トレンドマイクロの「ランサムウェア ファイル復号ツール」が
crypzに一部対応したみたいなので、使ってみました。
結論から言うと「テキストのみ救出可能」
その他、PDF、Word、Excelなどは、テキスト部分の復旧が出来
かなりの恩恵に授かれます。
WAVファイル、JPEGファイルは当然の如く開けませんでした。
問題点は「物凄くCPUの負荷が高そう」な事と「物凄く時間がかかる」事。
1ファイルの検索から復号化に2,3分かかる事はザラで、
1時間ほど走らせていると、PCファンが全開で爆音になってました。
GPU以外でこんな煩くなったの初めてかも?w
適当にかけずに、ピンポイントで復号化したいファイルだけ選ぶのが良さそうです。
その他、テキストファイルであっても全く復号化出来ない事も多々あるようです。
・助かってるファイルはある?
気が付いて対処するまでの時間にもよりますが
後ろの方のドライブに置いてある、深めのフォルダのファイルは
暗号化されずに生き残ってる可能性がありますので、
「.txt」「*.JPG」「*.BMP」等のワイルドカードで検索して、救出してあげましょう。
自分の場合、ゲーム内のDDONのSSなんかが残ってました。(使う予定ないけどw)
SSDなどは一瞬に書き換えられてしまうので、全滅してる可能性が高いです。
(ローテクもバカに出来ない...テープメディア....げふげふ)
実行ファイルやマクロ入りのファイルは、基本的にポイした方が間違いないですが
今の所は身代金が目的であって、PC自体を破壊する意味がないので
セキュリティにかかりやすいexeファイルなどは
変更されている可能性はすくないと思います。
(早々にセキュリティに見つかって止められては意味がないから)
ただし、パスワードを抜き取るとかの話もあるので、
どこに仕込まれてても不思議はないので、実行はしない方が良いでしょう。
ランサムウェアについては、こちらが分かり易かったです ↓
一応リンクは切っておくのでコピペでどうぞ。
「crypz/cryp1/crypt拡張子ファイル暗号化ウイルスの感染経路・対策・駆除は?」
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware-cryptxxx.htm
と言うか、最新版のcrypzの場合ココ以外にまともなページが見つかりませんでした。
ウイルス駆除はココを見た通りやって完了したので、問題ないと思われます。
トップページに戻ってみたらエミュレータのページでした。
自分みたいな素人には「雑記」が色々と勉強になると思うので、
一度、読んでみると面白いかもしれません。
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/
●復旧作業
ウイルスの駆除が終われば、復旧作業の開始です。
特別追加で機能する様なウイルスでもなさそうでジックリ腰を据えて取り掛かります。
暗号化されてないファイルも沢山あるので
取りあえず使えそうな物はスキャンしてバックアップ。
・メールのバックアップ
自分の使用しているメールソフトのメールは全て残っていました。
添付ファイルのjpgなども圧縮されてたのか残ってました。
メールアドレスと共に、エクスポートして保存。
・設定ファイルなどのバックアップ
一から設定するのが面倒なもの、ブラウザーのお気に入りや
ゲームなどソフトの設定ファイルをインストール後に移すだけで元通りに。
物によっては暗号化されてる可能性もあるので、その時は諦めましょう。
・ダウンロードファイルのバックアップ
なかなか探すのに骨が折れる、古いソフト(ドライバー等)
exe形式のファイルは、そのまま残っているのでバックアップ
念の為使用はせず、ファイル名から検索して再ダウンロードする用。
・復号化に期待するファイルのバックアップ
crypzの拡張子が付けられたもののうち、容量が小さめで回復の見込みがあり
再取得が難しいもの。
容量が小さめの.txt.bmp.jpgファイル(主に自書txt、撮った写真など)
・複合化に必要なファイルのバックアップ
同一ファイルで暗号化ファイルと暗号化される前の元のファイルが最低1組は必要。
ある程度の容量のものが好ましい。(カスペルスキーのソフト)
自分の場合はドロップボックスに多くのファイルが残ってますが
サイズが小さいものばかりなので使えるか不明。
最大で、CDからmp3に変換したファイルが5MB~7MBぐらいかな?
・パスワードの変更
ブラウザなどへは保存していないのですが
念の為、全てのパスワードを変更しました。
結構長く使ってたパスワードだったので、丁度良い機会だったかも?
一部、ベータテスト系の捨てアカウントは切り捨てました。
もうオンラインRPGはダメっぽい...
●折角なのでWindows10へ
取りあえず、色々ゴミが残りそうなので
この際だからWindows10をクリーンインストールする事にしました。
Windows7からのアップグレードを試した時、
スタートボタンが効かなかったのも今回の要因の一つではありますが
Windows10を入れ直した後に色々イジっていたら
再びスタートボタンが押せなくなって原因が発覚。
どうやらUser\AppData内のLocalフォルダを移動すると、不具合が起きる様ですね。
自分はWindows7の時はシンボリックリンクでUserフォルダ丸ごと移動してたので
アップグレードの時に、スタートボタンが使えなくなったようです。
バックアップとか結構便利だったんですけどねぇ
そのままWindowsをクリーンインストールしても、設定ファイルが大体残ってるので。
その他、ブラウザーのEdgeも「お気に入り」を移動させると不都合があるようで
お気に入りのインポートが不可能になったりしました。
あと残ってる問題は、文字入力の時にプチフリする時がある。
特に何も触って無いと思うのだけれど辞書ファイルが壊れてるらしい?
辞書を修復してみたら治りました。
上記以外は、元の環境に近づけて違和感なく使えていますが
やはり、古いソフトがインストールすら出来なくて困ってました。
自分の場合、LISMOPortがインストールすら出来なくて困ってたのですが
インストールプログラムを書き換えて無理やりインストール出来るっぽいです。
これって色んな意味でヤバい気もしますが、
「何か起こったらまたネタになるか。」とか思いつつガラケーを使い続けるのであった。
(こんな古いソフト使ってるとまた...)
追記:
携帯のUSBドライバが半分(USBメディア認識のみ)しか動かなかったので
LISMOPortで携帯を認識せず、結局は使えませんでしたorz
オフラインの旧WindowsPCを用意するしかねぇ!!
全体的なWindows10の感想は、
7から見たら起動と終了が速くて良いし、8から見たら使いやすい。
「総合したら結構良い。」
会社のPCも、そろそろWindows10導入して行こうと思いました。
(まだ数台が2017/4で終わりのVISTAなのでヤバい...)
●まとめ
「ひゃ~く♪ ぎぃ~が♪ばぁ~いと~は♪ い~た、す・ぎ・るぅ~♪」
(原曲は100Mだったと思います。)
・WindwsUpdate、更新の通知だけでは今回みたいになるケースも
普通に使っていれば、通知が出た時に見るので問題無い事が多いですが
リストアした時にWindwsupdateが目に付かなかったのは盲点でした。
見てても「またWindows10の通知か」とか思ってたのかもしれない。
・バックアップも元ファイルのままだと効果薄
外付けHDDもUSBメモリーも”クラウドストレージ”も
繋がってる対象ファイルは全て暗号化されてしまうので切り離して保存。
少し手間ですが、バックアップソフトで暗号化しておくのが確実ですね。
・暗号されたファイルの”完全な”復号化は難しい
セキュリティ会社から複合化ツールが順次開発されているようです。
変更される前のファイルと暗号化後のファイルを比べて
解除キーを推測するタイプなのでしょうか?
完全に元に戻るのでは無く「中身を確認出来ますよ」程度の場合もある。
・ブログはマメにUPしよう!
取りあえず素材だけでも先に上げとけって事か...
1画像700KBぐらいに縮小してあるので、使うかどうかは上げてから決めても良いのかな。
次の企画をブログにUPする為の準備をし始めた矢先の出来事でした。
自分の場合は、バックアップや元データが無いのはブログ用のSSだけでしたが
書きかけの記事が全部消えてたら、新企画も頓挫してた可能性がありました。
しかし、ある程度SSが無いと話にならないので撮り直し完了が先か、復号化が先か
もともと遅い更新間隔なので、のんびりと進めて行きたいと思います。
いやぁ~自分にはウィルスなんて関係ないと思ってましたが
ちょっとした不注意から、アッサリ感染してしまうものなのですね。
普通は無い事ですが、Windows10関連でトラブった時は皆さんもご注意下さい。
「LZHに圧縮して保存の時代が来たっ!w」っと思った、ちまちまなのでした~。
トータル
※コメント投稿者のブログIDはブログ作成者のみに通知されます