雑記 > ランサムウェア > Win32/Revetonウイルス駆除削除

PR 国内メーカー東芝の直販 − 4万円台からノートPC安い!

【パソコン人質】 ランサムウェア Win32/Reveton ウイルス駆除削除方法 【身代金要求】

このエントリーをはてなブックマークに追加

ランサムウェア(Ransomware)とは、身代金を要求する脅迫ウイルスです。

このページは、日本ではない海外の警察や政府機関を勝手に名乗って、Windowsパソコンをロック画面を表示して使用不能な状態にする Reveton(レヴェトン) と呼ばれるマルウェアファミリーの情報や駆除削除方法を紹介してます。 φ(・_・)

ロック画面なランサムウェア Reveton ―――――

感染マシンのIPアドレスから地理的位置が日本と判断された場合、(日本はいちおう攻撃ターゲットではないため)米国向けか英国向けの機関を名乗ったロック画面が表示されるパターンが多いです。

[Police Ransomware Reveton] United Kingdom Police / Cheshire Constabulary / PCeU Police Central e-crime Unit / SOCA Serious Organised Crime Agency / Metropolitan British Police / INTERPOL

《米国ユーザー向け》

《英国ユーザー向け》

偽セキュリティソフト Reveton ―――――

もっともらしいセキュリティソフトに偽装した 『Live Security Professional』 を名乗るブツが1種確認されてます。 (似た名前で「Live Security Platinum」というのも過去に確認されてるけど種類が異なる)

[FakeAV Malware Reveton] Live Security Professional / ライブセキュリティプロフェッショナル

パスワードを盗みとる機能アリ

Reveton にはブラウザ(Internet Explorer、Chrome、Firefox)やメールソフト(Outlook、Windows Live Mail、Tunderbird)に保存されたパスワード、FTPソフト(FFFTP、FileZilla、WinSCP)のアカウント情報を盗みとって攻撃者側へ送信する機能を備えてます。

感染経路はサイト閲覧のネットサーフィン中!

ランサムウェアは、第三者にハッキングされた一般サイトやブログをたまたま訪問した時に 何の確認もなく強制インストール される ドライブバイ・ダウンロード攻撃 が定番のウイルス感染経路になってます。

場合によっては、正規の広告配信サーバーが侵害された結果としてブラウザ内部で不正な処理を裏で読み込ませてランサムウェアがバラ撒かれる事件すら発生してる状況です。

ただ、この攻撃手口は下の 4条件のうち1つでも当てはまった Windowsパソコン だけ地獄へ落ちる 構図です。

  1. Adobe Flash Player を旧バージョンのまま放置してる
  2. 毎月配信される Windows Update が行われてない
  3. Java を旧バージョンのまま放置してる
  4. Adobe Reader を旧バージョンのまま放置してる

こういう対策ソフト は別にどうでもよく、むしろランサムウェアの感染被害に巻き込まれる原因の1つがその手のソフトを過信しすぎて、根本的な ウイルス感染経路をふさぐウイルス対策 を行わずすっぽかしてるWindowsユーザーさんです。

ウイルス対策がセキュリティソフトの導入とWindows Updateだけのユーザー
どっちも \(^o^)/ ヤバイ
あろうことかWindowsパソコンにセキュリティソフトを導入してないユーザー

ネットバンキングの不正送金ウイルスと同じで、この条件に [当てはまる] or [当てはまらない] で運命が分かれるんですよっと。

こんなPCがランサムウェアの感染被害!
感染を100%回避できる無料ウイルス対策とは?

無料ウイルス駆除削除ガイド

この項目は2013年時点の情報です.

ウイルス駆除ツールに放り投げる方法

  1. Windowsをセーフモード(ファイルのダウンロードが必要なのでセーフモードとネットワーク)に入る
  2. 下の無料ウイルス駆除ツールをダウンロードしてきてウイルススキャンする

セーフモードもダメな場合は、マイクロソフトが無料で提供してるパソコン復旧&ウイルス駆除ツール Windows Defender Offline を利用する (USBメモリやCD/DVDメディアに書き込んで感染マシンへ持ってくタイプ)

手動でマニュアル駆除削除する方法

【1】 Windowsパソコンセーフモードで起動する。 (パソコン起動直後にキーボードのF8キー連打でセーフモードに入れます)

セーフモード下でもランサムウェアの画面が表示されてしまうなら、『セーフモードとコマンドプロンプト』の方に入って、コマンドプロンプト(黒い画面のウィンドウ)が表示されユーザーの入力を待つ状態になったら、『explorer.exe』と打ち込んでエンターキーを押す。

【2】 スタートアップフォルダ内にあるショートカットアイコンのファイル1つ、あるいは2つ以上をゴミ箱へポイっ!

このファイル名はウイルス攻撃者側の気まぐれで何と名付けようが勝手なので、必ずしもこのファイル名であるとは限らんです。

C:\Windows\System32\rundll32.exe [ファイルパス],[特定の文字列]

Revetonランサムウェアの起動スタートアップフォルダにDLLインジェクション(rundll32.exe)のショートカットファイルregmonstd.lnk!
画像のリンク先 ⇒ 『 C:\Windows\System32\rundll32.exe C:\Users\[ユーザー名]\AppData\Local\Temp\bloloj.dat,XFG00 』

スタートアップフォルダの場所ってどこ?

  1. Windowsのスタートメニュー→[すべてのプログラム]→[スタートアップ]
    あるいは
  2. Windowsエクスプローラを開いて、下のフォルダに直接移動する

フォルダ名が日本語表記になってる場合
「Start Menu=スタートメニュー」「Programs=プログラム」「Startup=スタートアップ」

【3】 Windowsレジストリエディタを起動して、下の場所まで移動する。

Revetonランサムウェアの起動RunキーにDLLインジェクション(rundll32.exe)の読み込み処理が ctfmon32.exe 名義で!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

右側の一覧リストで、データ欄が下のような感じのものがもし存在したら、項目を選択して右クリックメニューで削除する。(感染したRevetonの種類によって、項目が作られるパターンと作られないパターンあり)

C:\ProgramData\rundll32.exe [ファイルパス],[特定の文字列]

【4】 同じくレジストリエディタで、下の場所まで移動する。

Revetonランサムウェアの起動WinlogonキーのShellが初期値の「explorer.exe」の場合
正常な状態

Revetonランサムウェアの起動WinlogonキーのShellが初期値から書き換えられてる場合
Revetonウイルスが書き換えた状態

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

右側の一覧リストで、項目名「Shell」のデータ欄が、初期値の「explorer.exe」以外にもしなってたら、項目をダブルクリックして編集し元に戻す (感染したRevetonの種類によって、書き換えられるパターンと書き換えられないパターンあり)

【5】 Windowsパソコンを普通に起動するため再起動する。

【6】 ウイルス本体を見つけ出して削除する必要があるので、下の無料ウイルス駆除ツールを入手してクイックスキャンを行う。

再び感染し地獄を見たい方にお得な情報!
このウイルス対策をやらないことにより再びこのランサムウェアに感染できます。スリルと快感を何回でも味わいたいアナタはこのウイルス対策をゼッタイにやらないでネ♪ \(^o^)/

無料ウイルス駆除ツール (フリーソフト)

  1. マイクロソフト セーフティスキャナー Microsoft Safety Scanner でクイックスキャン
    https://www.microsoft.com/ja-jp/wdsi/products/scanner使い方はコチラ
  2. マルウェアバイト アンチマルウェア Malwarebytes Anti-Malware Free で脅威スキャン
    https://www.malwarebytes.com/antimalware/使い方はコチラ
  3. カスペルスキー ウイルスリムーバル ツール Kaspersky Virus Removal Tool でスキャン
    https://support.kaspersky.co.jp/8527使い方はコチラ

Google や Yahoo! JAPAN の検索結果に、マルウェアの駆除方法を紹介してるかのよう装って、実際には海外製の有償ウイルス駆除ツール SpyHunterSpyHunter-Installer.exe) を導入するよう仕向ける SpyHunter 宣伝ブログが尋常じゃない数でヒットする のでご注意くださーい! (;´Д`)<日本語の文章が機械翻訳のためか不自然なことに気づけるはず…

PR 東芝の直販ショップ − 安い4万円台からノートPCがっ! ウェブ限定・送料無料

関連キーワード統計情報
[ランサムウェアとは] [ランサムウェア 駆除] [ランサムウェア 対処] [ランサムウェア 対策] [ランサムウェア 感染] [ランサムウェア 被害] [ランサムウェア 感染経路] [ランサムウェア 感染原因] [Ransomware マルウェア] [Trojan:W32/Reveton] [Trojan:Win32/Ransom] [MAL_REVETONDEF ウイルス] [TROJ_REVETON] [Trojan.Winlock] [MAL_REVETONLNK ウイルス] [TROJ_RANSOM] [Trojan.Ransomlock] [rundll32.exe ウイルス] [Attention ウイルス] [United States Cyber Security ウイルス] [Police Central e-crime Unit ウイルス] [PCeU ウイルス] [PCeU ウィルス] [Ukash ウイルス] [Ukash Virus] [MoneyPak Virus] [FBI MoneyPak ウイルス] [Your Computer is Locked ウイルス] [Your Computer has been Locked ウイルス] [イギリス警察 ウイルス] [イギリス警察 ウィルス] [イギリス警察ウイルス 削除] [United Kingdom Police Ukash] [PCeU ウイルス] [Cheshire Constabulary ウイルス] [SOCA ウイルス] [Serious Organised Crime Agency 重大組織犯罪庁] [重大組織犯罪局 ウイルス] [Metropolitan British Police ウイルス] [United Kingdom Police ウイルス] [英国警察ウイルス] [Homeland Security Nation Cyber Security Division ウイルス] [Professional Live Security ウイルス] [Live Security Professional ウイルス] [Live Security Professional 削除方法] [Live Security Professional 被害] [Live Security Professional アンインストール] [Live Security Professional Unregistered version] [ライブセキュリティプロフェッショナル 削除] [ライブセキュリティプロフェッショナル 感染経路] [ライブセキュリティ 駆除] [ライブセキュリティプロフェッショナル 削除方法] [プロフェッショナルライブセキュリティ 削除] [ライブセキュリティプロフェッショナル 原因] [削除 Security Professional Live] [削除 Security Live] [駆除 Security Professional Live] [削除方法 Security Professional Live] [Security Live ウイルス] [regmonstd ウイルス] [regmonstd とは] [regmonstd スタートアップ] [regmonstd 削除] ・・・

雑記 > ランサムウェア > Win32/Reveton ウイルス駆除削除

Copyright © Let's Emu!. All rights reserved.