【パソコン人質】 FBIランサムウェア型ウイルスWin32/Urausy 【身代金要求】

ランサムウェア（Ransomware）とは、身代金を要求する脅迫ウイルスです。

このページでは、その中でも海外の警察関連機関（FBIなど）を騙ってWindowsパソコンをロックするUrausyと呼ばれるファミリーの情報を備忘録としてのせてます。 φ(・_・)

ちなみに、このランサムウェアは偽パソコン診断ソフト（Trojan:Win32/FakeSysdefファミリ）に携わっていたグループが手がけてます。

ランサムウェアは、第三者にハッキングされてる一般サイトやブログをたまたま踏んだ瞬間に何の確認もなく強制インストールされるドライブバイ・ダウンロード攻撃が定番の感染経路です。

つまりは、下の４つの条件のうち１つ以上当てはまってしまったWindowsパソコンにのみ地獄が舞い降ります。

ネットバンキングの不正送金ウイルスと同じで、この条件に [当てはまる] or [当てはまらない] が運命の分かれ道になります。

こういう対策ソフトの種類なんてのは別にどうでもよく、むしろ被害に遭うのは、その手のソフトを過信して肝心のウイルス対策をすっぽかしてるユーザーさんです。

ウイルス対策がセキュリティソフトの導入とWindows Updateだけのユーザー

どっちも＼(^o^)／ヤバイ

あろうことかWindowsパソコンにセキュリティソフトを導入してないユーザー

詳しくは・・・

このランサムウェアは仮想環境上で動かないようになってるっぽく手元では感染実験できてません。 （2013年4月）

マルウェアの解析情報
http://www.threatexpert.com/report.aspx?md5=4ed2446c8ec07af49237c4856d5577af

【1】 Windowsパソコンをセーフモードで起動し、必ず『セーフモードとコマンドプロンプト』の方に入る。

【2】コマンドプロンプト（黒い画面のウィンドウ）が表示されユーザーの入力を待つ状態になったら、『regedit』と打ち込んでエンターキーを押す。

【3】 Windowsのレジストリエディタが起動するので、下の場所まで移動する。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

【4】レジストリエディタの右側の一覧リストから「Shell」という項目を見つけて、そのデータ欄が下のような文字列になってたら編集する。（特定の文字列は拡張子も含めて「msconfig.dat」⇒「skype.dat」⇒「cache.dat」に変遷中...）

《Windows Vista/7/8》
explorer.exe,C:\Users\[ユーザー名]\AppData\Roaming\[特定の文字列].dat

《Windows XP》
explorer.exe,C:\Documents and Settings\[ユーザー名]\Application Data\[特定の文字列].dat

↓ ↓ ↓

explorer.exe

【5】 Windowsパソコンを再起動するため、コマンドプロンプトで『shutdown -r -t 0』（黄色は半角スペース）と打ち込んでエンターキーを押す。

（参考）コマンドの意味・・・ shutdown ＝終了する／ restart ＝再起動する／ time 0 ＝ゼロ秒後に

【6】ウイルス本体を見つけ出して削除する必要があるので、下の無料ウイルス駆除ツールでクイックスキャンを行う。

☆ 再び感染し地獄を見たい方にお得な情報！
このウイルス対策をやらないことにより再びこのウイルスに感染できます。スリルと快感を何回でも味わいたいアナタはこのウイルス対策をゼッタイにやらないでネ♪ ＼(^o^)/

【無料ウイルススキャンツール （フリーソフト、駆除対応）】
マルウェアバイトアンチマルウェア Malwarebytes Anti-Malware Free
https://www.malwarebytes.com/antimalware/ （使い方はコチラ）
マイクロソフトセーフティスキャナー Microsoft Safety Scanner
https://www.microsoft.com/ja-jp/wdsi/products/scanner （使い方はコチラ）