八戸 タコ(蛸)ウィルス
久しぶりにウィルスにやられました。
しかも、今まで一番強力です。
というもの・・・
(1)動画ファイル(スクリーンセーバーファイル?)を開くと感染。拡張子は、mp4か、scrだったと思います。
(2)感染と同時にあらゆるファイルを修復不能までに書き換えます。ネットをしらべると、タコ(八戸という鉢巻をしている)イラスト画像だったり、イカの場合もあるようです。
(3)一度、起動するととめるのが難しい。Ctrl+Alt+Delでプロセスを無理やり停止しようとしても、どのプロセスなのか分かりににくい。おそらく本体のファイル名を見る限り lsass.exeだと思うのですが、ファイルの書き換えをしているのでservice.exeがCPU資源を独占しています。winlogon.exeってもの怪しいらしいです。
(4)オンラインスキャンや市販のウィルスソフトをすり抜ける。実行形式(ユーザーが開くとか起動しないと動かない)だから?
感染して、すぐに気づけはよいのですが、気づくのが遅れると、どんどん、ファイルを書き換えられます。どうやら、ドライブ関係なしで、内臓でも外付けでもCでもDでもEでもどんどん書き換えていきます。おれっちの場合は、主にデータ保存用のEドライブをやられましたが、Cドライブのマイドキュメントの一部や、システムフォルダにあるお気に入りもやられていました。
とりあえず、現状、分かっていることをまとめると・・・
※以下の対応は、かなり無謀なことをしています。ウィルスに対処するつもりが、逆にデータを破損したりすることの原因になるかもしれません。エドは責任を一切持ちませんので、ご自身の判断にしたがって対応してください。あくまで、ご参考までに。
【感染源】
Winnyなどファイル交換ソフトで流れている、mp4もしくはscrファイル。おれっちは、「涼宮ハルヒ」の動画でやられましたが、化物語っていうアニメ動画のバージョンもあるようです。涼宮ハルヒで問題作となっている、エンドレスエイト(これは、別途ブログでふれますね)の結末となる第19話なので、だまされて、かなりの人が感染すると思われます。
【感染した直後】
開いたファイルがおいてあるフォルダのファイルが一斉に画像ファイルに変換されます。(おれっちの場合は、X(適当な文字列)XXXX T-450 .PNGというファイル名です。T-200というパターンもあるようです。)ですので、やられた瞬間に多分分かります。それから、ファイルの書き換えが始まるので、ハードディスクへのアクセスランプが光りっぱなしになり、CPUの付加があがるのでファンが音お立て回り始めて、パソコンが急激に重くなります。
【感染直後の対応】
大事な外付けハードディスクなどは、問答無用でPCから引き抜きます。そして、PCを強制終了します。(悠長なことをしていると、どんどん、ファイルをやられます)本来なら、スタートメニューなどから「終了オプション」を選んで電源を落とすべきですが、簡単には、電源が落ちません。PCを強制終了すると、システムが不安定になったりハードディスクがクラッシュするリスクも高くなりますが、ウィルスにやられるのと天秤です。個人の判断におまかせします。ちなみに、強制終了は、電源ボタンを長押し(5秒くらい)です。コンセントを引っこ抜くよりはましです。
【応急処置の対応】
http://oshiete1.goo.ne.jp/qa5189249.html
こちらのページにあるように、
(1)Windowsをセーフティーモードで起動する。(一般的には、F8を押しながら起動する。)もし、間違って通常起動したら、再度、強制電源落としをした方がよいと思います。スタートアップにウィルスが登録されているので、Windowsが起動すると同時にウィルスも起動して、ファイルを書き換えはじめます。
(2)セーフティーモードで起動したら、スタートアップの中に「 WS_INI 」というファイルが登録されてしまっているので、これを削除。
具体的な場所は、OSやインストール方法で違いますが・・・
C:\Documents and Settings\xxxxxxx\スタート メニュー\プログラム\スタートアップxxxxxxのところは、感染した時にログインしていたユーザー名です。
(3)次に、ウィルス本体の実行ファイルを削除します。
C:\WINDOWS\jiro\lasses.exe
です。jiroってファイルごと削除してよいかと思います。
ってことで、この応急処置でウィルスの活動は止まるっぽいのですが・・・
【しっかり削除する場合】
これは、完全にリカバリーするしかありません。データの一部もしくは、すべてを諦めて、ハードディスクをまっさらにフォーマットして、OSの再インストールです。
結局、おれっちは、これをやりました。夜中の2時くらいまで、作業がかかり、お陰で寝不足です。
とはいっても、OSの入っているCドライブだけがきれいになっただけで、データ保存用のDとかEはそのまま。
一応、感染すると書き換えられる、XXXX T-450 .PNGという名前のファイルは、検索して、すべて削除しました。
【変更されてしまったファイルは・・・】
おれっちの知識と技術では、復活させられませんでした。
拡張子を戻すだけではだめですね。
そんなわけで、本日、外付けのハードディスクを購入する予定です。
ウィルスを完全に対策するには、物理的に切り離されたデータ保存用の装置が必要です。
先日、ビックカメラで見たところ、1T(1000GB)で一万円程度でした。
※以下、Amazonでも同じ値段で送料込みで買えます。
■外付けハードディスク
外付けハードディスクドライブ
本日、これを購入して、かけがえの無いデータ(息子の写真とか動画とか、メールとか)については、バックアップを取る予定です。
備えあれば憂いなし。
2009/12/28
新しく以上の内容にその他の情報を加えてまとめました。
http://ameblo.jp/edo-finance/entry-10421265246.html