(図1)
ドキュメントフォルダーのファイル一覧。
( 画像サイズ 44.52 KB )
↑ DECRYPT_INSTRUCTION.TXT 、 DECRYPT_INSTRUCTION.HTML 、 INSTALL_TOR.URL ・・・・・・・・・。
CryptoWall だと思います。 感染前のバックアップ・ファイルがなければアウト、でしょう。
少なくとも Microsoft Office 系ファイルは全滅と思われました。
なお、 Excel 、 Word の画面に表示されたメッセージは、コンバーター関連のエラーです。
まあ Office 系の拡張子で、中身が不明なバイナリーですから、そうなります。
実際、16進ダンプしてみても、まったく意味不明でした。
普通の Office 系ファイルのダンプならば、すき間もあるし、意味のある文字列も出てくるのですが。
びっちりと埋まっていました。 GnuPG の吐き出したファイルに似ていますねぇ、と思っていたところ。
DECRYPT_INSTRUCTION.TXT を見つけてしまいまして・・・。
お金払ってもたぶんファイルは戻ってきません、とお伝えしました。
(関連)
トレンドマイクロ http://about-threats.trendmicro.com/Malware.aspx?language=jp&name=TROJ_CRYPWALL.D
> TROJ_CRYPWALL.D | 危険度: 低 | トレンドマイクロ:セキュリティ情報
トレンドマイクロ http://about-threats.trendmicro.com/Malware.aspx?language=jp&name=TROJ_CRYPWALL.AAA
> TROJ_CRYPWALL.AAA | 危険度: 低 | トレンドマイクロ:セキュリティ情報
※ "危険度: 低" でも、ファイルは失うし、"TROJ_" なんですよねぇ。
Symantec http://www.symantec.com/connect/forums/cryptowall-20
> CryptoWall 2.0 | Symantec Connect
・・・
日経BP ITpro Active http://itpro.nikkeibp.co.jp/atclact/active/15/030500023/030500001/
> 第1回:PC内部のファイルを人質にとるランサムウエア「CryptoWall」 -
> 最新ウイルス解析レポート:ITpro Active
※ "図25" がダンプ表示の例。
・・・
http://d.hatena.ne.jp/TsuSUZUKI/20070828/1188277814
※ Adobe Reader のオプション設定を見直す
http://d.hatena.ne.jp/TsuSUZUKI/20080216/1203141907
※ Adobe Reader の Script 機能は切りましょう
http://d.hatena.ne.jp/TsuSUZUKI/20100409/1270762829
※ 続・Adobe Reader のオプション設定を見直す
いじょうです。
-
- -