ランサムウェアの攻撃と感染を防止および防止する方法

このランサムウェア(Ransomware)の防止と保護のガイドでは、ランサムウェア(Ransomware)の防止と、間違った理由でニュースを広める新しいマルウェアであるランサムウェア(Ransomware)をブロックおよび防止するために実行できる手順について説明します。

(Time)脅威や、コンピューターユーザーに危険をもたらすランサムウェア(Ransomware)などのマルウェアの新しい亜種について何度も学びます。ランサムウェアウイルスは、ファイルまたはコンピューターへのアクセスをロックし、アクセスを回復するために身代金を作成者に支払うことを要求します。これは通常、匿名のプリペイドキャッシュバウチャーまたはビットコイン(Bitcoin)のいずれかを介して許可されます。最近注目を集めている特定のランサムウェアの脅威の1つは、 FBIランサムウェアであるCrilockLockerとは別に、Cryptolockerです。

ランサムウェアの特徴は、それ自体が(多くの場合、電子メールで)、またはバックドアやダウンローダーを経由して、追加のコンポーネントとして持ち込まれる可能性があることです。電子メール、インスタントメッセージ、ソーシャルネットワーキングサイト、または侵害されたWebサイトで悪意のあるリンクをクリックした場合、または悪意のある電子メールの添付ファイルをダウンロードして開くと、コンピュータがランサムウェアに感染する可能性があります。さらに、悪名高いウイルスのように、ほとんどのウイルス対策プログラムで検出されない可能性があります。また、ウイルス対策ソフトウェアでランサムウェアを削除できる場合でも、ロックされたファイルやデータが大量に残ってしまうことがよくあります。

防止-cryptolocker-ランサムウェア

ランサムウェアを防ぐ方法

状況は心配であり、マルウェア作成者のルールに従わない場合、ほとんどの場合、結果は致命的ですが、暗号化されたファイルは修復できないほど損傷する可能性があるため、問題を防ぐために特定の予防策を講じることができます。ランサムウェアの暗号化を防ぐことができます!実行できるランサムウェア防止手順(Ransomware prevention steps)のいくつかを見てみましょう。これらの手順は、ランサムウェア(Ransomware)をブロックおよび防止するのに役立ちます。

更新されたOSとセキュリティソフトウェア(Updated OS & security software)

言うまでもなく、Windows 10/8/7のような完全に更新された最新のオペレーティングシステム、優れ(fully updated modern operating system)ウイルス対策ソフトウェア(antivirus software)またはインターネットセキュリティスイート(Internet Security Suite)(good antivirus software or an Internet Security Suite)更新された安全なブラウザ(updated secure browser)、および更新された電子メールクライアント(updated email client)を使用します。.exeファイル(block .exe files)をブロックするように電子メールクライアントを設定します。

マルウェア(Malware)の作成者は、古いバージョンのOSを実行しているコンピューターユーザーが簡単な標的になると考えています。それらは、これらの悪名高い犯罪者がサイレントにシステムに侵入するために悪用できるいくつかの脆弱性を持っていることが知られています。したがって、ソフトウェアにパッチを適用するか、更新してください。評判の良いセキュリティスイートを使用してください。マルウェア作成者が新しい亜種を頻繁に送信するため、マルウェア対策ソフトウェアとソフトウェアファイアウォールの両方を組み合わせたプログラムを実行して、脅威や疑わしい動作を特定し、検出を回避することを常にお勧めします。ランサムウェアのトリックとブラウザの動作に関するこの投稿を読むことをお勧めします。

Windows10でのランサムウェア保護(Ransomware protection in Windows 10)についてお読みください。(Read about Ransomware protection in Windows 10.)

データをバックアップする(Back up your data)

定期的にバックアップ(regular backups)を取ることで、マシンがランサムウェア(Ransomware)に感染した場合に発生する被害を確実に最小限に抑えることができます。実際、Microsoftは全力を尽くしており、バックアップはCryptolockerを含むランサムウェアに対する最善の防御策であると述べています。

不明なリンクをクリックしたり、不明なソースから添付ファイルをダウンロードしたりしないでください(Never click on unknown links or download attachments from unknown sources)

これは重要。電子メールは、(Email)ランサムウェア(Ransomware)がコンピューターにアクセスするために使用する一般的なベクトルです。したがって、疑わしいと思われるリンクは絶対にクリックしないでください。1%の疑いがあるとしても、そうしないでください。同じことが添付ファイルにも当てはまります。友人、親戚、同僚から期待している添付ファイルを確実にダウンロードできますが、友人からも受信する可能性のあるメール転送には十分注意してください。このようなシナリオで覚えておくべき小さなルール:疑わしい場合–しないで(If in doubt – DONT)ください!電子メールの添付ファイルを開くとき、または(when opening email attachments)Webリンクをクリックする(clicking on web links)前に取るべき注意事項を確認してください。

RansomSaverは、ランサムウェアマルウェアファイルが添付された電子メールを検出してブロックする、 MicrosoftのOutlook用の非常に便利なアドインです。

隠しファイルの拡張子を表示する(Show hidden file-extension)

show-file-extensions

Cryptolockerのエントリルートとして機能するファイルの1つは、拡張子が「.PDF.EXE」のファイルです。マルウェア(Malware)は、.exeファイルを無害に見える.pdfに偽装するのが好きです。.docまたは.txtファイル。この機能を有効にしてファイル拡張子全体を表示すると、疑わしいファイルを見つけて、そもそもそれらを削除するのが簡単になります。隠しファイルの拡張子を表示するには、次の手順を実行します。

コントロールパネル(Control Panel)を開き、フォルダ(Folder) オプション(Options)を検索します。[表示(View)]タブで、 [既知のファイルタイプの拡張子を非(Hide extensions for known file types)表示にする]オプションのチェックを外します。

Click Apply > OK.これで、ファイルを確認すると、ファイル名は常に.doc.pdf.txtなどの拡張子で表示されます。これは、ファイルの実際の拡張子を確認するのに役立ちます。

Disable files running from AppData/LocalAppData folders

Windows内でルールを作成して適用するか、侵入防止ソフトウェアを使用して、 Cryptolockerを含むいくつかのランサムウェアが(Ransomware)AppData(Local App Data)またはLocalAppData(App Data)フォルダーから実行可能ファイルを実行するために使用する特定の注目すべき動作を禁止します。Cryptolocker Prevention Kitは、サードティア(Third Tier)によって作成されたツールであり、グループポリシー(Group Policy)を作成して、AppDataフォルダーとLocalApp (App Data)Dataフォルダーから実行されるファイルを無効にし、実行可能ファイルを(Local App Data)Tempから実行できないようにするプロセスを自動化します。さまざまな解凍ユーティリティのディレクトリ。

アプリケーションのホワイトリスト(Application whitelisting)

アプリケーションのホワイトリストは、ほとんどのIT管理者が、許可されていない実行可能ファイルまたはプログラムがシステムで実行されるのを防ぐために採用している優れた方法です。これを行うと、ホワイトリストに登録したソフトウェアのみがシステムで実行できるようになり、その結果、不明なエグゼクティブファイル、マルウェア、またはランサムウェアを実行できなくなります。プログラムをホワイトリストに登録する方法をご覧ください。

SMB1を無効にする(Disable SMB1)

SMBまたはサーバーメッセージブロック(Server Message Block)は、コンピューター間でファイルやプリンターなどを共有するためのネットワークファイル共有プロトコルです。サーバーメッセージブロック(Server Message Block)SMB)バージョン1(SMBv1)、SMBバージョン2(SMBv2)、およびSMBバージョン3(SMBv3 )の3つのバージョンがあります。セキュリティ上の理由から、SMB1を無効にすることをお勧めします。

AppLockerを使用する(Use AppLocker)

(Use)Windowsの組み込み機能AppLocker使用して、ユーザーがWindowsストアアプリをインストールまたは実行できないようにし、実行(prevent Users from installing or running Windows Store Apps )するソフトウェアを制御します。Cryptolockerランサムウェア感染の可能性を減らすために、それに応じてデバイスを構成できます。

また、次のような場所で、署名されていない実行可能ファイルをブロックすることにより、ランサムウェアを軽減するために使用することもできます。

  • <ユーザープロファイル>AppDataLocalTemp
  • \AppData\Local\Temp\ *
  • AppDataLocalTemp **

この投稿では、AppLocker(create rules with AppLocker)を使用して実行可能ファイルにルールを作成し、アプリケーションをホワイトリストに登録する方法について説明します。

EMETの使用(Using EMET)

Enhanced Mitigation Experience Toolkitは、Windowsコンピューターをサイバー攻撃や未知のエクスプロイトから保護します。これは、メモリ破損の脆弱性を悪用するために一般的に使用される悪用手法を検出してブロックします。エクスプロイトがトロイの木馬(Trojan)をドロップするのを防ぎますが、ファイルをクリックして開くと、それは役に立ちません。更新(UPDATE):このツールは現在利用できません。Windows 10 Fall Creators Updateには、 (Creators Update)Windows Defenderの一部としてEMETが含まれるため、このOSのユーザーはEMETを使用する必要はありません。

MBRを保護する

コンピューターのマスターブートレコード(Master Boot Record)MBRフィルター(MBR Filter)で保護します。

リモートデスクトッププロトコルを無効にする(Disable Remote Desktop Protocol)

Cryptolockerマルウェアを含むほとんどのランサムウェアは、デスクトップへのリモートアクセスを許可する(Ransomware)Windowsユーティリティであるリモートデスクトッププロトコル(Remote Desktop Protocol)RDP)を介してターゲットマシンにアクセスしようとします。したがって、RDPが役に立たない場合は、リモートデスクトップを無効にして、 (disable remote desktop)FileCoderやその他のRDPエクスプロイトからマシンを保護してください。

WindowsScriptingHostを無効にする(Disable Windows Scripting Host)

マルウェア(Malware)およびランサムウェアファミリは、多くの場合、WSHを使用して.jsまたは.jseファイルを実行し、コンピュータに感染します。この機能を使用しない場合は、WindowsScriptingHostを無効にして安全を確保できます。

ランサムウェアの防止または削除ツールを使用する(Use Ransomware prevention or removal tools)

優れた無料のランサムウェア対策ソフトウェア(free anti-ransomware software)を使用してください。BitDefenderAntiRansomwareとRansomFreeは良いもののいくつかです。RanSim Ransomware Simulatorを使用して、コンピューターが十分に保護されているかどうかを確認できます。

Kaspersky WindowsUnlockerは、ランサムウェアに感染したレジストリをクリーンアップできるため、(Registry)ランサム(Ransomware)ウェアがコンピュータへのアクセスを完全にブロックしたり、重要な機能を選択するためのアクセスを制限したりする 場合に役立ちます。

ランサムウェアを防ぐ

ランサムウェアを特定できれば、その特定のランサムウェアで利用できるランサムウェア復号化ツールを使用できるため、作業が少し簡単になります。(If you can identify the ransomware, it can make things a bit easier as you can use the ransomware decryption tools that may be available for that particular ransomware.)

これは、ファイルのロックを解除するのに役立つ無料のランサムウェア復号化ツール(Ransomware Decryptor Tools)のリストです。

すぐにインターネットから切断する(Disconnect from the Internet immediately)

ファイルについて疑わしい場合は、ファイルの暗号化が完了する前に、C&Cサーバーとの通信を迅速に停止してください。これを行うには、インターネット(Internet)WiFi、またはネットワーク(Network)からすぐに切断します。暗号化プロセスには時間がかかるため、ランサムウェア(Ransomware)の影響を無効にすることはできませんが、被害を確実に軽減できます。

システムの復元を使用して、既知のクリーンな状態に戻します(Use System Restore to get back to a known-clean state)

Windowsマシンで(Windows)システムの復元を有効にしている場合は、システムを既知のクリーンな状態に戻してみてください。これは絶対確実な方法ではありませんが、場合によっては役立つことがあります。

BIOSクロックを元に戻す(Set the BIOS clock back)

CryptolockerやFBIRansomwareを含むほとんどのランサムウェア(Ransomware)には、支払いを行うことができる期限または制限時間があります。延長すると、復号化キーの価格が大幅に上がる可能性があり、交渉すらできません。少なくとも試すことができるのは、BIOSクロックを締め切り時間枠が切れる前の時間に戻すことで、「時計を打ち負かす」ことです。すべてのトリックが失敗した場合の唯一の手段は、より高い価格を支払うことを妨げる可能性があるためです。ほとんどのランサムウェアは3〜8日間の期間を提供し、ロックされたデータファイルのロックを解除するための鍵として最大300米ドル以上を要求する場合があります。

ランサムウェアの標的となるグループのほとんどは米国と英国にありますが、地理的な制限はありません。誰もがその影響を受ける可能性があり、日々、ランサムウェアマルウェアがますます検出されています。したがって、ランサムウェアがコンピュータに侵入するのを防ぐためにいくつかの手順を実行します。この投稿では、ランサムウェア攻撃とFAQ(Ransomware Attacks & FAQ)についてもう少し詳しく説明しています。
(While most of the targeted groups by Ransomware have been in the US and the UK, there exists no geographical limit. Anyone can be affected by it – and with every passing day, more and more ransomware malware is being detected. So take some steps to prevent Ransomware from getting onto your computer. This post talks a little more about Ransomware Attacks & FAQ.)

今読んでください:(Now read:) ランサムウェア攻撃の後に何をすべきか(What to do after a Ransomware attack)



About the author

私は、ソフトウェア業界で 10 年以上の経験を持つ、推奨される Windows 10 の専門家です。私は Explorer と Office 365 の両方の専門知識を持っており、特にユーザーの個人設定と外観設定に熟練しています。私のスキルは、オンライン レビューを通じて優れた顧客サービスを提供し、AI などのテクノロジを活用してサポートを改善するという私のビジネスの中心にあります。



Related posts