PureLocker とは?

2019 年には、個々のコンピューターだけでなく、組織全体を機能不全に陥れるランサムウェアの脅威が数多く見られました。見出しを飾ったそのようなランサムウェアの 1 つは、PureLocker ランサムウェアです。これは、Windows および Linux ベースの実稼働サーバーと企業の両方を攻撃できるマルウェアです。

PureLocker ランサムウェアは、そのコードが PureBasic プログラミング言語で記述されているため、そのように呼ばれています。これにより、他のランサムウェア ファミリよりもいくつかの利点が得られます。まず、PureBasic はそれほど一般的ではありません。つまり、多くのマルウェア対策ソリューションは、それがもたらす脅威に対処するのに十分ではありません。つまり、多くのウイルス対策プログラムは、PureBasic バイナリからのシグネチャの検出に関しては制限があります。

多くの点で斬新ですが、PureLocker ランサムウェアは、「more_eggs」ランサムウェア ファミリなどの既知のランサムウェア ファミリのコードをまだ使用しています。 More_eggs は、ダーク Web でサービスとしてのマルウェア (MaaS) として販売されています。つまり、PureLocker による攻撃は、Cobalt Group や FIN6 ギャングなどの裏社会の犯罪グループと結びついています。

PureLocker マルウェアの機能

PureLocker ランサムウェアが他のマルウェアとは少し異なることは既に確認済みですが、正確にはどのように動作するのでしょうか?このランサムウェアは、「ntdll.dll」のコピーをロードし、そこから API アドレスを解決することで、NTDLL 関数のユーザー モード API フックを回避することが知られています。この回避策により、ウイルス対策プログラムがマルウェアに対抗することが困難になります。API フックは、ウイルス対策プログラムがマルウェアやその他のソフトウェアによって呼び出される正確な機能を確認するために使用するものだからです。

このマルウェアは、PureLocker コンポーネントを Windows のコマンド ライン ユーティリティである regrsrv32.exe にインストールするための指示も発行します。ダイアログを表示せずにこれを行います。 regrsrv32.exe が実行されると、マルウェアは年を検証し、ファイル拡張子が .DLL または .OCX であることを確認します。また、コンピュータのユーザーが管理者権限を持っているかどうかも確認します。これらの検証のいずれかが失敗した場合、マルウェアは感染したコンピューターを何も起こらなかったかのように静かに終了しますが、すべてが正常であることが判明した場合、ターゲットのコンピューター ファイルは標準の AES+ RSA 暗号化の組み合わせで暗号化されます。暗号化されたファイルごとに .CRI 拡張子が追加されます。シャドウ ファイルまたは Windows バックアップは感染プロセス中に削除されるため、ファイルを回復する方法はありません。

PureLocker ランサムウェアの最後の珍しい点は、身代金の送金先をユーザーに知らせる readme.txt を表示するのではなく、攻撃者と被害者を結び付ける匿名の暗号化された電子メール アドレスを発行することです。両者が合意に達した場合、ファイルの復号化の申し出が行われます。

コンピューターから PureLocker ランサムウェアを削除する方法

PureLocker は多くの点でユニークなマルウェアであり、非常に長い間検出されずにコンピューターに隠されている可能性があります。そのため、マルウェアを削除するオプションはいくつかに限定されています。しかし、どんなに絶望的であっても、マルウェアの背後にいる犯罪者に身代金を支払うことを考えるべきではありません。 1 つは、サイバー犯罪者の動機を維持するのはあなたの支払い意思だけであるため、次回はあなたがターゲットになるだけです。また、マルウェアの作成者が、身代金を受け取ったときにファイルを復号化するという約束を守らない可能性も考慮する必要があります。残念ながら何もありません。

では、身代金を支払うことができない場合、コンピュータを PureLocker ランサムウェアから解放するにはどうすればよいでしょうか?コンピュータを Safe Mode with Networking で実行することをお勧めします。これにより、Outbyte Antivirus などの強力なマルウェア対策ソリューションを後でダウンロードするために使用できるネットワーク リソースにアクセスできるようになります。 .

アンチウイルスは、PureLocker ランサムウェアとそのすべての悪意のあるコンポーネントを削除します。

Windows 7/Vista または Windows XP でネットワークを使用してセーフ モードで起動するには、次の手順を実行します。

Windows 8 および 10 のセーフ モードとネットワーク:

Safe Mode with Networking オプションで PureLocker ランサムウェアを削除できない場合は、上記の手順を繰り返すことができます。ただし、今回は スタートアップ設定 を選択する代わりに、 [システムの復元] を選択します。

システムの復元は、コンピューターの設定やアプリへの変更を元に戻すことができる Windows の回復プロセスです。これを使用して、問題のあるアプリやソフトウェアを削除できます。

PureLocker マルウェアがお使いの Mac に侵入した場合、Time Machine を使用してファイル、設定、アプリの一部を復元できます。ただし、システムの復元の場合と同様に、感染する前に Time Machine のバックアップを利用できる必要があります。

他のすべてが失敗し、これが Mac にも当てはまる場合は、新しいバージョンの OS をインストールすることを検討してください。

コンピュータを感染から保護することは、最も重要なタスクです。 PureLocker などのマルウェアが組織に感染するのを防ぐためのヒントをいくつか紹介します。

すべてのシステムを更新

一部の組織では、Microsoft からの正式な保護を受けなくなった Windows XP などの古いバージョンの Windows をまだ実行していることは残念です。 Windows XP はかつては優れた製品でしたが、世界はそれ以来変化しており、それに固執することは、その多くの脆弱性の 1 つがあなたに対して使用される可能性を高めるだけです.

マルウェア対策をインストールする

お使いのコンピューターにプレミアム マルウェア対策ソリューションはありますか?持っていない場合は、Outbyte PC Repair などの PC 修復ツールのインストールを検討する必要があります。 .このツールは、PC の状態を常にスキャンします。また、ストレージ スペースをクリーンアップし、破損または破損したレジストリ エントリを修復し、RAM のパフォーマンスを最適化します。

ファイルのバックアップを作成する

PureLocker マルウェアなどの厄介な脅威がシステムを攻撃した場合に備えて、最も重要なファイルのいくつかを保存する物理ディスクを用意する必要があります。ファイルを失うという脅威がなければ、ランサムウェア攻撃はオフィスで毎日のように発生します。

この記事が、PureLocker マルウェアに対処する上でお役に立てば幸いです。ご質問、ご提案、または何か追加したいことがありましたら、下のコメント セクションにお気軽にお寄せください。