BTO機 詐欺ソフト「Data Recovery」 の駆除およびデータ復元

 岐阜県大垣市の法人様からの緊急依頼。機種はBTOパソコン。OSはwindows xp home sp3。夜9時過ぎに「パソコンに異常が起きて使えなくなってしまったので緊急で直してほしい。」という連絡が入ったので、とりあえずそのパソコンを当店に持ち込んでいただく。できるだけ明日の午前中までになんとかしてほしい」とのこと。依頼者曰く、「症状をネットで調べたところ、[smartHDD]という詐欺ソフト(金銭不当要求ソフト)の亜種らしい」。システムの復元など、夜9時頃まで試行錯誤されていたとのこと。

 お預かりして症状の確認を行う。この不正プログラムは「Data Recovery」という名称。かなり悪質なソフトである。感染すると次のようになる。

◎マイコンピュータやエクスプローラを開いた時、ファイルやフォルダが見えなくなる。ただし「ツール」-「フォルダオプション」-”表示”タブ で、ファイルとフォルダの表示:「すべてのファイルを表示する」にチェックを入れるとファイルやフォルダが見えるようになる。すなわち、ファイルやフォルダ全てに隠し属性が付く。「保護されたオペレーティングシステムファイルを表示しない(推奨)」をオフにしないと見えないこともあるかもしれない。
◎デスクトップやスタートメニューのファイルやフォルダーを削除し、別のところに移動してしまう。
◎以上のことを行ってパソコンの業務に支障を来たすようにした上で、復元のためにソフトウエア購入を要求する
※これに感染した場合、ディスククリーンアップソフトは絶対使ってはいけません。復旧できなくなります!

このように悪質なソフトであるが、駆除方法を検討して作業を行う。まずこのプログラムを無効化し、次にスタートアップ起動項目からこの不正プログラムらしいものを割り出して無効化。再起動して不正プログラムが起動しないこと確認する。次に非表示になったファイルを表示するようにし、デスクトップやスタートメニューから削除されたショートカットアイコンを復元する。その後、該当するプログラムの実体とレジストリーキーを削除。少なくとも microsoft security scanner などのツールの最新版を使用して駆除を行った。

 その結果、そのパソコンを使って業務を行うことが可能になった。その後、アドビリーダーや、フラッシュプレイヤー、JAVAを最新版に更新して作業終了。お客様には、翌日午前11時頃にパソコンを取りに来ていただいた。

 さて、驚くべきことに、お預かりしたパソコンは、ファイヤーウォールやウイルス対策ソフトが無効になっていた。その法人様にはIT管理をしっかりやっていただきたいと思うが、それはともかく、この類のソフトは、高価なウイルス対策ソフトが導入されていても感染を防ぐことができないものである。windowsのアップデートのみならず、日ごろ使っている、アドビリーダーや、フラッシュプレイヤー、JAVAなどは、常に最新版をインストールしておくのもはや常識です。責任者が適宜確認するようにしてください。
なお、最新版かどうかは、 MyJVN バージョンチェッカ(javaインストール要) などで容易に調べられるようになっているので、ご利用下さい。

 なお、スタートメニューやデスクトップを復元するために必要なファイルは、%Temp%\smtmp\以下に移動されている。(なお %Temp% は、環境変数Tempがさすフォルダ  たとえば C:\Documents and Settings\ログオン名\Local Settings\Temp C:\ユーザー(Users)\<ログオン名>\AppData\Local\Temp など。なお環境変数の調べ方に関する説明は省略。)
(不正プログラムを無効にするためのライセンスキーや、復元作業を自動的に行ってくれるスクリプトもネットで公開されているが、検索上位の情報が偽情報の場合があり、当方にて責任が持てないのでここには記載しません)
◎%Temp%\smtmp\1\ の内容は、以下のフォルダに戻してやる必要がある
 Windows XP: C:\Documents and Settings\All Users\スタート メニュー(Start Menu)
 Windows Vista 及び Windows 7: C:\ProgramData\Microsoft\Windows\スタート メニュー(Start Menu)
◎%Temp%\smtmp\2\ の内容は、以下のフォルダに戻してやる必要がある
 Windows XP: C:\Documents and Settings\<ログオン名>\Application Data\Microsoft\Internet Explorer\Quick Launch\
 Windows Vista 及び Windows 7: C:\ユーザー(Users)\<ログオン名>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\
◎%Temp%\smtmp\3\ の内容は、以下のフォルダに戻してやる必要がある。なお Windows XPの場合はこの作業は不要。
 Windows Vista 及び Windows 7: C:\ユーザー(Users)\<ログオン名>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
◎%Temp%\smtmp\4\ の内容は、以下のフォルダに戻してやる必要がある
 Windows XP: C:\Documents and Settings\All Users\デスクトップ(Desktop)
 Windows Vista 及び Windows 7: C:\ユーザー(Users)\パブリック(Public)\Desktop