TOPページ(西村誠一のパソコン無料サポートとオンラインソフト)に戻る


「ウィルスの方から逃げていく」 レジストリキーの作成を使った
簡易版TeslaCryptウィルス対策方法(2016/3/10版)



これは2016/3/10時点での情報です
現時点でこの方法による効果が確認されていますが、この方法がいつまで有効かは分かりません
(※)但し、「カスペルスキー」や「ESET」や「AVAST」などが比較的早く対策パッチを作ってくるなどで
ウィルスソフト側がこれらのアンチソフトから明示的に逃げている傾向が強いのであれば
ある程度以上の期間、この手法が有効である可能性があります
(ウィルス側からの確認項目が変えられちゃうかもしれないので、やっぱりいつまで有効かは分からないんですが・・・)

TeslaCryptウィルスについて
TeslaCryptウィルス(俗称「vvvウィルス」、「mp3ウィルス」)やLockyウィルスなどのランサムウェアは
アンチウィルスソフトが入っている環境でも(パターンファイルが間に合わないなどで)重大な被害を
各所で引き起こしている重大なウィルスです

TeslaCryptウィルスに感染した場合では、殆どのファイルが拡張子「mp3」のファイルに変更された上で
中身も暗号化されてしまい、ほぼ復旧不可能な状況にされてしまいます

基本的にTeslaCryptウィルスを予防する方法としては

・Windows7以降のOSを使う
(※1)特にWindowsXPは絶対に使わない
(※2)どうしてもXPを使わざるを得ない場合にはIEは使わずにChromeやFireFoxを使う

・Flash、Javaを使っている場合には常に最新版にしておく

・Windowsアップデートも常に最新版にしておく
(※)半自動や手動でやるなど気を付けないと間違ってWindows10にされてしまう危険性も
別の意味でありますので、Windowsアップデートには別の意味でも気を付けましょう

・定期的に重要なデータファイルは外部のHDDやUSBメモリなどにバックアップした上で
「PCからは外しておく」

などがあります

(TeslaCryptウィルスが)「ウィルスの方から逃げていく」挙動について
TeslaCryptウィルスやLockyウィルスなどは(2016/3/10時点での情報ですが)、アンチウィルスソフトの中で
「カスペルスキー」か「ESET」か「AVAST」のどれかがインストールされている環境だと
自動的に自分で終了するそうです(発見されるのを防ぐ為?)

なので、あなたがお使いのPCに「カスペルスキー」か「ESET」か「AVAST」がインストールできるのならば
それが一番良いのかもしれませんが、価格面や組織のルールなど色々な理由で
「それらのアンチウィルスソフトをインストールできない場合」(他のアンチウィルスソフトがインストールされている場合)、
レジストリのキーを設定する事によって、「カスペルスキー」と「ESET」と「AVAST」がインストールされている様に
見せかける手法で実際に効果があったそうです

(※)海外のGalBitさん(Gal_B1t)という方が実際に効果を確認した話で、下記のツイートで示されています
https://twitter.com/Gal_B1t/status/702935428249296897

https://twitter.com/Gal_B1t/status/705057357697556484

レジストリキーについて

HKEY_LOCAL_MACHINE/SOFTWARE/KasperskyLab

HKEY_LOCAL_MACHINE/SOFTWARE/ESET

HKEY_LOCAL_MACHINE/SOFTWARE/AVAST Software
の3つです

具体的には
HKEY_LOCAL_MACHINE/SOFTWERE

の下に
KasperskyLab

ESET

AVAST Software
の空のレジストリ「キー」を作成する事になります

レジストリ「キー」というのは、ファイルで言えばフォルダの様な物で、今回は
各アンチウィルスソフトに対応する最上位レベルの「キー」(=空のフォルダの様な物)を
作るだけですので、これによってWindowsの動作が重くなったり不具合の原因になる事は一切ありません

また、キーを1つしか作らないので、作成したキーを削除する必要も一切ありません(削除しても構いませんが、しなくて大丈夫です)

更に、今回の手順で空のレジストリキーを作成した後で、実際に「カスペルスキー」なりのアンチウィルスソフトを
インストールしても全く問題ありません (※)これについては、私の側で実際に動作確認もしました



レジストリキーの作成方法

ここではWindows7の画面例を使って「手動でレジストリキーを作成する手順」を説明しますが、Windows8/8.1/10でも基本は同じです

尚、今回の方法、本当はフリーソフトなどを作って自動化する事も可能・・・というか「30分もあれば作れるレベルで簡単」だったのですが
この種のセキュリティ対策問題で「フリーソフトによる対策は、逆にうさんくさい」話も多々経験してきましたのと
今回は手動操作の手順も比較的簡単でしたので、手動操作の手順を説明するに留めたいと思います

システムの復元ポイントを作成する

今回のレジストリ操作でシステムを壊すことは「ほぼ100%ありえない」のですが、一応念の為に
システムの復元ポイントを作る所から説明します(今回の操作でおかしくなったと思ったらシステムの復元から戻せる様にする為です)

1、コントロールパネルを開き、表示方法を「小さいアイコン」とし、「システム」を開きます


2、「システムの保護」を選択します


3、「作成」ボタンを押します


4、復元ポイントの説明を「TeslaCrypt対策用」などと書いて、「作成」ボタンを押します


5、復元ポイントが作成されるのを待ちます


6、「復元ポイントは正常に作成されました」と表示されたら「閉じる」ボタンを押します。これで終了です

(※)この復元ポイントに戻す必要は、まず、全くありませんが、万が一今回の操作で調子が悪くなったと感じたら
システムの復元からこの復元ポイントに戻す事が可能です(レジストリを戻せます)

これ以降に作成したファイルなども消えてしまう操作になるので、調子が悪くならないのならシステムの復元は
行わない様にしてください(あくまで、ここで作った復元ポイントは「万が一の為の保険」です




レジストリキーを作成する

1、Windowsキー+Rキーを押します

2、「ファイル名を指定して実行」ダイヤログが表示されたら
「regedit」と入力して「OK」ボタンを押します

(※)ユーザーアカウント制御のダイヤログが表示されますので、「はい」を押してください


3、「HKEY_LOCAL_MACHINE/SOFTWARE」の下に「KasperskyLab」と
「ESET」と「AVAST Software」が無い事をあらかじめ確認しておきます

(※)既にある項目は、作成する必要がありませんし、重複して作成できません


4、「SOFTWARE」の上で右クリックし、ポップアップメニューから「新規」/「キー」を選択します


5、「新しいキー #1」と表示された項目が作成されているので、これを「KasperskyLab」に変更します

(※)変更できなくなった場合は、右クリックしてポップアップメニューから「名前の変更」を選択します




6、もう一度「SOFTWARE」の上で右クリックし、ポップアップメニューから「新規」/「キー」を選択し、今度は「ESET」とします




7、もう一度「SOFTWARE」の上で右クリックし、ポップアップメニューから「新規」/「キー」を選択し、今度は「AVAST Software」とします




8、これで終了です
(※)Windowsの再起動なども必要ありません

9、上記の手順で作成した3つの空のキーがある事で、TeslaCryptなどのランサムウェアは
「自分にとってまずいアンチウィルスソフトのインストールを感知して自動終了する様になる」ので被害を受けないという話だそうです

繰り返しますが2015/3/10時点で有効な技術情報ですが、いつまで有効かは分かりません

但し、本操作による変更結果が他に悪影響を及ぼす事は一切ありません
作成した3つのキーを後で削除する必要も一切ありません
(削除しても構いませんが、削除してもしなくても全く一緒です。むしろ削除しようとして間違ったキーを削除する危険性の方が怖いです)