パソコンを操作不能にする悪質ツール「Windows Recovery」

　パソコンを操作不能にする偽ツール「Windows Recovery」が出回っている。システム復旧ツールに見せかけて、ユーザーからお金をまきあげる悪質な詐欺ソフトだ。（テクニカルライター・三上洋）

偽セキュリティーソフトに代わる「偽システム修復ツール」

偽のシステム修復ツール「Windows Recovery」の初期画面。ハードディスクのチェック画面のような表示になる（トレンドマイクロのブログによる）

ハードディスクとシステムファイルに11個のエラーがあると偽の表示を出した状態（トレンドマイクロのブログによる）

直そうとするとアクティベーションコードの入力画面に。クレジットカードで購入させようとする（トレンドマイクロのブログによる）

デスクトップからアイコンがすべて消え、プログラムのショートカットもなくなってしまう（トレンドマイクロのブログによる）

　ユーザーをだます詐欺ソフト「Windows Recovery」が、今年の4月頃から出回っている。デスクトップの操作を禁止したり、プログラムの一覧を隠してしまい、復活させるとしてクレジットカードでの購入を要求してきたりする。とても悪質な詐欺ソフトだ。

　同様の詐欺ソフトとしては、数年前から偽セキュリティーソフトが問題になっている。「ウイルスを発見した」と偽の表示を出し、駆除するためと称してクレジットカードで入金させる、個人情報を盗み取るなどの詐欺ソフトだ。

　今回問題となっている「偽システム修復ツール」は、偽セキュリティーソフトとは異なり、最初に「ハードディスクに問題がある」と表示するもの。Windowsの「システムの復元」やハードディスクの復旧ツールに似たデザインとなっている。セキュリティー大手・トレンドマイクロが自社のブログで「被害確認! 偽システム修復ツール『Windows Recovery』」として警告している。

　それによると、以下のような名前の偽システム修復ツールが出回っている。
・Windows Recovery、Windows XP Recovery、Windows Vista Recovery、Windows 7 Recovery
・Windows Repair、Windows XP Repair、Windows Vista Repair、Windows 7 Repair
・Windows Restore、Windows XP Restore、Windows Vista Restore、Windows 7 Restore

　この偽ソフトは、まずブラウザーや関連するソフト（FlashやPDF関連など）の脆弱(ぜいじゃく)性を突いてパソコンに侵入するようだ。インストールされると、右のような検索画面を出し、ハードディスクやファイルシステムに異常があるように表示する。2枚目の画像では11個のエラーが発見されたと表示されており、復旧させる「Fix Errors」のボタンを押すと、アクティベーションコードの入力が要求される（3枚目の画像）。このアクティベーションコードを入手するには、クレジットカードでの購入が必要だと脅す。トレンドマイクロでは「パソコンを人質にとってお金を要求するため、ランサムウェア（身代金要求）の一種と考えられる」としている。

操作がまったくできなくなる悪質ソフト

　4枚目の画像は「Windows Recovery」が入ってしまった状態のデスクトップ画面だ。デスクトップ上にアイコンがなくなり、タスクバーにある「すべてのプログラム」が空になっている。スタートボタンからプログラムが起動できない上に、マウスの右クリック操作を禁止、ほとんどのアイコンが見えなくなるなどの問題もあり、パソコンは事実上操作不能になってしまう。

　これは「Windows Recovery」が、勝手にファイル属性を変更しているのが原因だ。すべてのファイルとフォルダーを「隠しファイル属性」にして見えなくしている。また「すべてのプログラム」にあるショートカットを勝手に削除、さらに右クリックを禁止するなどのシステム改変を行っている。

　こうなると途方に暮れて、クレジットカードで購入してしまうユーザーも出てくるだろう。犯人の思うつぼになってしまう。

　トレンドマイクロでは復旧するための方法を、「偽システム修復ツール『Windows Recovery』に感染したら」で紹介している。それによると、
1）アクティベーションコードの入力により偽システム修復ツール自身に修復させる
2）偽システム修復ツールをアンインストールする
3）アンインストールが完了したら（正規のセキュリティーソフト導入）

　という方法で修復方法を紹介している。正直に言って、この方法はかなり変則技だ。というのは、偽ツールのアクティベーションコードを強制的に入力して復旧させるからだ。犯人側が有効なコードを変えてしまえば使えなくなるし、偽ソフトが持つアンインストール機能を無効にされる可能性もある。

　これ以外の方法としては、Windowsの設定ファイルであるレジストリ値などを変更する方法もあるが、調査と変更に時間がかかるため実際的ではないようだ。現時点では、上記のように偽ツールをいったん有効にして削除するという方法がベターだと言える。

ソフトを最新版にして、バックアップも

　この偽システム復旧ツールが出回った原因として、セキュリティーソフト側が検知できなかったことがある。4月上旬の段階では、この偽ソフトを検知できないセキュリティーソフトがあったため、侵入されてしまったようだ。

　ユーザー側の対策としては、以下の点を覚えておきたい。

　
●ソフトウエアは常に最新に
ウィンドウズの自動アップデートはもちろんのこと、Adobe Flash、Adobe Reader、Java関連などの関連ソフトも常に最新版にする（詳しくはサイバークリーンセンターのサイトを参照のこと）

●重要データは必ずバックアップを
復旧できない場合は、パソコンを初期化しなければならない事態も起きる。いざという時のために、普段から重要ファイル・データはバックアップを取っておこう

●セキュリティーソフトを有効に
セキュリティーソフトを導入し、ウイルスのパターンファイルを最新版にすること。契約の切れたセキュリティーソフトは無意味なので、有償のソフトでは必ずお金を払い込む

　今後も名前を変えて、偽システム復旧ツールが登場する可能性がある。入り込まれないように上の3ポイントを再度見直そう。