【ウイルス駆除】偽セキュリティソフト「File Recovery」に感染した時の対処法と復旧ログ

先日、職場の先輩のパソコンがウイルスに感染するというトラブルが発生しました。

「あれ？ネットワークに繋がらないぞ」

その一言から始まり、別のLANケーブルを試しても接続不可。リンクアップ（物理的な接続ランプ）は点灯しているのに、OS側で認識されていない不思議な状態。

違和感を感じて再起動してみると……画面には見慣れない「File Recovery」というソフトが立ち上がっていました。

「なんだこれは？」と思い調べてみると、どうやらセキュリティソフトを装ったマルウェア（偽装ツール）であることが判明。
今回は、この「File Recovery」ウイルスに感染した際の挙動と、実際に行った駆除・復旧手順をメモとして残しておきます。

症状と特徴

通常起動ではウイルスが邪魔をして操作が困難なため、まずはセーフモードで起動します。

セーフモードであれば、ウイルスの自動起動をある程度抑えられます。
ただし、このウイルスはスタートメニュー等を非表示にするため、画面が真っ白に見えることがありますが、コマンドプロンプトやファイル名を指定して実行は生きています。

このウイルスは、PCのネットワークアダプタを勝手に「無効」にします。これがネットに繋がらなくなった原因です。

ウイルス対策ソフトが入っていない、または機能していない場合は、マイクロソフトが提供している非常用駆除ツールを使用します。

【注意】
感染したPCで直接ダウンロードするのはリスクが高いため、別の清潔なPCでダウンロードし、USBメモリ経由で感染PCにコピーして実行することを強く推奨します。（その際、感染PCのネットワークは物理的に遮断しておくと安心です）

このツールはインストール不要で実行でき、有効期限（ダウンロードから約10日）がある使い切りタイプなので、緊急時の対応に向いています。

ツールで駆除した後も、設定が書き換えられている可能性があります。

「ファイル名を指定して実行」で msconfig と入力し、スタートアップタブを確認します。明らかにおかしいプログラムがあればチェックを外します（不安な場合は「診断スタートアップ」を選択）。

手っ取り早く感染前の状態に戻すには「システムの復元」が有効です。

これで、消えていた（隠されていた）フォルダやアイコンも元に戻るはずです。
※フォルダが「隠しファイル」属性に変えられている場合もあるので、フォルダオプションから「隠しファイルを表示する」設定も確認してください。

「File Recovery」のような偽装ツールは、トロイの木馬としての性質も持っており、バックグラウンドで個人情報を盗んでいる可能性があります。

これらは全て「流出した」と考えて、直ちに変更してください。

完全にクリーンな状態に戻ったか不安な場合は、PCの初期化（リカバリ）を行うのが最も確実です。

この手のウイルスは、Java (JRE) や Adobe Reader などの古いバージョンの脆弱性を突いて、WEBサイトを閲覧しただけで感染（ドライブバイダウンロード）するケースが多いです。

これらを徹底して、怪しいサイトには近づかないようにしましょう。月曜日の朝から冷や汗をかかないためにも、日頃のメンテナンスが重要ですね。