Cts1 ウイルスは、ランサムウェア タイプの感染の Cactus ファミリーです。 このウイルスは、特定の「.cts1」拡張子で追跡できるファイル (ビデオ、写真、ドキュメント) を暗号化します。 強力な暗号化方式を使用しているため、いかなる方法でもキーを計算することはできません。
Cts1 は、1 つの例外を除いて、被害者ごとに一意のキーを使用します。
- 暗号化プロセスを開始する前に、Cts1 がコマンド アンド コントロール サーバー (C&C サーバー) への接続を確立できない場合、Cts1 はオフライン キーを使用します。 この鍵はすべての被害者にとって同じであるため、ランサムウェア攻撃中に暗号化されたファイルを復号化できます。
Cts1 ウイルスを無力化してファイルを復号化する際に考えられるすべての解決策、ヒント、および実践の完全なコレクションを集めました。 場合によっては、ファイルを簡単に復元できます。 そして時々それは不可能です。
暗号化された .cts1 ファイルを回復するための普遍的な方法がいくつかあります。以下で説明します。 取扱説明書全体を注意深く読み、すべてを理解することが重要です。 手順を省略しないでください。 これらの各ステップは非常に重要であり、自分で完了する必要があります。
Cts1 ウイルス?
☝️ Cts1 は、Cactus ランサムウェア感染として正しく識別できます。
Cts1
🤔 Cts1 ウィルスは、Cactus ファミリーに由来するランサムウェアです。 その主な目的は、重要なファイルを暗号化することです。 その後、ランサムウェア ウイルスは被害者に身代金 (490 ドルから 980 ドル) をビットコインで要求します。
Cts1 ウィルスは、Jaqw, Jasa, Jaoy。 このウイルスは、一般的なファイル タイプをすべて暗号化し、特定の「.cts1」拡張子をすべてのファイルに追加します。 たとえば、ファイル「1.jpg」は「1.jpg.cts1」に変更されます。 暗号化が完了するとすぐに、ウイルスは特別なメッセージ ファイル「_readme.txt」を生成し、変更されたファイルを含むすべてのフォルダにドロップします。
名前 | Cts1 ウイルス |
ランサムウェア ファミリー1 | Cactus ランサムウェア |
拡大 | .cts1 |
ランサムウェアに関するメモ | _readme.txt |
身代金 | $490 から $980 (ビットコイン) |
コンタクト | support@fishmail.top, datarestorehelp@airmail.cc |
検出 | Trojan:MSIL/AgentTesla.HU!MTB, Win32/Injector.ANIA, MSIL/Filecoder.ATX |
症状 |
|
修正ツール | マルウェア感染の可能性を取り除くには、PC をスキャンします。 6日間の無料トライアルあり。 |
Cts1 ランサムウェアは、被害者のコンピューターでさまざまなタスクを実行することを目的とした一連のプロセスとして到着します。 最初に起動されるものの 1 つは winupdate.exe です。これは、攻撃中に偽の Windows 更新プロンプトを表示するトリッキーなプロセスです。 これは、システムの突然のスローダウンが Windows の更新によって引き起こされていることを被害者に納得させることを目的としています。 ただし、同時に、ランサムウェアは別のプロセス (通常は 4 つのランダムな文字で名前が付けられます) を実行し、システムをスキャンしてターゲット ファイルを探し、それらを暗号化します。 次に、ランサムウェアは、次の CMD コマンドを使用して、システムからボリューム シャドウ コピーを削除します。
vssadmin.exe Delete Shadows /All /Quiet
削除すると、システム復元ポイントを使用して以前のコンピュータの状態に復元することはできなくなります。 問題は、ランサムウェアのオペレーターが、被害者が無料でファイルを復元するのに役立つ可能性のある Windows OS ベースの方法を排除しようとしているということです。 さらに、攻撃者は Windows HOSTS ファイルにドメインのリストを追加し、それらをローカルホストの IP にマッピングすることで、このファイルを改ざんします。 その結果、ブロックされた Web サイトの 1 つにアクセスすると、被害者は DNS_PROBE_FINISHED_NXDOMAIN エラー に遭遇します。
ランサムウェアが、コンピューター ユーザー向けにさまざまなハウツー ガイドを公開している Web サイトをブロックしようとしていることに気付きました。 攻撃者が特定のドメインを制限することで、被害者がランサムウェア攻撃に関連する関連情報や有益なオンライン情報にアクセスできないようにしようとしていることは明らかです。 このウイルスはまた、被害者のコンピューターに 2 つのテキスト ファイルを保存し、攻撃に関連する詳細情報 (被害者の公開暗号化キーと個人 ID) を提供します。 これら 2 つのファイルは、bowsakkdestx.txt と PersonalID.txt と呼ばれます。
これらすべての変更の後、マルウェアは停止しません。 Cactus の亜種は、侵害されたシステムに パスワードを盗むトロイの木馬 Vidar をドロップする傾向があります。 この脅威には、次のような機能の長いリストがあります。
- Steam、Telegram、Skype のログイン/パスワードを盗む;
- 暗号通貨のウォレットを盗む;
- マルウェアをコンピュータにダウンロードして実行する
- ブラウザの Cookie、保存されたパスワード、閲覧履歴などを盗む;
- 被害者のコンピュータ上のファイルの表示と操作
- ハッカーが被害者のコンピュータで他のタスクをリモートで実行できるようにする
Cactus ランサムウェアが使用する暗号化アルゴリズムは AES-256 です。 そのため、ドキュメントがオンラインの復号化キーで暗号化されている場合、これはまったく別のものです. 残念なことに、一意のキーがないとファイルを復号化することはできません。
Cts1 がオンライン モードで動作していた場合、AES-256 キーにアクセスすることは不可能です。 これは、Cts1 ウイルスを宣伝する詐欺師が所有するリモート サーバーに保存されます。
復号化キーを受け取るには、980 ドルの支払いが必要です。 支払いの詳細を取得するために、被害者は、電子メール (support@fishmail.top) で詐欺師に連絡するようメッセージで促されます。
Cts1にお金を払わないでください!
利用可能なバックアップまたは Decrypter ツールを使用してみてください
_readme.txt ファイルは、ファイルが暗号化された時点から 72 時間以内にコンピュータの所有者が Cts1 の担当者と連絡を取る必要があることも示しています。 72 時間以内に連絡することを条件に、ユーザーには 50% のリベートが付与されます。 したがって、身代金の額は 490 ドルまで最小限に抑えられます)。 ただし、身代金の支払いは避けてください。
このようなすべてのウイルスの特異性は、暗号化されたデータを回復するための一意の復号化キーを生成するための同様の一連のアクションを適用します。
したがって、ランサムウェアがまだ開発段階にあるか、追跡が困難な欠陥がある場合を除き、暗号化されたデータを手動で復元することはできません。 貴重なデータの損失を防ぐ唯一の解決策は、重要なファイルのバックアップを定期的に作成することです。
このようなバックアップを定期的に維持している場合でも、メインのワークステーションに接続せずに、うろうろせずに特定の場所に配置する必要があることに注意してください。
たとえば、バックアップは USB フラッシュ ドライブまたは代替の外付けハード ドライブ ストレージに保存できます。 必要に応じて、オンライン (クラウド) 情報ストレージのヘルプを参照できます。
言うまでもなく、バックアップ データを共通のデバイスに保持する場合、他のデータと同様に暗号化されている可能性があります。
このため、メインの PC にバックアップを配置することはお勧めできません。
どうやって感染したの?
ランサムウェアには、システムに組み込まれるさまざまな方法があります。 しかし、あなたの場合にどの方法が使用されたかは問題ではありません。
フィッシングの試みが成功した後の Cts1 攻撃。
それにもかかわらず、これらはあなたのPCに注入される可能性のある一般的なリークです:
- 他のアプリ、特にフリーウェアまたはシェアウェアとして機能するユーティリティと一緒に非表示のインストール
- ウイルス インストーラーにつながる迷惑メール内の疑わしいリンク
- オンラインの無料ホスティング リソース;
- 違法なピアツーピア (P2P) リソースを使用して海賊版ソフトウェアをダウンロードすること。
Cts1 ウイルスが正当なツールとして偽装されている場合がありました。たとえば、不要なソフトウェアやブラウザの更新を開始するように要求するメッセージが含まれていました。 これは一般的に、Cts1 ランサムウェアを手動でインストールするよう強制するオンライン詐欺の方法であり、実際にこのプロセスに直接参加させることによって行われます。
確かに、偽の更新アラートは、実際にランサムウェアを挿入しようとしていることを示すものではありません. このインストールは、Adobe Flash Player やその他の疑わしいプログラムを更新する必要があるという警告の下に隠されます。
もちろん、クラックされたアプリも被害を表しています。 P2P の使用は違法であり、Cts1 ランサムウェアを含む重大なマルウェアが挿入される可能性があります。
まとめると、Cts1 ランサムウェアがデバイスに挿入されないようにするにはどうすればよいでしょうか? PC の損傷を 100% 防ぐという保証はありませんが、Cts1 の侵入を防ぐためのヒントをいくつか紹介します。 今日、フリー ソフトウェアをインストールするときは注意が必要です。
メインの無料プログラムに加えて、インストーラーが提供するものを常に読んでください。 疑わしい電子メールの添付ファイルを開かないでください。 不明な宛先からのファイルを開かないでください。 もちろん、現在のセキュリティ プログラムは常に更新する必要があります。
マルウェアは、自分自身についてオープンに語ることはありません。 利用可能なプログラムのリストには表示されません。 ただし、PC を起動した瞬間から、バックグラウンドで定期的に実行されている悪意のあるプロセスの下でマスクされます。
Cts1 ウイルスを削除する方法?
Cts1 ウイルスは、被害者のファイルをエンコードするだけでなく、コンピューターに Vidar Stealer をインストールして、アカウントの資格情報、暗号通貨のウォレット、デスクトップ ファイルなどを盗み始めています。
GridinSoft2
ランサムウェアを認識、削除、防止するには、GridinSoft のマルウェア対策ソフトウェアを使用するよりも優れた方法はありません3.
削除ツールをダウンロードします。
下のボタンをクリックして、GridinSoft Anti-Malware をダウンロードできます。
セットアップ ファイルを実行します。
セットアップ ファイルのダウンロードが完了したら、setup-antimalware-fix.exe ファイルをダブルクリックして、システムに GridinSoft Anti-Malware をインストールします。
GridinSoft Anti-Malware がデバイスに変更を加えることを許可するかどうかを尋ねる ユーザー アカウント制御。 そのため、「はい」をクリックしてインストールを続行する必要があります。
「インストール」ボタンを押します。
インストールが完了すると、マルウェア対策が自動的に実行されます。
完了するのを待ちます。
GridinSoft Anti-Malware は、コンピューターの Cts1 感染やその他の悪意のあるプログラムのスキャンを自動的に開始します。 このプロセスには 20 ~ 30 分かかる場合があるため、スキャン プロセスのステータスを定期的に確認することをお勧めします。
Click on “Clean Now”.
スキャンが完了すると、GridinSoft Anti-Malware が検出した感染のリストが表示されます。 それらを削除するには、右隅の「今すぐクリーニング」ボタンをクリックします。
特別なインスタンスのトロイの木馬キラー
場合によっては、Cts1 ランサムウェアがさまざまなマルウェア対策プログラムのセットアップ ファイルの実行をブロックすることがあります。 このような状況では、ウイルス対策ツールがプリインストールされたリムーバブル ドライブを利用する必要があります。
USB ドライブにセットアップできるセキュリティ ツールの数は非常に少なく、ほとんどの場合、これを行うことができるアンチウイルスはかなり高価なライセンスを取得する必要があります。 この場合、GridinSoft の別のソリューションである Trojan Killer Portable を使用することをお勧めします。 有料版のすべての機能を提供する 14 日間の無料試用モードがあります 4. この用語は、マルウェアを一掃するのに 100% 十分です。
ビデオガイド
.cts1 ファイルを復号化するには?
大きな「.cts1 ファイル」の復元ソリューション
いくつかの BIG ファイルで .cts1 拡張子 を削除して開いてみてください。 Cts1 ランサムウェアがファイルを読み取って暗号化しなかったか、バグが発生してファイルマーカーを追加しなかったかのいずれかです。 ファイルが非常に大きい (2 GB 以上) 場合は、後者の可能性が高くなります。 それがうまくいくかどうか、コメントでお知らせください。
犯罪者が変更を加えた後、2019 年 8 月末頃にリリースされた最新の拡張機能。 これには、Taqw, Tasa, Taoy など
.cts1 ファイルを復元する方法?
場合によっては、Cts1 ランサムウェアはあなたのファイルにとって致命的ではありません…
次は Cts1 ランサムウェアの暗号化メカニズム機能です。すべてのファイルをバイト単位で暗号化し、ファイルのコピーを保存して、元のファイルを削除します (そして上書きはしません!)。 したがって、物理ディスク上のファイルの場所の情報は失われますが、元のファイルは物理ディスクから削除されません。 セル、またはこのファイルが保存されていたセクターには、このファイルを含めることができますが、ファイル システムによってリストされず、削除後にこのディスクにロードされたデータによって上書きされる可能性があります。 したがって、特別なソフトウェアを使用してファイルを回復することが可能です。
Anyway, after realizing it was an online algorithm, it is impossible to retrieve my encrypted files. I also had my backup drive plugged in at the time of the virus, and this was also infected, or so I thought. Every folder within my backup drive had been infected and was encrypted. However, despite losing some important files, I retrieved almost 80% of my 2TB storage.
When I started going through the folders, I noticed the readme.txt ransom note in every folder. I opened some of the folders and found that all files that were not in a subfolder within that folder had been encrypted. However, I found a flaw and glimmer of hope when I went into the subfolders in other folders and found that these files had not been encrypted. Every folder within my c and d drives, including subfolders, had been encrypted, but this was not the case with the backup drive. Having subfolders created within a folder has saved 80% of my data.
As I said, I believe this to be only a small loophole on a backup drive. I’ve since found a further 10 % of my data on another hard drive on a different pc. So my advice is if you use a backup drive, create subfolders. I was lucky, I guess. But I was also unlucky that the virus hit as I was transferring some files from my backup.
Hopefully, this can help some other people in my situation.
Jamie NewlandPhotoRec でファイルを復元する
PhotoRec は、損傷したディスクからのファイルの回復、または削除された場合のファイルの回復のために作成されたオープン ソース プログラムです。 しかし、時が経つにつれ、このプログラムは 400 の異なる拡張子のファイルを復元できるようになりました。 したがって、ランサムウェア攻撃後のデータ復旧に使用できます.
まず、このアプリをダウンロード。 100% 無料ですが、開発者は、ファイルが復元されるという保証はないと述べています。 PhotoRec は、同じ開発者の他のユーティリティである TestDisk と一緒にパックで配布されます。 ダウンロードしたアーカイブには TestDisk という名前が付いていますが、心配する必要はありません。 PhotoRecファイルはすぐ中にあります。
起動後、ディスク容量の完全なリストを示す画面が表示されます。 ただし、必要なメニューが少し上に配置されているため、この情報は役に立たない可能性があります。 このバーをクリックして、ランサムウェアに攻撃されたディスクを選択します。
ディスクを選択したら、復元されたファイルの宛先フォルダーを選択する必要があります。 このメニューは PhotoRec ウィンドウの下部にあります。 最良の方法は、USB ドライブまたはその他のタイプのリムーバブル ディスクにエクスポートすることです。
次に、ファイル形式を指定する必要があります。 このオプションも下部にあります。 前述したように、PhotoRec は約 400 の異なる形式のファイルを復元できます。
最後に、「検索」ボタンを押してファイルの復元を開始できます。 スキャンとリカバリの結果が表示される画面が表示されます。
Cts1 ファイルの回復ガイド
Frequently Asked Questions
とんでもない。 これらのファイルはランサムウェアによって暗号化されています。 .cts1 ファイルの内容は、復号化されるまで利用できません。
.cts1 ファイルに残っているデータが非常に価値がある場合は、バックアップ コピーを作成した可能性があります。
そうでない場合は、システム機能を使用して復元を試みることができます – 復元ポイント。
他のすべての方法には忍耐が必要です。
もちろん違います。 暗号化されたファイルがコンピュータに脅威を与えることはありません。 起こったことはすでに起こっています。
アクティブなシステム感染を除去するには、GridinSoft Anti-Malware が必要です。 あなたのファイルを暗号化したウイルスはまだ活動している可能性が高く、さらに多くのファイルを暗号化する機能について定期的にテストを実行します。 また、これらのウイルスは、さらに悪意のあるアクション (パスワードやクレジット カードの盗難など) のためにキーロガーとバックドアをインストールすることがよくあります。
この場合、トロイの木馬キラーがプリインストールされたメモリー スティックを準備する必要があります。
我慢してください。 Cactus ランサムウェアの新しいバージョンに感染しており、復号化キーがまだリリースされていません。 当社のウェブサイトでニュースをフォローしてください。
新しい Cts1 キーまたは新しい復号化プログラムが登場したら、お知らせします。
Cts1 ランサムウェアは、ファイルの最初の 150 KB のみを暗号化します。 したがって、MP3 ファイルはかなり大きいため、一部のメディア プレーヤー (Winamp など) でファイルを再生できる場合がありますが、最初の 3 ~ 5 秒 (暗号化された部分) が失われます。
暗号化された元のファイルのコピーを見つけることができます。
- インターネットからダウンロードした暗号化されたファイル。再度ダウンロードして元のファイルを取得できます。
- あなたが家族や友人と共有した写真で、あなたに送り返すことができます。
- Carbonite、OneDrive、iDrive、Google Drive などのソーシャル メディアまたはクラウド サービスにアップロードした写真
- 送受信して保存したメールの添付ファイル
- 感染したコンピュータにデータを転送した古いコンピュータ、フラッシュ ドライブ、外部ドライブ、カメラ メモリ カード、または iPhone 上のファイル
ビデオガイド
これは私のお気に入りのビデオ チュートリアルです: ランサムウェア感染を修正するために GridinSoft Anti-Malware と Emsisoft Decryptor を使用する方法。
このガイドで Cts1 ウィルス を除去できない場合は、私が推奨する GridinSoft Anti-Malware をダウンロードしてください。 問題を解決した経験を共有することを忘れないでください。 ここにコメントを残してください! これは、他の被害者が自分が一人ではないことを理解するのに役立ちます。 そして一緒に、この問題に対処する方法を見つけます。
この記事を共有するにはあなたの助けが必要です。
次はあなたが他の人を助ける番です。 そんな方のお役に立てればと思い、この記事を書きました。 下のボタンを使用して、お気に入りのソーシャル メディアの Facebook、Twitter、または Reddit でこれを共有できます。
Brendan SmithUser Review
( votes)References
- 私のファイルはランサムウェアによって暗号化されています。
- HowToFix サイトの GridinSoft Anti-Malware Review をお勧めする理由: Gridinsoft Anti-Malware
- GridinSoft 製品に関する詳細情報: https://gridinsoft.com/comparison
- トロイの木馬キラー レビュー: https://howtofix.guide/trojan-killer/
英語 ドイツ語 スペイン語 ポルトガル語(ブラジル) フランス語 トルコ語 繁体中国語 韓国語 インドネシア語 ヒンディー語 イタリア語