このブログでも何度かご紹介しましたが、これまでのサポート詐欺は、どちらかといえば、Web 閲覧していて突然けたたましい音などを伴って画面に、セキュリティアラートが表示されるというものでした。
(「偽セキュリティ警告(サポート詐欺)対策特集ページ」IPAより)
IPAのサイトにもそうしたサイトの対策について紹介もされておりますのでこちらについては、上記サイトをご参照ください。
さてそんなサポート詐欺ですが、一向に減ることもなく逆にまた新たなものが登場、国内でもその被害が出始めているようです。
【解決に至るにはかなり大変】
今回の新たに確認されているサポート詐欺のページ。USの Microosft Community に、「SOLVED: Microsoft Windows Firewall Alert (2V7HGTVB) - Fake, black screen with text, disabled Taskmanager, cant't get rid of it (Service: ScreenConnect Client (....))」として解決した事例として情報共有されているものが以下のものです。
上記のように、画面全体が真っ黒になって、英語とドイツ語でメッセージが表示されて警告が表示されるという、これまでにはないものです。
そして国内で被害にあった方の例が、以下の画面になります。
明らかに画面がこれまでのものとは異なるのは一目瞭然です。
これまで確認されている症状をまとめてみると、
- ブラウザからの通知を無効にしても表示される
- タスクマネージャーが起動できない
-- Ctrl+Alt+Del としてもタスクマネージャーがない
--コマンドからタスクマネージャーを起動できない
--タスクマネージャーが、レジストリで非アクティブ化されている - インターネットから切断すると、メッセージが消えて、PCも通常使用可能になる
--切断されている状態なら、タスクマネージャーも起動可能
--ただしインターネット回線に接続されると数十秒後には同じ画面にもどる - Windows 自体をセーフモード(ネットワークが有効)で起動しても表示される
- タスクマネージャをレジストリを変更して復活させれば利用可能
- Alt+F4:機能しない
- Windows キー:応答しない
- ESET などのスキャンでは何も検出されない
-- US サイトの投稿者が解決に至った対処法:
さてこのコミュニティで共有された書き込みにてこの方が解決に至った対処法も紹介されていました。
1) インターネット回線を切断し、ネットに接続できないようにする
2) Windowsキー+R にて、ファイル名を指定して実行を開いて、"gpedit.msc" と入力し、グループポリシーエディターを開きます
ユーザー構成>管理用テンプレート>システム>Ctrl + Alt + Delオプション
「タスクマネージャーを削除する」をひらいて、無効 に設定して、再び表示されるようにします(デフォルトでは、未構成となっていました)
→ これでタスクマネージャーが起動できるようになります
3) Ctl+Alt+Del として、表示されたメニューからタスクマネージャーを起動します
4) スタートアップを起動し、以下のエントリーを確認し非アクティブ化します
1: ctrl+alt+del.bat
2: DeAlert.vbs
3: hicn.bat
4: watermark.vbs
2: DeAlert.vbs
3: hicn.bat
4: watermark.vbs
5) 再度 Windows キー+Rとしてファイル名を指定して実行を開いて、"services.msc" と入力して、「ScreenConnectClient(....)」というサービスを見つけて無効にします
6)ウィルス対策ソフトなどでチェック
7) "C:\Users\(ログインユーザー名)\AppData\Local\Apps\2.0\..." に残っていたエントリーを削除
→ サービスの中で削除した、「ScreenConnectClient(....)」のサービスの実行元のプログラムの場所になります
ネットから切り離さないと対処できそうにないのでやっかいですね。一応国内の質問をみていると、タスクマネージャー自体は、Ctrl+Shift+ESC で開けたとあり、そこには今回指摘されているようなエントリーもないようなので、そうなるとあとはサービスの方でしょうか?
今回、USの Microsoft Community にて紹介されていた事例ではありますが、国内でも同様にトラブルになっている事例もあります。特にYahoo知恵袋を見ると関連のものが多数でてきます。
上記も一例です。こちらのケースでは、
- Hicn.bat
- JPAlert Microsoft.vbs
と、2つのエントリーを無効化して改善しているといったケースもあります。
国内で発生しているケースだとちょっと違うのかもしれませんが併せて確認する必要はありそうですね。
実際には無効化しているだけでは、結局その根源は残ったまま。そのプログラムの場所や関連サービスを見つけて、すべて削除して初めて解決ということなんでしょうけど、なかなかそうした事例の実機でも直接触れて見ない限り確認は難しいでしょうね。
USの Microsoft Community にて紹介されている対処法やYahoo知恵袋で紹介されている対処方が、すべてのケースで有効なものなのか?どうか? またここで指摘のあったエントリーがすべてあるのか?この辺りもまだまだ詳細が分からず何とも言えないところです。
今後もその動向に注意して、何かわかったことがあれば改めてご紹介させていただきます。
取り急ぎ、現在わかっているところまで整理してみましたが、皆様くれぐれもご注意ください。
<参照>