詐欺師に乗っ取られてしまったパソコンをどうする?

1月なかば頃に生徒さんより電話があり、セキュリティー警告サイトが表示されて消えなくなってしまい表示されていた電話番号に電話をしてしまったそうです。

sagi1

その後言われるままにパソコンをリモート制御アプリで遠隔操作されてご覧の通り…^^; 「お金を払え」と頻繁に脅迫まがいの電話がかかってくるのでどうしたらいいかとご相談いただきましたので、消費者生活センターや警察にご相談されることをお勧めしました。相談後、電話は来なくなったようですがパソコンを起動する際のパスワードを勝手に変更されてパソコンにログインできない状態です。いわゆる管理者権限を乗っ取られてしまったパソコンです。パスワードのヒントも”sagi”と変更されていて挑発的です。大事な生徒さんのパソコンにこんなひどいことをする輩は許せません。「詐欺師よ、その挑戦受けて立つ!」というわけで管理者権限を再度奪い返すため頑張っていきます。

sagi2

Windowsのインストールディスクから管理者権限のシェル(コマンドプロンプト)を使えるようにするためにBIOS画面を起動し起動ドライブの設定を光学ディスクから起動するようように変更します。もしインストールメディアがUSBメモリの場合はUSBメディアを最初の起動ドライブに設定しておきます。

sagi3

Windows10のインストールディスクからセットアップ画面を起動させていきます。

sagi4

最初のセットアップ画面が起動できたら「Shift」キーを押しながら「F10」キーを押すと管理者権限でコマンドプロンプトが起動してきます。ここからやることはこの管理者権限のコマンドプロンプトを使ってこのパソコンの中に存在している「Utilman.exe」の元ファイルを別名に変更し退避させておき、このパソコンの中にある「cmd.exe(コマンドプロンプト)」を「Utilman.exe」という名前でコピー複製することです。

※コマンドプロンプトは、Windowsに搭載されている「キーボードだけで操作する画面インタフェース」(CUI:Character User Interface)のこと

画像をとり忘れてしまったのでコマンドプロンプトに入力するコマンドだけ書いておきます。
c:
cd \windows\system32
ren Utilman.exe Utilman.bak
copy cmd.exe Utilman.exe
ここでいったんインストールメディアを取り出してからPCを再起動します。

sagi5

「cmd.exe」を「Utilman.exe」という名前に変更した意味はログイン前の画面右下にでてくる「コンピュータの簡単操作」のアイコンでコマンドプロンプト(cmd.exe)を起動するためです。再起動したあと右下の三つのアイコンの真ん中をクリックします。

sagi6

これで「Utilman.exe」という名前に変更されたコマンドプロンプトが起動してきます。

sagi7

ログイン前でもコマンドプロンプトが使えるとコマンド入力だけで普段は隠れている最高権限を持つ「Administrator」アカウントを有効にすることができます。ついでに最高権限アカウントのパスワードも設定。このあとコマンドプロンプトをEXIT(終了)してから右下の電源アイコンから再起動をかけます。

sagi8

再起動後、最高権限アカウントの「Administrator」が表示されますので選択し設定したパスワードを入力しログインします。最高権限アカウントの「Administrator」でログインできればもうこのパソコンの権限はこっちのものです。何でもやりたい放題の状態となります。

sagi9

早速、コントロールパネルから変更されてしまった生徒さんが使っていた元々のアカウントのパスワードを奪取(変更)します。

sagi10

パスワード変更されてログインできなくなったアカウントを選択。

sagi11

こちらは最高権限のAdministratorアカウントでログインしているので他のAdministrator権限のアカウントのパスワードを強制的に変更できます。

sagi12

設定してあるパスワードがわからなくてもご覧の通り、設定してあるパスワードを入力せずに変更できます。

sagi13

無事元々のアカウントを奪取してログインできるようになりましたが、何を入れられて何をされているのかわからない状態なので調べていきます。生徒さんの話を元に遠隔操作された日時に合わせて確認したところ、2日間に渡り「Suppot-LogMelnRescue」「UltraViewer」「AnyDesk」などの遠隔操作アプリがインストールされていました。どれも悪用しなければ遠隔サポートツールとして使える普通の遠隔アプリです。

sagi14

詐欺師が使った「UltraViewer」という遠隔サポートアプリのログ(アクセス履歴)ファイルが残っていました。

sagi15

開いて確認してみると詐欺師が使ったIDとコンピュータ名が残っていました。

sagi16

勝手にインストールされた遠隔アプリは全てアンインストール(削除)しますが、アンインストール時にフィードバック画面がでてきたので詐欺師が残したログファイルをアプリメーカーに送信しておきました。

最後に最初にリネームして入替えた「Utilman.bak」を「Utilman.exe」に戻し、最高権限を持つ「Administrator」アカウントを非表示の設定に戻して作業終了です。生徒の皆さん、万が一セキュリティー警告サイトや書いてある電話番号に電話するよう指示があるような変なサポート画面が出たり、警告音が鳴りやまなくなったりして画面が消せなくなったら教室までご連絡ください。くれぐれも指示のある電話番号には電話しないでくださいね。