万一、暗号化されてしまった場合の対応方法

最初に、下記の3種類に分かれます。

  1. バックアップを取ってある
  2. バックアップがない。ただし、お金を払うような重要なファイルはなく、全て失っても構わない
  3. バックアップはないが、暗号化されてしまったファイルを取り戻したい

バックアップを取ってある場合の手順

  1. ランサムウェアに汚染されたPCのストレージ(HDD)は、全て廃棄します。
  2. 新しいHDD(またはSSD)を購入して、PCに装着し、OSのインストールから始めます。
  3. OS、主要アプリのインストールが終了したら、USB外付けディスクなどで、バックアップしてあるファイルを流し込みます。

参考情報:

  • HDDを交換する際、SSDにするのかどうか少し考えましょう。SSDは、HDDと比べて高額ですが、電源投入時のOSやセキュリティソフトなどが起動する時間が1/5くらいになりますので、業務用としては、とても快適になります。PCを長く使っていると少しずつ処理が遅くなっていくのですが、HDDは小さいファイルをランダムに検索する能力が低く、そのひとつの原因にもなっています。
  • PCは、仕事が終わった際など、24時間に一度は必ずシャットダウンしましょう。スリープ・モードを使ってPCを使い続ける場合、OSや主要ソフトのパッチファイルの自動更新がなされないまま使い続ける可能性があるので、非常に危険です。

バックアップはないが、お金を払わないケースの手順

  1. 手順としては、上記のバックアップがある場合の手順と同じです。(ただ、リストアするデータがないだけ)

バックアップがなく、かつ、データを復旧したい場合

ランサムウェアの種類によって、対応方法が変わります。
まず、下記のマカフィーのブログを読んでいただいてもいいのですが、ランサムウェアの種類を特定することから始めましょう。

事前の理解として、下記の事項を頭に入れておきましょう。

  • 公開鍵暗号方式で暗号化された場合、基本的には、犯人から秘密鍵を入手しない限り、復号化できません。ただし、犯人のサーバーが差し押さえられるなどして、例外的に復号化できるケースもあります。
  • 仮に身代金を支払って、復号化できたとしても、暗号化される前の情報と同一かどうか、確認する方法がありません。
  • コピーを取られていて、情報が流出している可能性があり、それに関連して、再度、支払を要求される可能性もあります。
  1. 画面上に表示されたメッセージのようなものは、全て、スマホなどで、写真を撮っておきましょう。
  2. ランサムファイルを特定しましょう。まず、下記のURLをクリックして、クリプト・シェリフ画面を開きます。
  3. そのページで、暗号化されたファイルを2つ選んで、ドラッグ&ドロップでアップロードして、さらにランサムウェアが表示している画面上にあるメールアドレス、またはwebサイトのアドレスを右側にある長方形の記入欄に記入します。
  4. GO! FIND OUTと書いてあるボタンをクリックして、結果が表示されるのを待ちましょう。
  5. もし、復号化が可能な場合は、復号化ツールをダウンロードできるリンク情報が提示されます。
  6. トレンドマイクロやカスペルスキーのランサムウェア(特にdecryptor)に関連するページも読んでおきましょう。

クリプト・シェリフ:
https://www.nomoreransom.org/crypto-sheriff.php

 

【参考情報】

マカフィーのブログ:
http://blogs.mcafee.jp/mcafeeblog/2016/08/no-more-ransom-5217.html

NO MORE RANSOMプロジェクト:
https://www.nomoreransom.org/

【復号化ツール(decryptor)】

NO MORE RANSOMプロジェクト:
https://www.nomoreransom.org/decryption-tools.html

トレンドマイクロ
https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx
http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20160526051336.html

カスペルスキー:
https://support.kaspersky.com/viruses/utility#rannohdecryptor
https://blog.kaspersky.co.jp/cryptxxx-ransomware/11181/#RannohDecryptor

 

ランサムウェアの種類を特定するサービス:
https://id-ransomware.malwarehunterteam.com/index.php