「ランサムウェア」という名前を聞いたことがありますか？

最近被害が多いコンピュータウイルスの種別なのですが、パソコンのデータを勝手に暗号化してしまい、

データを元に戻したかったら金を払え！

と、身代金を要求するという非常に悪質なものです。（ransom : 身代金）

 

 

先日親族がコレにやられてしまい、

「購入した家電屋などにも相談したがどうにもならないと言われたのでどうにかしてくれ！」

という依頼がありましたので、どのように対処すべきか色々調べましたのでまとめておきます。

 

症状

ファイルが勝手に暗号化されます。通常、暗号化されたファイルは拡張子が変更されます。

ちなみに今回感染していたと思われる CERBER 5.0.1 は環境によって完全にランダムな拡張子にします。

このケースでは .b955 ですが、他の端末に感染した場合はまた異なる拡張子になります。

READMExxx.hta というのを開くと、ビットコインでどこそこへ振り込めばデータを元に戻してやるぞ！、といった画面が出てきます。今回は約5～6万円くらいです。

この「何とか払えなくもない」という金額なことから、感染者の6割が支払ってしまっているというデータがあります。

ちなみに渋っていると金額を10万円くらいに上げられるという通販番組のような心理作戦も使ってきますし、

あんまり長く放置してると暗号化されたデータを完全に消去してきたりします。

早めの対応が必要です。

 

事前対策： ウイルス対策ソフトを導入しましょう

基本ですけれど今回は導入されていませんでした。

最近のはランサムウェアの怪しげな動作を検知すると書き込みをブロックする機能がありますので、かならず導入しておきましょう。

無償で利用できる Bitdefender社のランサムウェア対策ソフト Bitdefender Anti-Ransomware などもありますので、怖い人はインストールしておきましょう。（僕も入れてます）

ちなみにこの記事はWindows向けに書いていますが、Macに感染するランサムウェアもあります。

「Macだけんウイルスには感染せんけん！」

といった過信は禁物ですよ。

 

以下具体的な対処法ですが、ある程度知識がないと対応が難しいですのでご注意ください。

 

対応１：ウイルスの駆除

パソコン内の全データを書き換え終えたら勝手に消えるのですが、できるだけ早い段階で駆除してしまうのが望ましいです。それだけ被害が少なくなりますので。

Windowsの場合、システムの復元機能で対応できることがあります。（今回のはそれで駆除できたようです）

それ以外の方法での駆除はかなり難しいので、セーフモードで起動してウイルス対策ソフトの体験版をインストールして駆除する等しかできないかと思います。

 

 

対応２：データのバックアップ

ウイルスがPC内に生きている場合、暗号化されたデータが削除されてしまう場合があります。

まだ暗号化されていないファイルもあるでしょうから、外付けHDDなどにバックアップを取っておきます。

この際、普通にパソコンを起動しているとランサムウェアが外付けHDD内のデータまで書き換えてしまいますので、Windowsをセーフモードで起動してから行ないましょう。

※ほとんどのランサムウェアはセーフモードでは動作しないです。ただし万一を考えて外付けHDDの中身は他に移しておきましょう。

なお対応１でランサムウェアの駆除ができなかった場合、バックアップを取った後はリカバリー機能で購入時の状態に復元するのが望ましいです。

 

対応３：バックアップデータの復元

バックアップデータがある場合はそこから戻しましょう。

でもウイルス対策ソフトを導入してない人なんかはバックアップデータなんて取ってないものですが(´；ω；｀)

ちなみに Dropbox を使っている場合、過去30日分の履歴データがサーバーに残りますので、そっちから復元でます。

 

対応４：暗号化されたファイルの復元

お金を払うというのもひとつの手段ですが、相手に金銭と成功体験を与えてしまうとまた同じことをやろうとするので払わないでいただきたいところ。

ウイルス対策ソフトのメーカーが、暗号化データの復元ツールを提供しています。

例えばウイルスバスターで有名なトレンドマイクロ社は下記ツールを提供しています。

Using the Trend Micro Ransomware File Decryptor Tool　（英語）

こういったツールで復元ができますので、お金を払うのはちょっと考えていただきたいところです。

 

ちなみにどのランサムウェアに感染しているかを暗号化データから解析するツールがあります。

Crypto Sheriff — The No More Ransom Project　（英語）

ランサムウェアの種類が特定できれば、それを元に戻すツールを紹介してくれます。

まぁ今回はダメでしたけれどね….

 

対応５：復号ツールが使えなかった場合（解析が済んでいない新種の場合）

 

待ちましょう。
復号ツールが出るのを。

 

僕は復号ツールの新バージョンが出次第メールで通知してくれるよう、はてなアンテナ（サイト更新通知サービス）に登録しています。

 

 

あと、ウイルス対策ソフトもなしにインターネットに接続してるなんてのは自殺行為です。

安いのもありますし、個人利用の場合無料のものもありますのでかならず入れておきましょう。

 

 

ちなみに僕は、いろんなウイルス対策ソフトの体験版（30日間無料で使用可能）を渡り歩いて生きています。

（単純に機能比較をしたくてやってるんですけれども）