奇跡の復元!ランサムウェアの被害後の効果的な3つの復元方法*

ランサムウェアに感染してしまった。バックアップもとっていないし、どうにかしてデータを復元できないものか…
暗号化型のランサムウェアに感染したケースにフォーカスして情報をまとめました。
復旧の保証はできませんが、現状考えられうるオプションは、まずは、感染しないように隔離し、無償アンチウイルス等入手してランサムウェアを駆除しましょう。その後、暗号化されたファイルを復号できるかどうかの望みにかけてみるという手順です。
では、大きく2つの流れで進めていきます。
*復元方法: 元の状態にもどす意味で、一般的に馴染みのあることばとして利用しています。厳密には、ランサムウェア被害で暗号化されたファイルにたいして復号する手段が含まれています。 

1.感染したとわかったら、まず感染端末を隔離しましょう

ファイルが読み取れなくなり、身代金を請求するメッセージが出てきてしまっている状況でしたら、ネットワーク回線を抜き、二次感染を防ぐため端末を隔離しましょう。
もし、感染端末にアンチウイルス製品等をインストールしていない場合は、無償駆除ツールなどを入手し、インストールして駆除しましょう。各ベンダー製品のトライアル版などでも構いません。

2.ファイルの復元、僅かな可能性にかけてみる

2-1. 復旧手段(OSの復元機能に託してみる)

Windowsの場合

Windows のシステム復元機能を使ってみる
WindowsVista以降のWindowsOSでは [システムの復元] 機能が実装されています。この機能を利用して復旧できる可能性があります。Windows 7, Windows 10 ではこの機能がデフォルトで有効になっています。作成された復元ポイントから以前の状態に復元できる可能性はあります。ただし、ランサムウェアの種類によっては、この復元ポイント自体を暗号化したり、破壊したりして無効化してしまうものもあります。また、復元ポイント以降に作成されたデータについては復元されない点は認識しておいてください。
復元方法は以下リンクを参照ください。
Windows Vista のシステム復元方法
Windows 7 のシステム復元方法
Windows 10 のシステム復元方法

Mac OS の場合

Mac OS については被害のケースによって対応が異なりますので、OS復元の対応ではなくNo More Ransomの利用から始めてみることをお勧めします。2-2. を参照、トライしてみてください。
Appleのサポートコミュニティで、もしもランサムウェアに感染した場合の投稿もあわせて共有します。
Mac OS では、Time Machine といわれるバックアップユーティリティが実装されています。この機能を活用されている場合は、以前の状態に復旧することができます。
Time Machine で Mac をバックアップまたは復元する方法

一部のランサムウェアによる暗号化の場合は復号可能な場合があります。
次のような場合に復号が可能な場合があります。
•使用された暗号化方法が脆弱な場合
•ランサムウェアの作成者が誤ったコードを使用
•ランサムウェアの作者が逮捕され、当局が復号鍵を入手
といった場合です。
注: 残念なことに、ランサムウェアによって暗号化されたファイルはほとんどの場合、復元できません。

2-2. No More Ransom サイトを活用してみる(使い方)

主要なベンダーや法的機関が連携・協力して、ランサムウェアの撲滅をめざしているプロジェクトサイトです。
復号可能なツールをまとめて、情報提供しています。トップサイト上で、ツールを取得できるかどうか確認できます。

確認に必要なファイル:
・ランサムウェアに感染して暗号化されてしまったファイル 2ファイル
・脅迫文か書かれているファイル テキスト文書(.txt) もしくは、THML ファイル

活用の手順は以下


結果が表示されます
対応可能な場合 ダウンロード可能なツールリンクが案内されます。
案内に従ってダウンロードリンクをクリックしてください。この例では、Kaspersky Lab がツールを提供しています。

ダウンロード リンクの下に、初めにお読みください というリンクがあるので、こちらを確認しましょう。
この例では、リンクを開くとPDFファイルが開き、ツールの使い方の説明をステップごとに示しています。この説明書 (How-to guide) は英語です。


最初に、重要事項として、ツールを活用して復号化する前に、アンチウイルスソフトを使って感染したマルウェアを駆除するようことを推奨しています。また、駆除しない限り、復号後も同じ感染にあってしまうためです。ほとんどのアンチウイルスソフトウェアで駆除できるともコメントされています。
駆除するためにアンチウイルスソフトが必要な場合は、1 で挙げた、無償ソフトのリンクを参考にしてください。

次に、ダウンロードリンクをクリックすると、ファイルのダウンロード先を指定して、ダウンロードします。
この場合は、rakhnidecryptor.zip というZIPファイル形式になっています。

ZIPファイルを解凍します。この例では、解凍後の RakhniDecryptor.exe が復号ツールに該当します。
こちらをダブルクリックすると、ツールが実行されます。説明書に従って復号をすすめます。


対応不可能な場合 Bad News が表示されます。

2-3. 各ベンダーの無償ツールを試してみる

セキュリティベンダーでも特定のランサムウェアに対応した復号ツールを提供しています。各ベンダーサイトで
無償ツールを試してみるのも1つの手段です。

・トレンドマイクロ – ランサムウェア ファイル復号ツールを無供
・カスペルスキー – ランサムウェア対応 無料復号ツール
・マカフィー – 英語での提供になりますが、 McAfee Ransomware Recover (Mr2)

僅かな可能性になるかもしれませんが、現在ある復元手段をご紹介しました。
また、これらの方法で復元ができなかった場合、復元は難しいでしょう。
その場合は、初期化し、OSからインストールを行い、クリーンな状態に戻したうえで、最新のOSとアプリケーションの状態、定期的なバックアップ設定、エンドポイントセキュリティ製品を導入した状態にして、再利用しましょう。

著者:マカフィー株式会社 マーケティング本部