Windows – ランサムウェアに暗号化されたファイルを復号する

ランサムウェア、いわゆる身代金要求型ウイルスに感染してしまったとき、大切なファイルも暗号化されてしまいます。復号するには攻撃者に身代金を払わなければファイルは復活できないものとして諦めてしまう人は多いと思います。

多くのデータを復号することは可能
最終手段

多くのデータを復号することは可能

しかし、昨今はセキュリティソフトウェア開発を行っている企業が無料で復号するツールを公開してくれています。こういったツールを使うことで復号できる確率は結構高いです。

データ復号前にやるべきこと

1. ネットワークやストレージからシステムを切り離す

まずランサムウェアに感染したらすぐにネットワークから感染したPCを切り離しましよう。昨今のほとんどのランサムウェアはネットワークドライブにまで対応しているため、ネットワークに繋がっていると被害が拡大してしまいます。有線ならばLANケーブルを引っこ抜き、Wi-Fiなら電源をオフにし、感染PCを隔離しましよう。

さらにランサムウェアはリアルタイムでファイルを暗号化するため、ウィルスを除去前に大切なバックアップデータの入ったドライブなどを接続しないようにしましよう。

またシステムを再起動するとランサムウェアが新たにファイルを検知して暗号化してしまう可能性があるため、電源と落としたい場合はハイバーネートさせましよう。

2. ランサムウェアを停止・除去する

セキュリティソフトウェアでランサムウェアを除去するのも良いですが、こういったソフトはランサムウェアだけを除去するのを苦手としているものが多く、重要なデータや鍵ファイルまで削除してしまうことがあります。ランサムウェア本体だけを削除するよう気をつけましよう。

個人的には HitmanPro や Emsisoft Emergency Kit といったツールがおすすめです。

復号ツール紹介サイトで診断する

復号ツールは個々のセキュリティソフトウェア企業がバラバラに開発を行っているため、見つけ出すのは大変です。そこでランサムウェアの診断やツールを紹介しているサイトを活用しましよう。

No More Ransom プロジェクト

2016年から官民が連携してランサムウェアの被害を減らそうという「NO MORE RANSOM」プロジェクトを立ち上げました。このサイトはセキュリティソフト会社が提供している復号化ツールをまとめているサイトです。

サイトが日本語に最適化されたデザインではないので少々うさんくさく見えますが、ユーロポールやオランダ警察などが協力して作ったちゃんとしたサイトです。

このサイトにランサムウェアに付属していた Readme ファイルや暗号化されてしまったファイルをアップロードすることで感染したランサムウェアの種類からどのツールを使えば良いのか診断してくれます。

ID Ransomware

「ID Ransomeware」は海外の有志が作ったサイトでおおよそ1100 種類以上のランサムウェアを特定してくれます。使い方は「No more ransome」とほぼ一緒です。身代金要求のテキストファイルか暗号化されたファイルをサイトにアップロードすると診断を行ってくれます。

データ復元ツールを使う

多くのランサムウェアはデータを上書き削除せず、ファイルをコピー・暗号化しているだけのお粗末な作りなので、データ復元ツールを使うことで簡単にファイルを取り戻すことができることがあります。老舗かつ無料で使える「EaseUS Data Recovery Wizard Free」がおすすめです。

しかし、暗号化されたファイル容量が大きかったり、ドライブの容量が小さいとデータのあった領域が上書きされてしまい、元データが壊れて復元できないということもあります。

最終手段

最新のランサムウェアに感染してしまい、どうしてもすぐに必要なデータが被害にあってしまったりしてしまった場合、おすすめはしませんがランサムウェアの作者と交渉して復号プログラムを送ってもらうしかないでしよう。

多くの場合は要求金額から減額されることがあります。うまく同情を誘えれば少額で済むこともあります。英語ができなくとも DeepLなどの優秀な翻訳サイトがあるので言語の壁はかなり下がっていると思います。

しかし、これはあくまで他に選択肢がない場合の最終手段です。金銭を支払ってしまうことで犯罪者が次の犯行をおこなうモチベーションになってしまいます。金銭的に余裕があれば隠してより大きな問題を引き起こす前に早期にセキュリティの専門家を雇って対処してもらったほうが良いでしよう。

おわり

UnsplashのImmo Wegmannが撮影した写真