データ復旧事例

ランサムウェア『Locky、Zepto、odin』の駆除とデータ復旧 その①

投稿日:2016.10.12 更新日:2016.10.12
ランサムウェア odin感染

 

ランサムウェアの新種『odin』の拡散

 

ランサムウェアの新種『odin』が9月27日より拡散しております。
Locky、Zeptoに次ぐ新種になります。
最近のランサムウェアによる攻撃はかなり組織的で、新種がでると同時に世界中へ配布されます。
ランサムウェアの最大の問題点はウイルスを駆除しても暗号化されたファイルは戻らないということです。
弊社にもお問合せや駆除、データ復旧のご依頼をこの短期間に複数件、頂戴しております。

 

ランサムウェアの駆除やデータ復旧に関する情報はかなり少ない

 

ネットを検索された方はお分かりかもしれませんが、ランサムウェアのデータ復旧に関する情報はかなり少ないです。
多くはランサムウェアに感染したPCからのデータ復旧を謳った業者のページですが、正直ちょっといただけないな、、、と感じています。
その多くはランサムウェアからの復旧率の高さを声高に謳うばかりで、その実態を話していません。

当記事ではできるだけ実際の状況や私が対応した実例をもとに書きたいと思います。

 

ランサムウェアへの感染とその対象


ランサムウェアは感染すると感染したPC内のファイルを暗号化して読み取れなくします。
読み取れなくされるのは、オフィス製品のファイルやPDFなどが中心でしたが、
徐々にその範囲は広がり圧縮ファイルなども暗号化対象となりました。
暗号化は一瞬で終わるものではありませんが、短時間でほとんどの対象ファイルを暗号化されてしまいます。
ですので感染初期で気付いた場合はすぐに電源を落とせば、被害を最小限で抑えられる可能性があります。
その後セーフモードで立ち上げ、ウイルスを駆除することができれば被害の拡大を防げます。

また、暗号化される対象はそのPCのみに限りません。
ネットワーク上で共有化されているファイルがあればそれらも暗号化の対象となります。

これが中小企業にとって脅威となっています。
1台が感染するとサーバー内の共有フォルダーがすべて暗号化されてしまうため、会社の業務がストップしてしまいます。

 

ランサムウェアは別名『身代金ウイルス』


ランサムウェアは別名『身代金ウイルス』と言われています。
感染経路の多くはメールです。
添付ファイルを開かせることによって感染させます。
添付ファイルなんて開かないだろ!と思ってらっしゃる方がまだまだ多いのですが、
最近の手口は手が込んできています。
英語から日本語へ、不自然な文章から自然な文章へ、多くの人が関係ありそうな企業を騙り、
添付ファイルもワードやエクセル、PDFなどに擬態させます。
憶測ですがこれらは国内でも組織的な関与があるのでは無いかと思っています。

感染するとファイルを暗号化し、案内文のファイルを見せてきます。
『HELP_instructions』とか『HOWDO_text』とかがそれです。

ランサムウェア Help Instractions HOWDO

大雑把に意訳しますと、

『あなたのファイルをRSA-2048とかAES-128とかで暗号化したよ。
データを返してほしければリンク先のページで暗号キーを購入してね。』

って書かれています。
このRSA-2048とかAES-128ですが、調べて貰えればわかることですが、未だ世界中で誰も解読できていません。
将来的にはわかりませんが、残念ながら現時点での技術では解読法が無いものになります。

この解読不能の暗号化を人質に金銭を要求する。というのがランサムウェアの実態です。

 

つづく…

 

 

データ復旧29,800円