ランサムウェア(WannaCry)に感染したらデータ復元は絶望的

wannacryの身代金請求画面

最近ニュースでやたらと出てくる単語「ランサムウェア」。

「ランサムウェア」のランサム(Ransom)とは、身代金のことです。

パソコンのデータを人質に取られて身代金を要求される被害が多発しています。

ニュースや報道では、絶対に身代金を払ってはいけないと注意しています。

しかし、実際にウイルス感染してしまうと、ファイルが開けなくなり仕事にならないです。

「仕事ができないと、身代金を払うよりも大きな損害が出る!」

そんな状況では、早くファイルを元に戻したくてお金を払ってしまうかもしれません。

今回騒がれているランサムウェアは「WannaCry」といわれているものです。

なぜ、「WannaCry」の被害がこれほど広がったのか?

感染しないための対策や、感染した場合の対処方法などをまとめてみました。

爆発的に広がったWannaCryとは?

WannaCryはランサムウェアの一種ですが、2017年5月頃に被害が広がった新種のマルウェア(悪意のあるソフトウェア)です。

WannaCryに感染すると、自分のパソコンや同じネットワークに繋がっているパソコンのファイルを次々と暗号化して、ファイルを開けなくして身代金を要求してきます。

WannaCryに感染したパソコンの画面

ランサムウェア「WannaCry」に感染したら、どうなるのか気になりますよね。

独立行政法人情報処理推進機構(IPA)がWannaCryに感染した時の実演動画を公開しています。

こちらの動画を見れば、WannaCryがどのように感染していくのかがわかります。

ファイルの暗号化は、元ファイルとは別に新しいファイルを作ってから、元ファイルが削除されてます。

その後に「金払え!」の画面がドンと出てきます。

この画面は自分のパソコンでは、絶対に見たくないです。

身代金を払ったら、暗号化されたファイルを復元できるのか?

もし、会社のパソコンがWannaCryなどのランサムウェアに感染してしまうと、

「お金を払ってでも、データを戻したい!」

と思って、身代金を払ってしまうかもしれません。

でも、こんな悪質なソフトウェアを作るような悪者にお金を払っても、データが復旧する可能性は低いです。

過去には、身代金を払ってデータを復旧できたという調査結果があるようですが、それでも50%以下です。

「身代金を払えば、データを元に戻せるかもしれない。」

という希望的に考えは捨てましょう。

感染したら、ほぼデータの復元はできないと考えた方が良いです。

WannaCryで暗号化されたファイルはほぼ復元できない

WannaCryなどのランサムウェアの怖いところは、感染するとファイルが暗号化されるところです。

で、この暗号化されたファイルはWannaCryをウイルス対策ソフトで駆除できたとしても、ほとんど復旧することはできません。

ほとんどといったのは、わずかながら、暗号化されたファイルを元に戻す方法があるからです。

しかし、ファイルを元に状態に復元するには、厳しい条件があります。

WannaCryで暗号化されたファイルを復元するには?

ファイル複合ツールを使う

現在のところ、WannaCryで暗号化されたファイルを復元する方法は、ファイル複合ツールを利用するしかありません。

しかし、このツールで復元するには、厳しい条件があります。

例えば、トレンドマイクロが無償提供しているファイル復号ツールの場合、このように再起動すると使えません。

本ツールは、WannaCryランサムウェアプロセスのメモリ上から秘密鍵を検索し、復号を試みます。
そのため、WannaCryのプロセスが引き続き、対象の環境で動作している環境(メモリ上に存在している環境)でのみ有効です。 以下にご留意ください。
・感染後に再起動を実施している環境や、なんらかの理由で感染が途中で終了している環境では、復号は出来かねます。
・WannaCryに感染後、時間が経過している場合、再起動を未実施でもメモリが上書きされ、復号の成功率が下がります。

良く読まないとわかりづらいですが、ファイル復号ツールを使うためには、WannaCryが動作している状態で使わないといけません。

つまり、WannaCryに感染したからといって、ウイルス対策ソフトで除去してしまうとファイル復号ツールでは復元できなくなります。

■トレンドマイクロ – ランサムウェア ファイル復号ツールを無償提供
個人向け

法人向け

同じように、フランスのセキュリティ研究者Benjamin Delpyさんが、公開しているファイル復旧ソフトも再起動をしていると使えません。

参考記事:身代金を払わないWannaCry解除ツール wanakiwi 公開。XP~7対応、使用条件「感染後再起動していないこと」

どちらも一度も再起動していないのが条件になっています。

しかし、わたしがWannaCryの事を知らずに感染画面が見たら、「再起動したら治るかもしれない」と思って、すぐに再起動すると思います。

同じようにパソコンを再起動したら治ると思う人も多いと思うので、暗号化されたデータの復旧はほぼ無理です。

あとは、WannaCryの開発者が会心して暗号化解除キーを無条件公開してくれるのを期待するしかありません。

削除された元ファイルをデータ復元ソフトを使う

WannaCryは、暗号化されたファイルを作成した後に、元ファイルを削除しています。

なので、この削除された元ファイルを復元する「データ復元ソフト」を使う方法です。

データ復元ソフトとしては、「EaseUS Data Recovery Wizard Professional」などがあります。

以下のサイトから無料体験版が利用できます。

EaseUS Data Recovery Wizard Professional

「データ復元ソフト」を使えば、削除したファイルを復元することができます。

しかし、削除されたファイルが必ず復元できるわけではありません。

「半分だけでも、少しだけでも復元ができれば助かる。」

程度の覚悟はしておきましょう。

データのバックアップから復元する

外付けHDDやUSBメモリにバックアップを取っていれば、そこからデータを復元できます。

ただ、この方法は日頃からバックアップととっていれば一番確実な方法ですが、バックアップをまったく取っていないと使えません。

1ヶ月に一度だけバックアップと取っている場合でも、最悪の場合は、1ヶ月で作ったファイルが全部なくなるので被害は大きくなります。

まだ、バックアップをとっていないなら、これを機会にデータのバックアップを始めましょう。

WannaCryを駆除する方法

WannaCryを駆除する方法は、ウイルス対策ソフトを入れてスキャンすれば駆除できます。

無料のウイルス対策ソフトでも良いですが、最新ウイルスに対応するのが遅いことが多いので、できれば有料のものを入れた方が安心です。

パソコンがウイルスに感染しているかどうかを確認したいだけなら、トレンドマイクロのオンラインスキャンを使えば無料でウイルスチェックができます。

無料で簡単ウイルスチェック – トレンドマイクロ オンラインスキャン

ただ、このオンラインスキャンは感染状態のチェックしかできません。

ウイルスを駆除したいなら、有料版を購入する必要があります。

身代金要求の画面に書かれている気になる文章

身代金要求の画面には、気になる文章が最後に書かれています。

「私たちは6ヶ月で払うことができないほど貧しい人々のために無料イベントを開催します。」

「貧しい人々」というのが、どんな人を指すのかがわかりませんが、一般的に考えれば、衣食住に困っている人たちでしょう。

そんな人たちのために、人から奪い取ったお金を使って人助けをするつもりなんでしょうか?

パソコンを持っている人は皆、裕福で貧しい人ではないという考えなのでしょうか?

確かに、住むところもなく、食べるのにも困っているような人がパソコンなんて持っているわけないかもしれません。

しかし、人々の生活を良くしようと必死で働いている人たちの努力を全否定して、お金を稼いでいる人間を犠牲にしても良いという考えなのでしょうか?

今回の被害で、仕事ができなくなり、負債を抱えて会社が倒産するようなことがあるかもしれません。

ひょっとしたら、会社が倒産すれば、生活ができなくなり自殺を考える人も出てくるかもしれません。

もし、本当に貧しい人を助けるイベントをやったとしても、無差別テロと同じようなやり方は絶対に許せません。

WannaCryの感染経路

このように一度感染すると取り返しのつかない被害を受けるWannaCryですが、どのようにパソコンに感染するのでしょうか?

WannaCryは他のコンピューターウイルスと同じように、サイトの閲覧や電子メールに添付されたファイルを開くことでWannaCryが実行されて感染します。

WannaCryがコンピューターに侵入する感染経路は、ネットワーク上でファイル共有を行う「Server Message Block」(SMB)の脆弱性を利用しています。

マイクロソフトは、既にその脆弱性に対応したセキュリティアップデートを公開しているので、セキュリティアップデートをしているパソコンは感染しません。

なので、WannaCryに感染したパソコンはセキュリティアップデートをしていないWindows7のパソコンがほとんどだったという話です。

参照記事:「WannaCry」感染の98%は「Windows 7」で「XP」はほぼゼロ

感染したのが、ほとんどWindows7だったというのは、Windows10には、WannaCryが感染する脆弱性はないということと、単純にWindows7を利用している人が多かったからでしょう。

なぜ、セキュリティアップデートをしていないのかは、企業で利用しているソフトウェアとの関係で簡単にOSのアップデートができないからと言われています。

特定のOSでしか動かないソフトを入れていると、こういう時に振りですね。

しかし、今後、どんなウイルスが出てくるかわからないので、常にセキュリティ対策はしておかないと危険です。

ランサムウェアの感染を防ぐためには

まず、不審なサイトやメールに添付されたファイルを開かないことです。

そして、マイクロソフトなどが提供するセキュリティアップデートを実行して最新状態に更新することです。

当然ながら、ウイルス対策ソフトも入れておきましょう。

ウイルス対策ソフトは入れているだけではダメです。

新しいウイルス情報が入っているウイルス定義ファイルを更新して最新のものにしなければ、新しいウイルスを検知できません。

また、重要なファイルは小まめに外付けHDDやUSBメモリなどにバックアップをとっておくと安心です。

ちょっと面倒だと思うかもしれませんが、ウイルスに感染した時の被害を考えたら、やらないわけにはいきません。

まとめ

今回紹介したWannaCryのランサムウェアは爆発的に感染が広がったので、世界中で被害が発生しています。

しかし、OSを常に最新の状態にアップデートしておいたり、ウイルス対策ソフトのウイルス定義データベースのアップデートはこまめにしておけば感染は防ぐことができるものでした。

コンピューターウイルスは新しいものが次々に出てくるので、ウイルス対策ソフトを入れていたとしても完全には防げないかもしれません。

しかも、WannaCryは一度感染すると、ファイルを復元するのはほぼ無理です。

ウイルスに感染してから後悔しないために、日頃から、大切なファイルは小まめにバックアップをしておいた方が良さそうです。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です