当店では2013.11.5 11:18に発行された産経ニュースの下記記事以降に
旧ホームページにて「PCロックし「解除には金が必要」 身代金型ウイルスについて」というブログを書いていますが、これ以降、複数の身代金ウイルス感染PCからのデータ復旧を看てきました。
ますは、身代金ウイルスの感染経路と挙動、そしてデータ復旧業者様に是非知っておいて欲しい「いつどうやってデータを暗号化するのか?」についてお知らせいたします。また、身代金ウイルスに感染したパソコンからのデータ復旧方法もお伝えいたします。
1)身代金ウイルス感染経路について
第一段階(感染への誘導)
hao123やBaidu、inbox toolbar、Registry optimizer、WinZip Registry OptimizerやSystweak Advanced System Protectorなどの「偽装ウイルス対策ソフト」・・・書き出すとキリがありません。これらは閲覧者に「無料でパソコン検査する」とか「こんな便利なソフトを無料で使ってみてください」とか「あなたのパソコンが危険にさらされている」など、言葉巧みに導入させます。「最終的にはお金を払って買え」と言ってきますが、これらを導入してしまった経験者は、ウイルスに感染しやすいので注意して下さい。また、これらの詐欺ソフトは、ブラウザーの検索ボックスやホームページを書き換えて、インターネット検索した際に、意図的に検索結果を「向こうの都合で表示させる」タイプの情報誘導系アドオンに再感染させます。ちなみに、詐欺ソフトの請求どおりにお金を払っても、何も解決せず次の詐欺ソフトに感染するだけですので、信頼できるパソコン修理屋さんにウイルス削除をお願いしてください。
*もし、リカバリーや初期化しないとウイルス削除できないと言われた場合はデータのバックアップに気をつけてください。
*ほとんどのメーカーは購入後1年以内の保証範囲内であってもウイルス感染の修理は有料です。
第二段階(致命的感染)
*JAVAへのリンクを貼りましたがインストールしないで下さい!
*抱き合わせで、上記第一段階の誘導ソフトのインストールを勧められてしまいます。
第一段階の感染誘導を放置したままパソコンを使っていると、この第二段階の致命的感染への道が常に開かれているということです。なぜなら、彼らは悪意有る広告を表示したり、パソコンに詳しくない人を不安にさせたり脅迫して「クリックをさせ」最終的にお金を取ることを目的としているからです。どんな検索をしても、そのようなページが常に上位表示されます。
パソコン操作での左クリックの意味は=絶対権限者からの実効命令です。たとえ、ウイルス対策ソフトを導入していても、パソコンの利用者よりも下位権限のウイルス対策ソフトはこの命令に逆らうことできませんから、それが悪意有る身代金ソフト導入へのリンクであれば致命的感染になります。
ほかにもJAVAがインストールされているパソコンについて、インターネットを閲覧するブラウザーでjavaが仕込まれているホームページを閲覧した際、自動的にjavaが動いてしまう場合(アドオン)に、開いたページに「身代金ウイルス」が仕込まれていた場合は即感染します。
また、Adobe系無料ソフト=Adobe Reader/Adobe Flash player/Adobe shockwave player=などがインストールされているパソコンで、インターネットを閲覧するブラウザーがAdobe系無料ソフトで開けるプログラムを感知すると、自動的にAdobe系無料ソフトが動いてしまう場合(アドオン)、開いたページに「身代金ウイルス」が仕込まれていれば感染します。
参考画像(画面右に映っているのは内蔵カメラが撮っている私の顔とiPhone 5S)
2)身代金ウイルスの挙動について
第三段階(部分的なデータの暗号化)
身代金ウイルスの挙動は、まず「お金を払わないとデータが開けなくなるぞ」と脅かしてきます。画像や文章での脅し文句は英語や日本語で書かれています。
*もしこうなったら、ここで直ぐにシャットダウンして再起動しないで下さい!
*この段階でしたら、ほとんどのデータ復旧が可能です。
3)いつどうやってデータを暗号化するのか?
第四段階(広範囲なデータ暗号化)
一番してはいけないのはこの先です。
1.データを開いて確認すること。
2.不安になって写真などを表示させて確認しようとすること。
3.再起動すること。
上記の動作を絶対にしてはいけません。データ復旧業者さんやパソコン修理業者さんも絶対に感染状態を確認してはいけません。なぜなら、身代金ウイルスの挙動は「絶対権限者からの実効命令」に連動して参照/表示/実行させたフォルダーやデータをどんどん暗号化してゆくからです。
再起動した場合はかなり深刻で、起動後もバックグラウンドでデータをどんどん暗号化してゆきます。
つまり、OS起動時に管理権限で暗号化させるプログラムを実行させます。ただし、身代金ウイルスは一点一点のファイルごとやフォルダ毎に暗号化してゆきますので、全データの暗号化には時間がかかります。再起動を繰り返したり、フォルダーを開いたりファイルを開こうとすると、クリックした対象から優先的に暗号化してしまいます。
*この段階では、パソコンの使用者が開こうとしてしまったデータや表示できなかったデータは、完全に暗号化されていて複合も出来ません。
4)身代金ウイルスに感染したパソコンからのデータ復旧方法
上記の感染1~4の段階によって、取り出せるデータは決まってしまいます。
暗号化されたデータは復号出来ませが、一般の方に注意していただきたいのは、現存するデータは取り出せる。ということを、勘違いしないでキチンと覚えておくことが重要です。
例えば、身代金ウイルスソフトに感染したパソコンからのデータ復旧は、他の障害のあるHDD等記憶媒体からのデータ復旧よりも時間や手間がかかることはありません。つまり、身代金ウイルスに感染したパソコンから暗号化されていないデータを取り出すことは(追記:当店にとっては)難しい特殊な作業では無いということです。
こういう解かりづらい問題に対して、一部の、お客様の足元を見た悪徳データ復旧業者が、取り出せて当たり前のデータと絶対に復号化出来ないデータを、さも技術力で取り出したように説明し、高額なデータ復旧料金を請求する可能性がありますので、良心的なデータ復旧業者さんやパソコン修理業者さんは、パソコン利用者の皆様が疑心暗鬼になってしまわないように、充分説明して差し上げてください。
ということですので、当店での身代金ウイルス感染パソコンからのデータ復旧料金は、一般的なデータ復旧料金と変わりません。
*注)当店では、身代金ウイルスに感染したHDD媒体を、お客様の許可を得て物理的にクローンコピーを作り、挙動確認や暗号化のトリガーを実験検証しています。その際、暗号化されていないデータや、最新リビジョンデータ以前の古い暗号化されていないデータは何の問題もなく取り出せています。パソコン自体の修理にはリカバリー/初期化が一番早くて有効です。