NAS よもやま話 セキュリティーについて パソコントラブルあるある パソコン・サポート業者さんへ 削除データのサルベージ 論理障害他データ取り出し

ランサムウエア(データ復号身代金支払要求)ウイルス感染パソコンからのデータ復旧について

投稿日:2015年1月6日 更新日:


当店では2013.11.5 11:18に発行された産経ニュースの下記記事以降に

PCロックし「解除には金が必要」 身代金型ウイルスご用心 5カ月で160件

旧ホームページにて「PCロックし「解除には金が必要」 身代金型ウイルスについて」というブログを書いていますが、これ以降、複数の身代金ウイルス感染PCからのデータ復旧を看てきました。

ますは、身代金ウイルス感染経路挙動、そしてデータ復旧業者様に是非知っておいて欲しい「いつどうやってデータを暗号化するのか?」についてお知らせいたします。また、身代金ウイルスに感染したパソコンからのデータ復旧方法もお伝えいたします。

1)身代金ウイルス感染経路について

第一段階(感染への誘導)

hao123やBaidu、inbox toolbar、Registry optimizer、WinZip Registry OptimizerやSystweak Advanced System Protectorなどの「偽装ウイルス対策ソフト」・・・書き出すとキリがありません。これらは閲覧者に「無料でパソコン検査する」とか「こんな便利なソフトを無料で使ってみてください」とか「あなたのパソコンが危険にさらされている」など、言葉巧みに導入させます。「最終的にはお金を払って買え」と言ってきますが、これらを導入してしまった経験者は、ウイルスに感染しやすいので注意して下さい。また、これらの詐欺ソフトは、ブラウザーの検索ボックスやホームページを書き換えて、インターネット検索した際に、意図的に検索結果を「向こうの都合で表示させる」タイプの情報誘導系アドオンに再感染させます。ちなみに、詐欺ソフトの請求どおりにお金を払っても、何も解決せず次の詐欺ソフトに感染するだけですので、信頼できるパソコン修理屋さんにウイルス削除をお願いしてください。

dr du opt wdu
*もし、リカバリーや初期化しないとウイルス削除できないと言われた場合はデータのバックアップに気をつけてください。
*ほとんどのメーカーは購入後1年以内の保証範囲内であってもウイルス感染の修理は有料です。

第二段階(致命的感染)

*JAVAへのリンクを貼りましたがインストールしないで下さい!
*抱き合わせで、上記第一段階の誘導ソフトのインストールを勧められてしまいます。

第一段階の感染誘導を放置したままパソコンを使っていると、この第二段階の致命的感染への道が常に開かれているということです。なぜなら、彼らは悪意有る広告を表示したり、パソコンに詳しくない人を不安にさせたり脅迫して「クリックをさせ」最終的にお金を取ることを目的としているからです。どんな検索をしても、そのようなページが常に上位表示されます。

パソコン操作での左クリックの意味は=絶対権限者からの実効命令です。たとえ、ウイルス対策ソフトを導入していても、パソコンの利用者よりも下位権限のウイルス対策ソフトはこの命令に逆らうことできませんから、それが悪意有る身代金ソフト導入へのリンクであれば致命的感染になります

ほかにもJAVAがインストールされているパソコンについて、インターネットを閲覧するブラウザーでjavaが仕込まれているホームページを閲覧した際、自動的にjavaが動いてしまう場合(アドオン)に、開いたページに「身代金ウイルス」が仕込まれていた場合は即感染します。

また、Adobe系無料ソフト=Adobe Reader/Adobe Flash player/Adobe shockwave player=などがインストールされているパソコンで、インターネットを閲覧するブラウザーがAdobe系無料ソフトで開けるプログラムを感知すると、自動的にAdobe系無料ソフトが動いてしまう場合(アドオン)、開いたページに「身代金ウイルス」が仕込まれていれば感染します。

fbi_spy
参考画像(画面右に映っているのは内蔵カメラが撮っている私の顔とiPhone 5S)

2)身代金ウイルスの挙動について

第三段階(部分的なデータの暗号化)

身代金ウイルスの挙動は、まず「お金を払わないとデータが開けなくなるぞ」と脅かしてきます。画像や文章での脅し文句は英語や日本語で書かれています。

*もしこうなったら、ここで直ぐにシャットダウンして再起動しないで下さい!

*この段階でしたら、ほとんどのデータ復旧が可能です。

いつどうやってデータを暗号化するのか?

第四段階(広範囲なデータ暗号化)

一番してはいけないのはこの先です。

1.データを開いて確認すること。

2.不安になって写真などを表示させて確認しようとすること。

3.再起動すること。

上記の動作を絶対にしてはいけません。データ復旧業者さんやパソコン修理業者さんも絶対に感染状態を確認してはいけません。なぜなら、身代金ウイルスの挙動は「絶対権限者からの実効命令に連動して参照/表示/実行させたフォルダーやデータをどんどん暗号化してゆくからです。

再起動した場合はかなり深刻で、起動後もバックグラウンドでデータをどんどん暗号化してゆきます

つまり、OS起動時に管理権限で暗号化させるプログラムを実行させます。ただし、身代金ウイルスは一点一点のファイルごとやフォルダ毎に暗号化してゆきますので、全データの暗号化には時間がかかります。再起動を繰り返したり、フォルダーを開いたりファイルを開こうとすると、クリックした対象から優先的に暗号化してしまいます。

*この段階では、パソコンの使用者が開こうとしてしまったデータや表示できなかったデータは、完全に暗号化されていて複合も出来ません

4)身代金ウイルスに感染したパソコンからのデータ復旧方法

上記の感染1~4の段階によって、取り出せるデータは決まってしまいます。

暗号化されたデータは復号出来ませが、一般の方に注意していただきたいのは、現存するデータは取り出せる。ということを、勘違いしないでキチンと覚えておくことが重要です。

例えば、身代金ウイルスソフトに感染したパソコンからのデータ復旧は、他の障害のあるHDD等記憶媒体からのデータ復旧よりも時間や手間がかかることはありません。つまり、身代金ウイルスに感染したパソコンから暗号化されていないデータを取り出すことは(追記:当店にとっては)難しい特殊な作業では無いということです。

こういう解かりづらい問題に対して、一部の、お客様の足元を見た悪徳データ復旧業者が、取り出せて当たり前のデータと絶対に復号化出来ないデータを、さも技術力で取り出したように説明し、高額なデータ復旧料金を請求する可能性がありますので、良心的なデータ復旧業者さんやパソコン修理業者さんは、パソコン利用者の皆様が疑心暗鬼になってしまわないように、充分説明して差し上げてください。

ということですので、当店での身代金ウイルス感染パソコンからのデータ復旧料金は、一般的なデータ復旧料金と変わりません。

*注)当店では、身代金ウイルスに感染したHDD媒体を、お客様の許可を得て物理的にクローンコピーを作り、挙動確認や暗号化のトリガーを実験検証しています。その際、暗号化されていないデータや、最新リビジョンデータ以前の古い暗号化されていないデータは何の問題もなく取り出せています。パソコン自体の修理にはリカバリー/初期化が一番早くて有効です。

追記:ランサムウエア感染パソコンにUSB接続している記憶媒体(外付けHDDやUSBメモリー、SDカードなどなど)の中のデータも暗号化されます。また、LAN経由でNASやデータ共有サーバーにランサムウエア感染パソコンがアクセスできた場合は、その中のデータも暗号化されます。シャットダウンできなかったり、パソコンの挙動に不安があれば、強制終了してでもすぐに電源を切って、当店に電話で相談してくださいませ。

-NAS, よもやま話, セキュリティーについて, パソコントラブルあるある, パソコン・サポート業者さんへ, 削除データのサルベージ, 論理障害他データ取り出し

執筆者:

関連記事

no image

無料版のウイルス対策ソフトは何がいい?

おはようございます。 今朝の八王子は台風11号 (ハーロン)の影響で、時々集中豪雨でございます。 さて、毎日データ復旧やパソコンの対面修理を承っておりますと、故障の症状とは別にウイルスソフトに感染して …

八王子市内の高齢者介護でお困りの皆様へ

お客様の声 ここのところ、パソコンのデータ復旧や対面修理にお越しになるお客様から「高齢者介護をする事になったが初めてのことで右も左も分からず信頼できる人に相談したい」というお話しをお聞きする機会が増え …

パソコン・サポート・設置・設定・修理業者さんは自分の株を上げましょう!

パソコンサポート業者はどこが選ばれるか? 日本も、各家庭や会社にパソコンが普及しはじめてから25年経ちます。 昨今は日本全国にパソコン・サポート・設置・設定・修理業者さんがたくさんいらっしゃいます。 …

WD MyPassport Ultra2.0TBからのデータ復旧診断:復旧不可(3,240円)

WD MyPassport Ultra2.0TB (#WDBDKD0020BBY)からのデータ復旧診断内容 ・落下後、USB接続でデータにアクセスできなくなってしまった。 診断結果:データ復旧不可 デ …

マイクロソフト社を偽装する迷惑ソフトの対処について

ここのところ非常に多いトラブルについて注意喚起します。 これは、Microsoft社のロゴなどを違法利用(著作権侵害)して脅かし脅迫してくる画面ですが「サイト広告」という扱いで、ブラウザーに強制的に表 …

営業日