ランサムウェア感染時のデータ復旧

ランサムウェアは感染したコンピュータに保存されているファイルなどを暗号化し、もとに戻すために必要な「復号キー」と引き換えに身代金(ランサム)を要求するマルウェアの一種です。

まず、ランサムウェアに感染し、身代金を要求する画面が出てきたら、他のコンピュータに感染が拡大しないよう、ネットワークから切り離しましょう。
その上で、ファイルの復旧を行うわけですが、一度暗号化されてしまったデータは復号キーがないと元には戻せません。それでも、普段バックアップを取っていた場合はもちろんのこと、OSの機能を使って復旧することができる場合があります。

1.Windowsの場合

Windows7、Windows10ではボリュームシャドウコピーサービス(VSS)という機能を使って、バックアップコピーまたはスナップショットを取ることができます。
シャドウコピーは、ローカルにも外部ストレージにも作成することができますが、コンピュータがランサムウェアに感染してしまった場合、ローカルにシャドウコピーがあると、それも暗号化されてしまう恐れがあるので、外部ストレージに作成するようにしてください。

2.Mac OSの場合

Mac OSには「Time Machine」というバックアップ・ユーティリティがあり、Windowsの場合と同様に、Time Machineが保存している状態にまでシステムを戻すことができます。Time Machineでのバックアップ及び復元に関しては、下記のサイトを参考にしてみてください。

https://support.apple.com/ja-jp/HT201250

OSに搭載されている復旧方法以外にランサムウェアの撲滅を目的に、主要なセキュリティ対策ソフトのベンダーや法的機関が立ち上げている「No More Ransom」というサイトがあります。

https://www.nomoreransom.org/ja/index.html

このサイトに下記の必要なファイルをアップすると、復号可能なツールがあるかどうかを教えてくれます。

・ランサムウェアに感染して暗号化されたファイルを2つ

・脅迫文が書かれているテキストファイル

ツールが存在すれば、ダウンロードリンクが表示されますので、それを利用してファイルやシステムの復旧が可能となります。
これらの方法では、暗号化されたデータを100%復旧することはできません。重要なデータなどは、外部のストレージなどを利用してまめにバックアップを取っておきましょう。
注意事項として、外部ストレージを常時コンピュータに接続したままだと、コンピュータがランサムウェアに感染した場合に、同時に感染する恐れがあるので、バックアップを取るときだけ接続するようにしましょう。