2017年6月21日水曜日

ランサムウェア攻撃からの復旧方法

※このブログ記事はTEMASOFT社の公式ブログを翻訳したものです(一部内容変更あり)
今回は、ランサムウェア攻撃を受けた場合の対処方法を説明します。お使いのコンピューターが被害にあってしまったとしても、すべてを失ってしまうことがないように重要なファイルは定期的にバックアップしてください。

ケースA: 比較的新しいバックアップがあり、最新のファイルはなくなってもかまわない場合

この場合はこれ以上リスクはありませんので、マシンを再イメージングするかOSを再インストールしてください。
  1. コンピューターの電源を切ります。
  2. オペレーティングシステムを再インストールまたはOSイメージを復元します。
  3. 最新のバックアップからユーザーファイルを復元します。

ケースB: 直近のデータが必要な場合/バックアップがない場合

この場合は下の手順に従ってください。作業には次のコンピュータースキルが必要です: アプリケーションのインストール、プロセス追跡、コマンドラインからプロセス終了(kill)、オンライン検索、下の手順の実行。これらのスキルがないと思う場合は、コンピューターの電源を切って誰かに助けを求めてください。スキルがある場合は、次の手順を実行してください:

1. 暗号化プロセスを停止し、感染を抑える

この時点でファイルは暗号化されており、アクセスできません。まず第一に「封じ込める」ことを考えてください。「封じ込める」ことで、ランサムウェアが他のマシンやアクセス可能な他のファイルを攻撃するのを防ぐことができます。これと同時に、暗号化プロセスの開始直後に以下を実行できれば、感染マシン上のファイルを救うことができるかもしれません。以下の作業を行ってください:
  1. 感染したマシンに接続されているネットワークドライブを切断します。
  2. すべてのファイル同期クライアント(OneDrive, Dropboxなど)を切断します。
  3. ランサムウェアプロセスの特定を試みます。
    • タスクマネージャでリソース消費やアクティビティをもとにランサムウェアプロセスの特定を試みます。
    • または、ファイルアクセスを監視するツールをダウンロードします。使い方についてはこちら(英語)をご参照ください。このツールを使用してシステムを監視すると、ランサムウェアが最上位のファイルアクティビティとして表示されます。
  4. プロセスを特定できたら、タスクマネージャーまたはコマンドラインでこのプロセスを終了させます。または、オンデマンドでファイルを隔離できるアンチウィルスソリューションをお使いであれば、これを使ってランサムウェアプロセスを隔離します。

2. 駆除

この時点で、より多くのファイルが暗号化されないようにランサムウェアを停止させることができていますが、感染自体はまだ存在しています。再びランサムウェアが実行されないようにマシンをクリーンアップする必要があります。もっとも簡単な方法は、マルウェア除去ツールをインストールして実行することですが、このようなツールはあなたのコンピューターを攻撃した亜種そのものを識別できない可能性があることに注意してください。識別できない場合はクリーンアップすることはできません。再びランサムウェアが実行されるリスクを減らすために、以下の手順を実行してください:
  • ランサムウェアであると特定したプロセスのイメージファイルを削除します。
  • コンピューターの起動時に実行される未知または不審なエントリが存在しないことを確認します。こちらのリンク先にどこを見ればよいかについての情報(英語)があります。

3. 復元

ランサムウェアを停止してコンピューターをクリーンアップしたら、暗号化されたファイルを復元する方法を見つける必要があります。ファイルを復元できるという保証はありませんが、多くのランサムウェア亜種用の復号化ツールがありますので試してみる価値はあります。
  • 被害にあったランサムウェアの名前を見つけます:
    ランサムノートがあれば、そのランサムノートと同じメッセージを検索してください。
    ランサムノートがなければ、終了させたプロセスの名前を検索してください。
  • このような検索はランサムウェア亜種について行うべきです。さまざまなセキュリティベンダーがランサムウェアやマルウェアに異なるラベルをつけることに注意してください。ランサムウェアのファイル名、暗号化されたファイルの拡張子、ランサムノートのメッセージに関連するすべての名前を指定してください。これらの名前は次の手順で必要になります:
  • 特定の亜種によって侵害されたファイルを復号化できるツールをオンラインで検索します(検索にはこれに関連するすべての名前を使用します)。まずはここを探すのがよいでしょう。
  • 特定の亜種を除去するツールが見つからない場合は、マシンが感染した亜種を含むより広いランサムウェアファミリーを復号化するツールを試してみてください。それが機能しない場合でもまだ暗号化されたファイルは削除しないでください。新しいランサムウェア亜種の攻撃を受けた場合、しばらくすれば復号化ツールが利用できるようになるかもしれません。ランサムウェア亜種の更新を定期的にチェックしてください。
注記: 上記の方法でクリーンアップできないものもあります。その場合は、コンピューターをシャットダウンして助けを求めてください。そのようなランサムウェアには、MBRを変更し、(Windows OSではなく)独自のコードを起動するために再起動を強制するPetyaファミリーが含まれていている可能性があります。

TEMASOFT Ranstopにできること

さらなるインシデントを防ぐため、ファイルを保護しランサムウェアを自動的に停止することができるアンチランサムウェア技術を使用してください。

TEMASOFT Ranstopは高精度のファイルアクセスパターン解析に基づいて現在および将来のランサムウェアを検出するアンチランサムウェアソフトウェアです。リアルタイムでファイルを保護しており、マルウェア攻撃やユーザーの誤操作によって損失してしまったファイルを復元することができます。

詳しくは製品紹介ページ・製品ガイドをご参照ください:

https://www.jtc-i.co.jp/product/ranstop/ranstop.html
https://www.jtc-i.co.jp/support/documents/presentation/productguide_ranstop.pdf

ダウンロード(評価版)

TEMASOFT Ranstopには評価版(15日間、機能制限なし)があります。ぜひお試しください。

https://www.jtc-i.co.jp/support/download/

お問合せ

購入前のTEMASOFT Ranstopについてのお問合せは以下から承っております。
ご不明な点やお気づきの点がございましたらお問い合せください。
https://www.jtc-i.co.jp/contact/scontact.php