ランサムウェアに感染したということは、サイバー犯罪者にデータを暗号化されてしまったか、オペレーティングシステムがブロック されてしまっているということです。多くの場合、データの復号と引き換えに身代金を要求されます。ランサムウェアは、さまざまな方法でデバイスに感染します。最も多い経路には、悪意あるウェブサイトでの感染、ダウンロードやスパムメールを介した不要なアドオンによるものが挙げられます。ランサムウェア攻撃は、個人も企業も標的にします。用心を怠らない、適切なソフトウェアを使用するという、正しい方向へ向かうための重要な措置を講じつつさまざまな対策を取ることで、ランサムウェア攻撃から身を守ることができます。ランサムウェア攻撃に遭うということは、データが損失するか、大金を失うということです。最悪の場合は、その両方を失うことになります。
ランサムウェアの検知
PCが感染したかどうかは、どうすればわかるでしょうか。ランサムウェア攻撃の検出方法をいくつか挙げます。
- ウイルス対策スキャナーがアラームで知らせる – デバイスにウイルススキャナーが搭載されていれば、回避されない限り、早い段階でランサムウェアの感染を検知できます。
- ファイルの拡張子を確認する – 例えば、画像ファイルの一般的な拡張子は「jpg」ですが、この拡張子が見慣れない文字の組み合わせになっていたら、ランサムウェアに感染している可能性があります。
- ファイル名が変更されている – ファイル名が変更されてはいませんか。悪意あるプログラムは、多くの場合、データを暗号化する際にファイル名を変更します。したがって、この場合、感染を疑う必要があるかもしれません。
- CPUやディスクの使用率が増えた – ディスクやメインプロセッサの使用率が増えた場合、ランサムウェアがバックグラウンドで動作していることを示しています。
- 疑わしいネットワーク通信 – 疑わしいネットワーク通信は、サイバー犯罪者またはサイバー犯罪者のサーバーとやり取りするソフトウェアによるものかもしれません。
- 暗号化されたファイル – ファイルを開けないのは、ランサムウェア活動後期の兆候です。
最終的には、身代金を要求するウィンドウが開いて、ランサムウェアへの感染を裏付けることになります。脅威の検出が早ければ早いほど、ランサムウェアとの闘いも容易です。暗号化型トロイの木馬への感染を早い段階で検知することで、エンドデバイスがどの種類のランサムウェアに感染しているかを見極められます。脅迫型トロイの木馬の多くが、暗号化を実行すると、分析や復号を行えないよう自己削除します。
ランサムウェアに感染したらどうすればいいのか
一般的に、ランサムウェアは、ロッカーランサムウェアとクリプトランサムウェアの2種類に分かれます。ロッカーランサムウェアウイルスは全画面をロックする一方、クリプトランサムウェアはファイルを暗号化します。暗号化型トロイの木馬の場合、その種類を問わず、被害者が取れる選択肢は、主に3つです。
- 身代金を払って、サイバー犯罪者が約束どおりデータを復号してくれることを願う。
- 利用可能なツールを使ってランサムウェアを駆除する。
- PCを工場出荷時の状態に戻す。
暗号化型トロイの木馬の駆除とデータの復号方法
ランサムウェアとの闘いにおいては、ランサムウェアの種類とランサムウェア感染をどの段階で検知したかの両方が極めて重要です。ランサムウェアの亜種すべてで駆除とファイルの復元を行うのは不可能です。感染への対抗手段として、次の3つを挙げます。
ランサムウェアの検知は早ければ早いほど良い
ランサムウェアが身代金を要求する前に検知した場合は、ランサムウェアを駆除できるという利点があります。この段階で暗号化されているデータは暗号化されたままですが、ランサムウェアウイルスを阻止できます。早い段階で検知したということは、他のデバイスやファイルに感染が広がらずに済むということです。
外部デバイスやクラウドストレージにデータをバックアップしていれば、暗号化されたデータを回復できます。しかし、データのバックアップを取っていない場合は、どうすればいいでしょうか。信頼性の高いウイルス対策ソリューションの導入をおすすめします。ランサムウェアの被害に遭った場合の復号ツールが搭載されている場合もあります。また、「No More Ransom」プロジェクトのウェブサイトにアクセスしてみるのもいいかもしません。このイニシアチブは、ランサムウェアの被害に遭ったすべての人たちをサポートするため、業界が一丸となって立ち上げたものです。
ファイル暗号化型ランサムウェアの駆除方法
ファイル暗号化型ランサムウェア攻撃の被害に遭った場合は、次の手順に従って、暗号化型トロイの木馬を駆除してください。
手順1:インターネットの接続を切る
まず、仮想、物理共にすべての接続を切ります。これには、ワイヤレスデバイスと有線接続しているデバイス、外部のハードドライブ、記録媒体やクラウドアカウントも含まれます。これによって、ランサムウェアがネットワーク内に広がるのを防げます。他のエリアの感染が疑われる場合には、そのエリアについて、以下のバックアップ手順を行ってください。
手順2:インターネットセキュリティソフトでスキャンする
インストールしているインターネットセキュリティソフトでウイルススキャンを行います。これによって、脅威を特定できます。危険なファイルが見つかった場合は、それらを削除したり、隔離したりすることができます。悪意のあるファイルを手動で削除することも、ウイルス対策ソフトを使って自動で削除することもできます。手作業によるランサムウェアの駆除は、コンピュータに詳しいユーザーの場合のみ推奨されます。
手順3:ランサムウェア復号ツールを使う
使用するPCがデータを暗号化するランサムウェアに感染している場合、データにアクセスするには、適切な復号ツールが必要です。カスペルスキーでは、ランサムウェア攻撃に対抗できる適切な復号ツールを提供できるよう、ランサムウェアの最新の種類を絶えず調査しています。
手順4:バックアップから復元する
外部デバイスやクラウドストレージにバックアップを取ってある場合は、ランサムウェアに暗号化されていないデータのバックアップを作成します。バックアップを取らなければ、PCのクリーニングや復元が非常に難しくなります。そのような状況にならないよう、常にバックアップを作成することをおすすめします。バックアップの作成を忘れがちな場合は、自動のクラウドバックアップサービスを使うか、カレンダーでアラートを設定して、忘れないようにします。
画面ロック型ランサムウェアの駆除方法
画面ロック型ランサムウェアの場合、被害者はまず、セキュリティソフトにアクセスするのが難しいという事態に直面します。PCをセーフモードで立ち上げることで、画面ロック動作がロードされない可能性があり、そうすれば、被害者は、ウイルス対策ソフトを使用してランサムウェアに対抗できます。
身代金を支払った方が良い?
一般的に、身代金を支払うことはおすすめできません。実際の人質事件での「交渉しない」方針同様に、データが人質に取られた場合も同様の方法に従う必要があります。身代金の支払いをおすすめできないのは、脅迫者が本当に約束を守ってデータを復号するという保証はどこにもないからです。また、支払うことで、この種の犯罪のまん延を助長してしまう恐れもあります。
身代金を支払うつもりなら、PCからランサムウェアを駆除してはいけません。事実、ランサムウェアの種類または復号に関するサイバー犯罪者の計画によっては、そのランサムウェアが復号化コードを適用する唯一の方法である場合があるからです。ランサムウェアを早計に駆除することで、大金を支払って手にした復号化コードが使い物にならなくなるかもしれません。しかし、復号化コードを受け取って、それが機能するのであれば、データの復号後すぐにランサムウェアをデバイスから駆除する必要があります。
ランサムウェアの種類によって対処の仕方はどう違う?
ランサムウェアには多くの種類があり、わずか数クリックで駆除できるものもあります。しかし、それとは対照的に、極めて複雑で、駆除に時間がかかる、広く流行している亜種もあります。
感染したファイルの削除と復号には、ランサムウェアの種類によってさまざまな方法があります。ランサムウェアの異なる亜種すべてで機能する万能な復号法はありません。
ランサムウェアを適切に駆除するには、以下の質問に答えることが重要です。
- デバイスに感染したランサムウェアの種類は?
- 適切な復号プログラムはありますか? ある場合、その種類は?
- どのような経路でシステムに感染しましたか?
例えば、Ryukは、Emotetを介してシステムに感染したかもしれません。この場合、問題に対処する方法が異なることを意味します。Petyaに感染している場合は、セーフモードが効果的です。ランサムウェアのさまざまな亜種についての詳細は、 こちらでご確認ください。
結論
最善のセキュリティ対策を取っていても、ランサムウェア攻撃を確実に排除することはできません。最悪の事態の場合には、カスペルスキー製などの優れたインターネットセキュリティソフトや準備を怠らないこと、慎重に行動することが、攻撃による被害の低減に役立ちます。ランサムウェア攻撃の前兆を常に心に留めておくことで、早い段階で感染を検知し、立ち向かうことができます。たとえ身代金を要求されたとしても、選択肢は複数あり、自らの状況に応じて適切な方法を選べます。定期的にデータのバックアップを取ることで、攻撃の影響を大幅に減らせることを忘れないでください。
関連製品:
関連記事:
