先述のように、きちんとランサムウェア対策を施しているのであれば、ランサムウェアに感染する可能性はきわめて低い。
しかし、新種や亜種などに感染する可能性は否定しきれないし、ちょっとしたミスをしてしまうこともある。端末ロック型ならば、ランサムウェアの駆除を行えば、問題は解決する。しかし、暗号化型の場合は、データが暗号化されたままとなる。
身代金は支払ってはいけない
では、どうすべきか。やっていけないのは、身代金を支払うことだ。その理由は3つある。1つ目は、身代金を払っても、復号キーを入手できる保証はどこにもないからだ。前述のように、攻撃者は身代金を支払わせようと、さまざま策を弄する。それに乗ってはいけない。
2つ目は、攻撃者を潤すことは、ランサムウェアの被害を拡大させることになるためだ。資金を得た攻撃者は、さらに新たなランサムウェアの開発を行う余裕が生まれる。この連鎖を断ち切るためにも、身代金の支払いは決して行ってはいけない。
そして、最後は、身代金を支払うことで、攻撃者から第二、第三の攻撃の対象となる可能性があることだ。一度身代金を支払うことで、再度ランサムウェアに感染したら、また身代金を支払うと攻撃者は思うだろう。格好の標的となりかねない。
無償公開の復元ツールが試用できる
では、暗号化されたファイルの復元はあきらめるしかないのか?
一筋の光明ではあるが、一部のセキュリティベンダでは、復元ツールを無償公開している。まずは、これを試すことが最初の方針となるだろう。まずはトレンドマイクロ。CryptXXX、TeslaCryptなどに対応する(詳細は下記のWebサイトを見ていただきたい)。
次いで、カスペルスキーの復元ツール。最初は、ランサムウェアのRannohによって暗号化されたファイルの復元を目的に公開された。その後、機能追加により、CryptXXXにも対応する。使用方法などは、Webページを参考にしてほしい。
ESETは以下の通り。TeslaCrypt V3、TeslaCrypt V4というランサムウェアに対応する。
続いて、マカフィー。LeChiffreというランサムウェアに対応する。LeChiffreは、Blowfish方式を使用してファイルを暗号化する(暗号化のアルゴリズムは、下記ブログに詳しく解説されている)。第3回紹介した経路で感染するランサムウェアと異なり、手動で暗号化を行う。
最後に、NO MORE RANSOM!のランサムウェア復元ツール。NO MORE RANSOM!は、欧州刑事警察機構(ユーロポール)、オランダ警察、Intel Security、Kaspersky Labがランサムウェア関連の情報を掲載するプロジェクトだ。
NO MORE RANSOM!では、複数のセキュリティベンダーの復元ツールをダウンロードできる。本稿執筆時点(2016年11月)では、7つの復号ツールをダウンロードできる。
- WildFire Decryptor
- Chimera Decryptor
- Teslacrypt Decryptor
- Shade Decryptor
- CoinVault Decryptor
- Rannoh Decryptor
- Rakhni Decryptor
ツールによっては、上述したセキュリティベンダーの復号ツールのダウンロードリンクとなっていることもある。ランサムウェアの種類がわかれば、そのランサムウェア用の復元ツールを使う。
過信は禁物、「必ず復元できる」ものではない
注意すべきことは、いずれのツールもすべてのランサムウェアに対応するものではないし、暗号化されたすべてのファイルが復元可能というわけでもない点である。
今回、多少、重複しても、複数の復元ツールを紹介したのは、できるだけ試してみることでひょっとしたら、復元できることもあるかもしれない。そんな可能性に期待したかったからである。
まずは、これらのツールを使ってみることが一歩である。決して、身代金を支払ってはならない。各社とも、ランサムウェアの分析を進めていくなかで、復号ツールも対応を広げていくと予想される。今回、紹介した復元ツール以外にも、新たに登場したり、バージョンアップが行われる可能性もある。できる限り、情報収集を行うべきであろう。
さて、ランサムウェアに限ったことではないが、ウイルスに感染してから対応を行うのは、どうしても時間と労力がかかる。やはり、ウイルスに感染させない対策を十分にとることこそ、最善のウイルス対策といえるだろう。
