ランサムウェアに感染時の
重要チェックポイント
感染源の特定
まずは失ってはいけない大事なファイルが暗号化されていないか確認してください。
暗号化されていない場合はそのパソコン(サーバー、NASなど)の電源を切り、感染&暗号化の進行を食い止めてください。
すでに大事なファイルが暗号化されている場合、他のPCをネットワークへ接続しますとそれらのPCも暗号化される恐れがありますので、他のPCを起動する場合や接続する場合はご注意ください。
感染源のパソコンがわからない場合、すべてのPCをネットワークから隔離し、1台ずつ感染の有無を確認されるのが得策です。感染源が複数台ある場合もございますのでご注意ください。
該当するパソコンが無い場合、よくわからない場合などはネットワーク内すべてのパソコンの電源を切られてご相談されるのが良いかと思います。
感染源の隔離
感染源と思われるパソコンが判明しましたら、まずはそのパソコンをネットワークから隔離(LANケーブルを抜く、Wi-Fiを無効化する)し、他所への被害拡大を防いでください。
ランサムウェアはネットワーク内の共有フォルダも暗号化してしまいますので、サーバーやNASなどでデータ共有をおこなっている場合、それらのデータも暗号化されてしまいます。
その進行を防ぐ為、まずは感染源の隔離が必要です。
(隔離しないと共有フォルダ、DropBoxのようなクラウドなどへ被害が広がります。)
感染状況の確認
次にランサムウェアによる暗号化の進行状況を確認いたします。
ランサムウェアは悪意あるWEBサーバーから実行ファイルをダウンロードし、この実行ファイルがパソコン上でファイルの暗号化をおこないます。
暗号化はファイル量が多いと完了まで数時間から1日程度かかる場合がありますが、多くはユーザーフォル以外→ユーザーフォルダ→最後にデスクトップという順番で暗号化し、完了後デスクトップ上に暗号化した旨の文章を掲示してきます。
ここまできて感染に気付く場合が多く、この時点ではすべてのファイルが暗号化された後である可能性が高いです。
感染直後や暗号化中に気づくことができた場合は、電源を切ることによって暗号化の進行を食い止めることができますが、再度電源を入れると暗号化が再開されます。
もしまだ暗号化されていない大事なファイルがある場合は、いつ暗号化されてもおかしくありませんので、直ちに電源を切られることをお勧めいたします。
データの復元
ランサムウェアに感染し、暗号化されたファイルを取り戻すにはいくつかのパターンがございます。 種別によっては復元ツールにて復元可能な場合もございますが、どういった場合も復号作業時には暗号化された全ファイルのスキャンが必要な場合がございますので、、ファイルを消す、配置を変更する、ファイル名、拡張子を変えるなどしないようにご注意ください。 ご自身で色々と試された結果、復元できなくなった事例もございます。 なんとしてもデータを復元したい、急ぎデータを取り戻したいなど、重要データの復元をご希望の場合はご相談ください。 当社では専門家が毎日常駐にてランサムウェアのご相談にお応えいたしております。
ウイルスの駆除
できればパソコンをリカバリーし、クリーンな状態へ戻すのが一番ですが、時間も手間もかかります。 リカバリーせず駆除される場合は以下のような注意が必要です。 ランサムウェアの多くは、一度感染してしまうとレジストリを改ざんし、メモリ上に常駐してしまうため、通常のウイルス対策ソフトではスキャンしても駆除しきれません。 駆除はしてあると持ち込まれたパソコンでも、実際に当社で見てみると駆除されていないことはよくあります。 ランサムウェアの中には、感染すると、身代金の支払い以外の作業を妨害するランサムウェアもあります。 ご自身で駆除される場合は、駆除しきれていない可能性を考慮し、しばらくは大事なデータを繋がないようご注意ください。 駆除方法に迷われた方は当社へご相談ください。
再発防止のためのセキュリティ対策
一度感染したということは、再度感染する恐れがあります。 攻撃側は日々手口を巧妙化させておりますので、再び攻撃されるリスクは高いです。 今度は注意するから大丈夫だ!とお思いの方もいらっしゃいますが、実際に2度感染された事例もございます。 ランサムウェアをはじめ近年のサイバー攻撃に対するセキュリティ対策は、単にセキュリティソフトを入れていれば大丈夫という時代では無くなりつつあります。 万が一感染した場合にも被害を増やさないセキュリティ対策や、重要なデータは失わないバックアップ手法など、これまで以上の対策が必要になりつつあります。 当社では被害を防ぐセキュリティ対策とバックアップ手法をご提案致しております。