ランサムウェアTesracrypt 3.0（拡張子そのまま）の駆除とデータ復元

ランサムウェアに感染されたお客様からご相談

少し変わった事例がありましたのでご報告いたします。

今回ご相談頂いたお客様は昨年8月頃に感染されて、他社さんへご相談されたそうなのですが、あまりの高額に諦めてかけていらっしゃったそうです。

ただ、大事なデータが入ったパソコンなので諦めきれない気持ちもあり、他に方法は無いかと探され当社のブログに辿り着かれました。

当初は恐る恐るご相談頂きましたが、徐々にこれまでの経緯などをお話しいただき診断をご依頼頂くことになりました。

Tesracrypt 3.0の症状と対処法

Tesracrypt 3.0の場合、改ざんされてしまう拡張子に色々とパターンがあります。

今回の場合、拡張子はそのまま変わらないという亜種になります。

ファイル名も拡張子もかわりませんので見た目はそのまま、ただ起動しようとするとファイルが起動できないというエラーがでます。

Tesracryptのデータ復元はツールが対応している場合があります。

この場合は比較的簡単に復元できますが、Tesracryptには亜種が多く今回は残念ながらツールでは復元できないパターンでした。

お客様とご相談させて頂きながらそれ以外の方法も色々試みましたが、結果的に最後の手段、ハッカーとの直接交渉となりました。

ただ、ハッカーへの身代金支払いはハッカーを利することでもありますので、倫理上あまり宜しくありません。

どうしてもという最後の手段としてお考えください。

今回のお客様もすぐにお決めになることができませんでした。

ただ、このTesracryptの身代金支払いには制限時間があります。

ランサムウェアの身代金支払い

身代金支払いには期限があります。

というのは当初からお客様にお伝えしてはいたのですが、お客様自身悩まれていたため決断できたのが身代金期日を過ぎてからでした。

身代金期日を過ぎると倍額に吊り上げられることが多いのですが、今回はそれも通り越して期限切れになってしまいました。

なんとかならないかと交渉してみましたが返答はNOでしたので、仕方なく、その旨をお客様にご説明し、

今回駆除のみおこないデータ復元を諦めることでご了承を頂戴しました。

ただ、お客様がお忙しい方でなかなか時間をとれず、実際に駆除作業を開始するのが1週間ほど後になったのが幸いしました。

作業開始前に念のためと思いハッカーとの交渉履歴を確認したところリセットされています。

もしや！と思い改めて交渉してみると身代金期限は巻き戻され、初期状態での交渉となりました。

慌ててお客様にご連絡差し上げ、ご意思を確認、急ぎ、身代金支払いのための交渉を開始しました。

結果、前回交渉しようとしていた時よりも遥かに安い金額（5万円ほどです。）で復号キーを入手することができました。

あとは手間はかかりますがしっかりとデータを復元し、合わせて駆除作業もおこない、お客様へ納品させて頂きました。

ランサムウェアの種別によっては、このような方法をとるしかない場合も存在します。

そういった場合も当社ではできる限りご助言、ご助力させて頂いております。

お困りの際はお気軽にご相談ください。

●データ復旧クイックマン●
大阪市中央区南船場2-12-10ダイゼンビル4F
https://www.quickman-pc.com/rescue/