Locky系ランサムウェア.odinに感染したデータの復元作業
ランサムウェア.odinに感染したお客様からご相談
ランサムウェア.odinへ感染したお客様からご相談を頂戴しました。
.odinは昨年9月頃に拡散されたランサムウェアでLocky系の亜種になります。
特徴としては、、、
1.パソコン内のファイルが暗号化されファイル名が特定の文字列に改ざんされます。
2.拡張子が.odinになります。
3.ファイルが暗号化された各フォルダーに●●●●_HOWDO_text.htmlといったファイルが作成されます。
4.セーフモードには入れなくなります。
5.暗号化はパソコン内だけでなく、外付けHDDやNAS、サーバーなどそのパソコンから閲覧できるすべてのファイル及びます。
6.Program Filesフォルダは暗号化されない。
などの特徴があります。
今回のお客様も同じ症状がでておりますが、9月頃に感染し、色々と業者を回れるも効果的な対策なく、
とりあえず脅迫文や暗号化されたファイルを消したりしながらも今まで使い続けていらっしゃいました。
当社にご相談頂いた際も、すでに脅迫文などはすべて削除された後でしたので、まずは診断すべくパソコンをお送りいただきました。
(リモートでも可能ですがお客様のご要望で郵送で対応させて頂きました。)
お送り頂いたのはパソコン1台と外付けHDDです。
拝見しますと脅迫文はすでになく、暗号化されたファイルは多数ありますがいくらかは削除されたようでした。
ごみ箱にもない状態でしたので、ひとまずそれらの削除されたファイルを復元、診断することにいたしました。
ファイル復元後見れるようになった脅迫文が上の写真です。
ランサムウェア.odinのデータ復旧
身代金要求画面はこのとおり英語ですが、odinの場合、日本語やその他多くの言語への切り替えが可能となっております。
ある意味、至れり尽くせりです。
今回、感染からだいぶ日数も経っており、消してしまったがデータもあったりと色々と条件がついておりますが、
大事なデータも多く、なんとか取り戻したいとのご要望でしたので複合的な事案ではありますが、
なんとかデータの復元作業をおこないました。
以下は復元中の写真です。
どうしても消してから時間が経っているデータなど、復元できなかったファイルもありますが、
必要なデータはほぼ取り戻すことができました。
以下が復号時に入手したキーです。
※キーそのものではございません。