scarabランサムウェアに感染したパソコンのデータ復旧

デスクトップに張り付けられたtxtファイル

scarabランサムウェアに感染したお客様からのご相談

最近いっきにお問い合わせが増えたのが拡張子がscarabになるランサムウェアです。

感染したPCを拝見するとウイルス対策ソフトは入っているにも関わらず感染してしまっている例が多いです。ということは恐らく何らかの脆弱性を突かれているのだと思われます。

よくある事例としては先日から問題になっているリモート接続ソフトの脆弱性を突かれたパターン、この場合はPCが乗っ取られるためウイルス対策ソフトは無力です。

scarabはHidden Tear系の新種になるようで、特徴はその拡張子が昆虫などの単語になります。.scorpionになった例もあります。

暗号化自体はRSA-2048やaes-256に比べ弱いですが暗号化される範囲は広く、Windowsの起動に必要なファイル以外はほとんど暗号化されてしまいます。

scarabe感染フォルダ

scarabランサムウェアからのデータ復旧

scarabのデータ復旧の場合も最近のランサムウェアと同じく複数回の暗号化がされていないかの確認が必要です。

今回のご依頼は感染日に暗号化されただけで複数回ウイルスが走ったわけではないので良かったのですが、良くあるパターンでは不用意に再起動を繰り返したり、ネット接続を継続したりでウイルスが再起動し、複数回暗号化されてしまうパターンです。

ハッカーとの交渉

ランサムウェアの種類によってはハッカー側との交渉が必要な場合があります。

今回もそのパターンです。

※当社としましては基本的にハッカーとの交渉はお勧めしておりません。

どうしてもデータを取り戻したい場合の方法のひとつとしてご提示しております。

ハッカーとの交渉後、復号キーを入手、無事データの復元を完了いたしました。

合わせて、ウイルスの駆除作業もおこないました。

お客様からウイルスは駆除済みなのでと持ち込まれることが多いのですが、実際に拝見すると駆除しきれていない場合が多いです。

この点も注意が必要です。

ちなみにscarabの場合、身代金要求額は1ビットコイン～2ビットコインが多いです。

2017年10月6日のレートで49万円/1ビットコインですので50万円～100万円の要求額ということになります。

ビットコインのレートに影響をうけるので一概に言えませんが、比較的高めの要求額になるかと思います。

●データ復旧クイックマン●
大阪市中央区南船場2-12-10ダイゼンビル4F
https://www.quickman-pc.com/rescue/