可能な復旧!ランサムウェア Locky第9世代 亜種 OSIRIS windowsの機能で復元する方法

2016.12.11
ウィルス関連ネット犯罪関連
スパイウェアマルウェア

諦めるのはまだ早い!

突然の電話で被害の状況が解りました。

内容を聞くとどうもランサムウェアにやられた模様でしたので、直ぐにネットワークを遮断して、初期対応してもらいました。

ネットワーク追随型であれば、二次被害もありますから充分注意が必要です。

過去、ランサムウェアの被害は数件把握していますが、バックアップで復旧ということで事なきを得ていました。

しかし、今回はそれがなく、被害状況もかなりひどいみたいです。

至急、本体を運送便で送ってもらい状況を把握しました。

スポンサーサイト

状況把握

まず、ランサムウェアの種類を把握します。

デスクトップのフォルダを確認すると下記です。

完全にファイルが変わっています。

それをクリックすると

アプリが無いと言ってきます。

OSIRISとは

これを調べると、ランサムウェア「osiris」らしく、Locky系統の第9世代目の新しい亜種みたいです。

ファイルの拡張子を「.osiris」にして暗号化してしまい、復号キーが無ければ開けないようにしてしまいます。

感染経路はメールの添付文書を開いて感染し、「OSIRIS-番号.htm」が身代金要求ファイルの模様です。

さらに詳しく調べるとRSA2048とAES128 の暗号化アルゴリズムを使用して[8桁ランダムな記号]–[4桁ランダムな記号]–[4桁ランダム シンボル]–[8桁ランダムな記号]–[12桁のランダムな記号] に全てのファイルを変更します。

即ち、上記のB69F6EDC–33DC–FCC7–DE2ADD73–B6CD972293E7.osiris と言うのがそれです。

そうなると私たちのようなレベルであればこれを解読するのは皆無です(笑)

であれば残っているものを探す方が近道と思いますので、windows7の機能にある「以前のバージョン」の機能を使います。

デスクトップのフォルダを右クリックして「以前のバージョン」を確認します。

「利用可能な以前のバージョンはありません」となり、バックアップがないように見えます。

これは以前のバージョンの機能が使えないようになっているだけです。

windows7はファルダに必ず以前のバージョンがあります。

その現象を外の海外サイトで調べてみると

Osiris ransomware: decrypt and remove .osiris file virus - Soft2Secure
TheLockyransomwarefamilycontinuestospawnnewmutatedextortionprograms.Itsdevelopersareevidentlyexperimentingwithpayloaddeliveryanddatacripplingpractices.Thistime,続きを読む
soft2secure.com

osirisが一時的にファイルを変えたことで複製ファイルがロックした状態になっていることのようなことを書いてあります。

そうすると複製ファイルは残っていますが、ファイルにアタッチできないということになります。

であれば「システムの復元」を数回行えば、アタッチできるはずです。

「システムの復元」まとめ
https://dynabook.biz/trouble_soft/7369/

これで感染してない一週間まで戻しました。

もちろん、ディスクに書き込まれたものは戻りませんので、osirisからやられたファイルはそのままです。

シャドウボリュームコピー

暗号化されたフォルダを右クリックすると下記のように復活できます。

これはwindows7の機能であるシャドウボリュームコピーです。

これを単純にコピーします。

そしてUSBメモリか何かに書き込んでください。

過去(一週間前)になりますが、ほぼ正常な状態で残っています。

これはwindows7とwindows10ユーザーのみでwindows8/8.1ユーザーにはありません。

windows8/8.1のユーザーの方は必ず自動バックアップを行っていてください。

ランサムウェアについて

この種のランサムウェアは復旧確率が数パーセントです。

一般の方は無理なので、費用をかけて復旧してもらうしか方法がありません。

ただ、復元できるとか、復元率〇〇%とかありますが、ほぼ一般的なサービスとしては不可能に近いと思います。

本当にRSA2048とAES128で暗号化していれば解読はできません。

一般的に考えても、それが簡単に解読できればIT技術は成り立たないと言うことです。

国家レベルで考えた場合は復号キーを割り出すことが可能かもしれませんが、一般サービスで可能でしょうか?

そこはお悩みビジネスなので、冷静に考えて対処してください。

最近ではセキュリティ会社が復元ツールなどを無料で公開していますので、それを利用してください。

復元率は低いと思いますが、該当のランサムウェアであれば試してみる価値はあると思います。

https://esupport.trendmicro.com/solution/ja-JP/1114224.aspx

ランサムウェア予防対策でオススメはやはりカスペルスキーのセキュリティウェアと思います。

いろいろ試しましたが、カスペルスキーだけが反応します。

海外からの添付メールも全て反応して除去します。

ワクチンソフトの好き嫌いがあるかもしれませんが、是非使ってみてください。

OSIRIS駆除

駆除については駆除ツールなどがネット上にありますが、個人的には使わない方が良いと思います。

ここは多少面倒でもリカバリーするのが一番安心です。

特に通常のリカバリーではなく、ハードディスクをフォーマットしてからのリカバリーが効果的かと思います。

詳しくない方にとってはスパイウェア(ランサムウェア)が完全に駆除できたか?否かは分かりません。

もし、ダウンロード亜種等が潜在的に残っていれば、必ず別のスパイウェアを呼んできます。

大事な書類、個人情報等が窃取されていたと考えると駆除できていなかったことを後悔すると思います。

それなら多少面倒でもフォーマット→リカバリーが一番安心です。

永い経験から言って、駆除ツールはあまり信用していないというか?ランサムウェアの駆除ツールは完全に駆除できません。

駆除できていなかったら誰が責任を負うか?

ビジネスの場合、ここが重要なところだと思います。

以上

タイトルとURLをコピーしました