初回投稿 2016年5月14日
最終更新 2019年2月19日

ランサムウェア感染したら無料ファイル復号ツール9社まとめ 復元復旧は?

イメージ 1


Windows Vista/7/8/10 にはボリュームシャドウコピーというバックアップ機能が内臓されており、そのデータが消去されておらず残存していれば、以前のファイルを復旧できる場合があります。




無料ファイル復号ツール

一方、Windows パソコンがターゲットのランサムウェア攻撃者に対抗する形でセキュリティ会社から非営利目的の 無料ファイル復号ツール がいくつかリリースされてるので簡単に紹介しましょう。

  • ランサムウェア攻撃者の摘発、ファイル復号キーが置かれたサーバーを法執行機関が差し押さえたパターン (例 CryptoLocker、CoinVault、Troldesh/ShadeGandCrab

  • ランサムウェアの欠陥からファイルを復号できてしまう、開発者の技量不足や実装上の故意で暗号強度が必ずしも強くないパターン (例 CryptXXX、RADAMANT、Jaff

  • ランサムウェア攻撃者自らファイル復号できるマスターキーなどの手段を公表したパターン (例 TeslaCrypt、CrySiS/Dharma/Wallet/Onion)

無料ファイル復号ツールなし…

ウイルス感染キャンペーン開始早々から強力な暗号方式を採用してたりバージョンアップで強化されたことで、2018年1月時点で対応する無料ファイル復号ツールが存在しないランサムウェアも多くあります。

× Mole Ransomware … 拡張子 .mole01 .mole00 .mole03
 <旧バージョン .mole .mole02 はファイル復号ツールあり>
× SAGE (セージ) … 拡張子 .sage
× Spora Ransomware (スポラ ランサムウェア) … 拡張子 変更なし
× CRBR Encryptor / Cerber Ransomware v2以降 (ケルベル、サーベル)
× Locky (ロッキー) … 拡張子 .asasin .ykcol .lukitus .diablo6 .loptr .osiris など
× CTB-Locker (シーティービー ロッカー)
× CyptoWall (クリプトウォール)
× Crypt0L0cker (クリプトロッカー)
× GandCrab バージョンによる


感染したランサムウェアの種類判定

Kaspersky (カスペルスキー)

イメージ 5

Ransomware Decryptor | Kaspersky Lab
https://noransom.kaspersky.com/

RakhniDecryptor ... TeslaCryptJaff、CrySiS/Dharma/Wallet/Onion
https://support.kaspersky.com/10556
https://support.kaspersky.co.jp/10556

◆ RannohDecryptor ... CryptXXX 1.0/2.0/3.x
https://support.kaspersky.co.jp/8547


・ CrySiS はファイル名と拡張子を『 [メールアドレス].xtbl 』 『 [メールアドレス].CrySiS 』『 [メールアドレス].dharma 』 『 [メールアドレス].wallet 』『 [メールアドレス].onion 』 に変更

Jaff は拡張子を 『.sVn』『.wlu』『.jaff』 に変更

Troldesh/Shade はファイル名と拡張子を『 [アルファベット大文字、小文字、数字の組み合わせた長~いランダム文字列].xtbl 』に変更

Emsisoft

イメージ 2

Download a free Emsisoft Decrypter for the latest file encryption ransomware
https://decrypter.emsisoft.com/

・ AutoLocky は有名な Locky とはまったく異なる別の種類

・ Cry9 Nemesis Cry128 Ransomware は 「~.onion.to._」「~.onion._」など

Trend Micro (トレンドマイクロ)

イメージ 3

Using the Trend Micro Ransomware File Decryptor Tool
http://esupport.trendmicro.com/solution/en-us/1114221.aspx

ランサムウェア ファイル復号ツール
http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20160526051336.html
(※復号ツール自体は英語版と同一、紹介ページが英語版の翻訳で更新されてない)

イメージ 7
TeslaCrypt CryptXXX Cerber CrySiS …

・ AutoLocky は有名な Locky とは異なる別の種類

・ CryptXXX(拡張子 .crypt .cryp1 .[5桁英数字]) は一部ファイルの断片的な復号のみで修復も必要、Officeファイルは復号ツールに破損を修復する処理含む

・ CryptXXX(拡張子 [32桁英数字].[5桁英数字]) はファイル名を元に戻せず、ファイルごとに2時間近く要す可能性

Cerber v1(拡張子 .cerber) は標準的な Intel Core i5 搭載マシンで数時間(平均4時間)を要し、コア数がより多いと成功率は低く、断片的な復号のみで修復も必要

・ CrySiS はファイル名と拡張子を『 [メールアドレス].xtbl 』 『 [メールアドレス].CrySiS 』『 [メールアドレス].dharma 』『 [メールアドレス].wallet 』『 [メールアドレス].onion 』に変更

WannaCry は拡張子を 『 .WNCRY 』 に変更、メモリ上の秘密鍵を検索するのでランサムウェア感染が維持されたままパソコンが再起動されてない条件に限られる

avast! + AVG

イメージ 6
TeslaCrypt Bart CrySiS Dharma Wallet

AVG Technologies は2016年に Avast Software に買収されたため、もとは別々に提供されてたファイル復号ツールも統合された。

Free Ransomware Decryption Tools | Unlock Your Files | Avast
https://www.avast.com/ransomware-decryption-tools

・ CrySiS はファイル名と拡張子を『 [メールアドレス].xtbl 』 『 [メールアドレス].CrySiS 』『 [メールアドレス].dharma 』 『 [メールアドレス].wallet 』に変更

BitDefender

イメージ 9


  • GandCrab v1 … 拡張子 『 [オリジナル名].GDCB 』 → 復号○
  • GandCrab v2 v3 … 拡張子 『 [オリジナル名].CRAB 』 → 復号×
  • GandCrab v4 … 拡張子 『 [オリジナル名].KRAB 』 → 復号○
  • GandCrab v5 … 拡張子 『 [オリジナル名].[ランダム英字] 』 → 一部



McAfee

イメージ 4

◆ Tesladecrypt … TeslaCrypt

◆ Shade Ransomware Decryption Tool … Troldesh/Shade

・ Troldesh/Shade はファイル名と拡張子を『 [アルファベット大文字、小文字、数字の組み合わせた長~いランダム文字列].xtbl 』に変更

ESET

イメージ 8

◆ TeslaCrypt

◆ CrySiS/Dharma/Wallet … 拡張子 .xtbl .crysis .crypt .lock .crypted .dharma .wallet .onion


◆ GandCrab (地理的位置でシリアのみ?)

Qihoo 360

TeslaCrypt、CrySiS、Gryphon、GandCrab など90種? (詳細不明)

360 Ransomware Decryption Tool

GandCrab は拡張子を『 [オリジナルのファイル名].GDCB 』 に変更、2018年3月以降の 『 [オリジナルのファイル名].CRAB 』『 [オリジナルのファイル名].KRAB 』 のファイル復号は未対応

Quick Heal

Troldesh、CryptXXX v1、CrySiS/Dharma/Wallet/Onion

QH Ransom Decryptor Tool

関連するブログ記事