HOME情報セキュリティ届出・相談・情報提供情報セキュリティ安心相談窓口ランサムウェアで暗号化されたファイルを復号するツールの調べ方

本文を印刷する

情報セキュリティ

ランサムウェアで暗号化されたファイルを復号するツールの調べ方

最終更新日:2017年10月18日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

はじめに

IPAに寄せられたランサムウェアに関する相談の中には「暗号化されてしまったファイルを元に戻したい」という要望も少なくありません。
基本的に暗号化されたファイルの復元は不可能ですが、一部のランサムウェアに関しては暗号化を解くための復号ツールが存在し、「No More Ransom」のウェブサイトで公開されています。
そのためここでは「No More Ransom」を通じて復号ツールを入手する方法を解説します。


注:お使いのパソコンの環境によっては、本ページに掲載している画面の図が若干異なったり、手順通りの流れとならなかったりする場合があります。
ランサムウェアに感染しないための対策や、感染したときの被害を抑える対策などについてはIPAで「ランサムウェア対策 特設ページ」を公開していますので、こちらもご参照ください。

ランサムウェア対策 特設ページ
https://www.ipa.go.jp/security/anshin/ransom_tokusetsu.html

本ページの注意事項

このページではNo More Ransom」から復号ツールをダウンロードするまでの手順を説明します。
個々の復号ツールの使い方は、ツールに付随する「説明書」または「ガイド」をご確認ください。

なお、「No More Ransom」サイトで提供される情報は、「WEBサイトの免責事項」を熟読の上、ご利用ください。
 
No More Ransom:WEBサイトの免責事項別ウインドーで開く
https://www.nomoreransom.org/ja/website-disclaimer.html

1.概要(ページの流れ)

本ページでは以下の2通りの復号ツールの入手方法を解説します。  

・暗号化されたファイルなどのアップロードにより、ランサムウェアの特定と復号ツールの入手を同時に行なう方法 
・事前にランサムウェアの種類を特定した上で、復号ツールを選んで入手する方法

また、「No More Ransom」プロジェクトでは「Crypto Sheriff (クリプトシェリフ)」と題するページにて、感染したランサムウェア特定のための支援を行っています。「Crypto Sheriff」では、ランサムウェアによって暗号化されたファイルや身代金要求画面等のファイルをアップロードすることで、それを元にランサムウェアの種類を自動的に判定し、その種類に応じた復号ツールが案内されます。この方法であればランサムウェアの種類が分からなくても復号ツールを探すことが可能です。

すでに暗号化されたファイルの拡張子などからランサムウェアの種類が判明している場合には、その名称から直接復号ツールを検索できるページも用意されています。

  • ランサムウェアの種類が不明の場合 →2へ
  • ランサムウェアの種類が判明している場合 →3へ

2.ランサムウェアの種類が不明の場合

ランサムウェアには次々と亜種とよばれる新しいタイプが登場し、そのたびに暗号化されるファイルの拡張子も変化します。
中には拡張子をランダムに生成するタイプのものもあることから、拡張子からでは種類の特定が困難な場合もあります。
そこで「No More Ransom」では、「Crypto Sheriff」と題するページにて、感染したランサムウェア特定のための支援を行っています。
確認の手順は以下のとおりです。

2.1「Crypto Sheriff」を使った復号ツールの確認方法

2.1.1 「No More Ransom」別ウインドーで開くのウェブサイトにアクセスして、画面上部のメニューにある「ランサムウェアの特定」をクリックしてください。

復号ツール画像2-1-1


2.1.2 「データおよび情報提供に関する規定」をお読みください。

復号ツール画像2-1-2

この手順を進めるに当たり、暗号化されたファイルを「Crypto Sheriff」にアップロードする場合があります。アップロードしたファイルは、適合する復号ツールの判定に使用されるのみで一般公開されることはありませんが、企業・組織においては外部サイトへ業務ファイルのアップロードを制限していることが通例ですので、事前に「データおよび情報提供に関する規定」を読み、所属する企業・組織の規程やルールとの整合を確認してください。
特に、機密情報に該当するファイルを誤ってアップロードすることのないようご注意ください。


2.1.3 暗号化されたファイルもしくは関連情報をアップロードすることで、ランサムウェアの特定と復号ツールのダウンロードが可能となります。

復号ツール画像2.1.3
  1. (1)をクリックして、暗号化された任意のファイルをアップロードして下さい(アップロードできるファイルがない場合はこの手順はスキップ可能)。
    ※まれにファイルのアップロードに失敗することがありますが、その場合は少し時間をおいてから再度試して下さい。
  2. 身代金を要求するページに表示された電子メールアドレス、Webサイトアドレス、Onionドメインまたはビットコインアドレスなどの情報が分かる場合は(2)のテキストボックスに記入して下さい。
  3. txtファイル又はhtmlファイルとして前記情報が保存されている場合は、(2)に入力する代わりに(3)からファイルをアップロードすることも可能です。
  4. 最後に(4)のボタンをクリックすることで、適合する復号ツールの有無が判定されます。

2.1.4 復号ツールのダウンロード
該当する復号ツールがある場合は、「ダウンロード」ボタンから入手することができます。ダウンロードの前に「初めにお読みください」をクリックして説明書をダウンロードして内容を確認してください。

復号ツール画像2-1-4
(注意)ランサムウェアに感染した端末で復号ツールを使用する場合は、必ず事前にセキュリティソフトによるランサムウェアの駆除ができていることを確認してください。ランサムウェアが残った状態で復号しても、再び暗号化されてしまいます。
 
 
2.1.5 復号ツールが提供されていない場合
下図のような表示となる場合は、Crypto Sheriffでは適合する復号ツールが確認できなかったことを意味します。
しかし、暗号化されたファイルの拡張子などからランサムウェアの種類が特定できる場合、「復号ツール」のページで確認できることがあります。念のため「3-2.復号ツールを特定する」の手順をお試しいただくことをお勧めします。
また後日、復号ツールが提供される可能性もあるため、暗号化されたファイルは諦めずに保存しておくことも検討してください。

復号ツール手順書2.1.5画像

3.ランサムウェアの種類が判明している場合

感染したランサムウェアの種類や名称が分かっていれば、それをもとに復号ツールが存在するかを直接調べる事が可能です。
以下に、ランサムウェアの種類や名称をもとに適合する復号ツールを入手する方法を説明します。

3-1.拡張子からランサムウェアの種類を特定する

ランサムウェアは、感染した端末内の既存のファイルを暗号化し、既存のファイルと置き換えを行います。
その際、暗号化されたファイルの拡張子を、特徴的な拡張子に変更する場合があります。
ファイルの復号のために必要なツールは感染したランサムウェアにより異なるため、拡張子からランサムウェアの種類を特定する必要があります。
拡張子が確認できる場合は、その拡張子についてインターネットで検索したり、セキュリティベンダに問い合わせたりすることでランサムウェアの種類を特定することができます。
下記の表は主なランサムウェアの種類と、それに感染した際に暗号化されたファイルの拡張子の一例になります。

表 1ランサムウェアの種類と拡張子の一例
ランサムウェアの種類 拡張子
WannaCry .wcry
.wncry
Locky .locky
.odin
Zepto .zepto

ファイルの拡張子が表示されない場合は、表示されるように設定を変更する必要があります。
※設定変更の手順はOSの種類により異なります。

3-2.復号ツールを特定する

3.2.1 「No More Ransom」別ウインドーで開くのウェブサイトにアクセスして、画面上部のメニューにある「復号ツール」をクリックしてください。

復号ツール画像3.2.1


3.2.2 白い空白箇所に文字を入力することで、リストを絞り込むことができます。特定したランサムウェアの名前を入力してください。

復号ツール画像3.2.2




3.2.3 該当するランサムウェア名をクリックすると、詳細情報とダウンロードボタンが表示されます。復号ツールをダウンロードする前に必ず「ガイド」をクリックして、説明書をダウンロードして内容を確認してください。

復号ツール画像3.3.3

※ 復号ツールの「ガイド」はセキュリティベンダで作成されたものです。説明内容に関するご質問はセキュリティベンダにお問い合わせください。
 
3.2.4 ガイドに従い、暗号化されたファイルがある端末で復号ツールを実行してください。
 
(注意)ランサムウェアに感染した端末で復号ツールを使用する場合は、必ず事前にセキュリティソフトによるランサムウェアの駆除ができていることを確認してください。ランサムウェアが残った状態で復号しても、再び暗号化されてしまいます。

更新履歴

2017年10月18日 掲載

本件に関するお問合せ先

技術本部 セキュリティセンター 吉川、 山﨑
 Tel: 03-5978-7591 Fax: 03-5978-7518