被害を最小限に：ランサムウェア「WannaCry」に暗号化されたファイルの復元について

ランサムウェア「WannaCry」

5月12日に、「WannaCry」というランサムウェアが世界中にその名を轟かせました。「WannaCry」は木馬型ランサムウェアとして、Windowsの脆弱性を利用し、ネットワークポート経由でパソコンを感染します。しかも企業や政府機関ネットワーク内で自身を拡散する特性を持つという、かなり凶悪な攻撃型ウイルスです。

パソコンが「WannaCry」に感染されると、exe、txt、jpg、jpeg...ほぼ全ての常用ファイルの拡張子がWCRYに変換され、ファイルも暗号化されて開けない状態になってしまいます。身代金として何百ものドルと同値するビットコインが要求されます。しかも三日後には要求金額が倍に、支払いせずに七日間も過ぎたら、暗号化されたファイルが永久に削除される――と脅かすこともあります。

「WannaCry」にロックされたファイルは復元可能？

「WannaCry」にロックされたファイルは復元可能ですか？という疑問を抱く人は多いかもしれませんが、その答えを知る前に、まずは「WannaCry」の動作原理を分析しないといけません。ランサムウェアの攻め方は、大体下記の三種に分けられます。

1. 1. オリジナルファイルを直接に暗号化する
2. 2. オリジナルファイルを暗号化して削除し、ジャンクファイルで上書きする
3. 3. ファイルを複製してから、オリジナルファイルを削除して、コピーを暗号化する

世界中でもトップクラスのハッカーが開発した暗号化アルゴリズムであるため、1と2の場合ではファイルを復元するのはほぼ不可能です。しかし、3の場合ではオリジナルファイルが暗号化されていないので、その削除されたオリジナルファイルを復元することで、ファイルを取り戻すのは可能です。

オリジナルファイルを復元

ここで、データ復元ソフト―EaseUS Data Recovery Wizardを皆さんにお薦めします。削除された正常なオリジナルデータをディスクから検出し、復元するのは可能です。

しかしながら、データ復元ソフトを利用するのはあくまでも被害を控える手段です。実際のところ、ファイル数量の多さや上書きなどの原因で、全てのファイルを元通りに完璧に復元するのは極めて困難な作業です。それでも、おとなしく高額な身代金を支払うより、復元ソフトでスキャンを試してみるほうは価値があるでしょう。

1.ソフトを実行して、初期画面でオリジナルファイルの元の保存ディスクを選択して、「スキャン」をクリックします。

2.ソフトが自動的に選択したディスクをスキャンし始めます。

3.スキャンが完了したら、検出されたすべてのファイルがリストで表示されます。もしその中で「WannaCry」にコピーされたオリジナルファイルが見つかったら、その前にチェックを入れて、「リカバリー」をクリックしてパソコンに保存します。

最後に皆さんに分かってもらいたいのは、大事なファイルが暗号化されると確実に痛手を受けてしまいます。そのため、事後に限られた補修措置をすることより、予め重要なファイルをバックアップすることで「WannaCry」の被害を避けるほうが賢明なのではありませんか？