「ランサムウェア Locky に感染してファイルが読めなくなった!! 」との電話を受けたので、その対応と対処をとりあえずメモ。

1. 感染経路

1-1. メールの添付ファイル

メールに添付されているマクロ付きの MS Word 文書を開くと感染するらしい。同じくマクロ付きの Excel 文書の場合もあるらしい。ほかにも、 JavaScript (ジャバスクリプト、 *.js )やスクリーンセーバー( *.scr )、実行ファイル( *.exe )を含む圧縮ファイルの場合もあるらしい。

メールに添付されてくるあやしい MS Word 文書、 MS Excel 文書、および圧縮ファイルは、絶対に開かいないように注意すること。

1-2. Web からの強制インストール

ハッキングされている Web サイトから、とくにそれらしい警告もなく強制的にインストールされる。

2. 対 策

2-1. マルウェア・ウィルス対策

  • メールに添付されているあやしいファイルは、正しいファイルであるとの確信がないかぎり、絶対に開かないこと。とくに、自分宛てのメールに添付されている Word 文書および Excel 文書には注意すること
  • アンチウィルスソフトは、常に最新にしておくこと
  • アンチウィルスソフトは、メールもチェックするように設定しておくこと
  •  Adobe Flash Player を、常に最新版にしておくこと
  •  Java 実行環境( JRE )を、常に最新版にしておくこと
  •  Windows Update を常に適用して、 Windows を最新版にしておくこと
  •  Adobe Reader を、常に最新版にしておくこと

2-2. 定期的なバックアップ

  • 重要なファイルは、定期的に(いつもは PC に接続していない外部記憶に)バックアップすること
  • 定期的にシステムの復元ポイントを作っておくこと。ファイルが C ドライブ以外にある場合は、それらのドライブも復旧対象ドライブに指定しておくこと(システム復元ポイントの作成方法はこちらを参照 → 復元ポイントを作成する: Windows 7 編

2-3. 感染してしまった場合の対応

  • 感染した PC は、即座に LAN などのネットワーク環境から物理的にはずすこと
  •  Locky はネットワーク上の共有 HDD などの中のファイルも攻撃するので、感染した PC を見つけたら、同じネットワーク上の共有 HDD などのファイルを確認すること。

3. 復 旧

3-1. ファイルの復旧

  • ファイルが破壊(暗号化)されてしまったら、いまのところ、バックアップからの復旧以外に、有効な手段はないらしい
  • システム復元ポイントを作成していれば、シャドウ コピーから復旧できる可能性がある(下図)

    locky0010
    シャドウ コピーからの復元

3-2.  Locky の除去( PC の復旧)