Restore ransomware files (how to use RannohDecryptor.exe)

cryptxxxに感染したファイルを復元する

2016年6月7日追記
cryptxxxに感染した場合、すぐに駆除するのは不適切のようです。
このブログの記事の通りツールを使えばファイルを復元できますが、感染する前のロックがかかっていないファイルが必要です。
次の手順で復元してみて下さい。

  • なるべく大きなファイルを用意してUSBメモリなどパソコン以外に保存しておく
  • USBメモリに保存したファイルと同じファイルをパソコンの任意の場所(デスクトップなど)に保存する
  • その後、パソコンを再起動(上記のファイルがロックされる)する
  • cryptxxxを駆除する
  • このブログの記事の通りツールを使って復元する

最近、流行っていると言われているランサムウェア。
メールに添付されているファイルを開く、マルウェアに感染しているウェブサイトを閲覧するとランサムウェアに感染するようです。
ランサムウェアに感染するとパソコンの中の特定のファイル(オフィス系、画像、音楽、動画など)をロック(暗号化)して使えなくします。
ファイルをロック(暗号化)する技術は一般に公開されている技術でいわゆる鍵(暗証番号やパスワードのようなもの)を作ってファイルを暗号化、復元でき、安全にファイルをやり取りできます。
ランサムウェアはこの技術を悪用したマルウェアです。
ロックしたファイルを復元するには鍵が必要なので、そのためには日本円で50,000円、100,000円の身代金(Ramsom)を要求するのでランサムウェアと呼ばれています。

今回、最新版と思われるランサムウェアでロックされたファイルの復元に成功したので、その方法を公開します。
全て無料で復元できますので、手順を間違えないようにして下さい。

これから公開する方法には条件があります。

  1. 感染したランサムウェアがcryptxxxと呼ばれるランサムウェアで、ロックしたファイルがxxxxxx.yyy.cryptとファイル名の拡張子が.cryptになっている。
    このランサムウェアはオリジナルファイル名の後に.cryptと強制的に拡張子を付け加えています。
  2. ロックが掛かる前のオリジナルファイルがあること
    今回はデジカメのSDカードを調べたらありました。SDカード、DVD、CD、スマートフォンなど調べてみて下さい。
    ファイルが大きければ大きいほどいいようです。

この条件に合致する場合はファイルが復元できる可能性が大きいです。

ロックが掛かったファイルとオリジナルファイルを差し上げます

今回、このcryptxxxに感染してお困りの方で、オリジナルファイルがない方に当方が保存しているファイルを差し上げます。
ロックが掛かったファイルを復元出来るかどうかわかりませんが、もし同じ鍵でロックが掛かってるのなら復元出来るはずです。
※2016年6月15日時点で4件ほどファイルを提供しましたがランサムウェアが進化したのか復元できたとの報告はありません.

お問合せフォームからお申し込み頂ければダウンロード出来るようにメールでお知らせします。
ただし、下記の条件を読んで承諾して下さい。

  • ダウンロード出来るファイルは画像ファイルが含まれています。提供するファイルはロックが掛かったファイルの復元以外の使用はお断りします。
    ブログやSNSなどに公開したり、不特定多数が閲覧出来る状態にしないで下さい。
    もし、上記のような状態が発覚した場合はしかるべき処置を取らせていただきます。
  • 提供したファイルでロックが解除、ファイルの復元ができたかどうかコメントなどでお知らせ頂けると嬉しいです。
    今後、感染してお困りの方の役に立つと思いますのでご協力お願いします。

ランサムウェアの駆除

まずはランサムウェアの駆除です。
駆除しないとファイルのロックが繰り返し行われます。
パソコンの動作もかなり重くなりますので、必ず駆除してからファイルの復元を行って下さい。

私が参考にしたのはこちらのページ。

【パソコン人質】 ランサムウェア Win32/Reveton ウイルス駆除削除方法 【身代金要求】

最近だとウィルス対策ソフトでスキャンしても駆除できるようですが、手動で駆除する方法を私は行いました。

ランサムウェアを駆除できたかどうか調べるには、適当なワードやエクセルのファイルを作って保存、パソコンを再起動させてみて下さい。
作ったファイルがロックされなかったらOKです。

ランサムウェアでロック(暗号化)されたファイルの復元

カスペルスキーが公開しているツールをダウンロードします。
zipファイルなので、解凍して適当な場所に保存します。
RannohDecryptor.exeがありますので、ダブルクリックします。

ransom-first
このような窓が開きます。
「Start scan」の上にある「Chenge parameters」をクリックすると次の窓が開きます。

ransom-setting

おそらく何も操作しなくてOKです。「OK」ボタンをクリックして閉じて下さい。
元の窓に戻って「Start scan」をクリックします。

choice-encrypted-file

まず、ロック(暗号化)されたファイルを選択します。右下の「開く」ボタンをクリックします。

ransum-scan2
このように、別窓が一つ開きます。何が書かれているか。

Original copy of the specified file is required for successful decryption.
You need to specify the pass to this original copy after press the button Continue.

「デクリプション(復号)を成功させるには指定したオリジナルファイルを要求されます。「Continue」ボタンを押下した後で指定したオリジナルファイルのパスが必要になります。」

つまり、暗号化される前のオリジナルファイルが必要ですよ、次の画面でオリジナルファイルの場所を教えて下さい。
ってことです。
「Continue」をクリックすると次の窓が開きます。

choice-orignal

オリジナルのファイルを指定して右下の「開く」をクリックします。

ransum-scan

パソコン内部をスキャンしながら、デクリプション(復号)してくれます。

ここまでくれば、後はほったらかしでOKです。スキャンが終わるのを待ちましょう。

画像でもわかるように100%復号できるようではないです。
しかし、ライブラリ(ドキュメント、ピクチャー、ミュージック、動画など)にあるファイルはちゃんと復号しているのを確認できました。

このカスペルスキーのツールは日々バージョンアップしているようなので新しいのを必ず使って下さい。

Comment on this article

Required

This site uses Akismet to reduce spam. Learn how your comment data is processed.

3件のコメントがあります

  1. イナバ

    the decryotion of files encrrypted by this variant of trojan-ransom.win32.cryptxxx is not supported

    Reply to this comment 16/6/10 14:36
    1. 能瀬 耀

      イナバ様から、お電話で解決方法の問い合わせがあり、このようなエラーが出るとのことです。
      おそらく、ランサムウェアが完全に駆除できていないです。
      データーの復元でカスペルスキーのツールを使う場合はランサムウェアを駆除してからでないと使えないようです。

      Reply to this comment 16/6/10 14:46
en_USEnglish
jaJapanese en_USEnglish