2015年4月17日

ランサムウェアCoinVaultを除去してファイルを復元するには

ニュース 脅威

ランサムウェアの被害に遭ったとき、打つ手のないケースがほとんどです。とはいえ、まったく望みがないわけではありません。警察やサイバーセキュリティ企業がランサムウェアの指令サーバー(C&Cサーバー)をシャットダウンし、そこから情報を入手している場合があります。この情報を利用すれば、復号ツールを作成し、暗号化されたファイルを復元することができます。先ごろ、オランダのサイバー警察とKaspersky Labは、CoinVaultの被害者向けにこのようなツールを開発しました。

coinvault-logo

CoinVaultについては、詳しい調査結果がSecurelistに掲載されています。当社が具体的にどうやって復号ツールを作成したかについては、こちらの記事で詳しく取り上げています。当記事では、このランサムウェアを除去してファイルを復元する方法をご説明します。

ステップ1: CoinVaultに感染しているかどうかを確認する

まず、自分のファイルに悪さをしたのが他のランサムウェアではなく、CoinVaultであることを確かめましょう。確認は簡単です。CoinVaultに感染していれば、以下のような画像が表示されます。

convault-decryption-1

ステップ2: Bitcoinウォレットのアドレスを確認する

CoinVaultの画像の右下に、Bitcoinウォレットのアドレス(上の画像の黒丸枠)が表示されます。必ずこのアドレスをコピーし、保存しておいてください。

ステップ3: 暗号化ファイルリストを保存する

CoinVaultの画像の左上隅に、[View encrypted filelist](暗号化ファイルリストを表示)ボタンがあります(上の画像の青丸枠)。このボタンをクリックし、表示された内容をファイルに保存します。

ステップ4: CoinVaultを除去する

カスペルスキー インターネット セキュリティ(カスペルスキー 2015 マルチプラットフォーム セキュリティのWindows対応プログラム)の体験版をダウンロードしてください。お使いのコンピューターにインストールし、CoinVaultを除去しましょう。ステップ2と3で確認した情報を忘れずに保存しておいてください。

ステップ5: https://noransom.kaspersky.comを確認する

https://noransom.kaspersky.comにアクセスし、ステップ2で確認したBitcoinウォレットのアドレスを入力します。このアドレスがすでに判明しているものであれば、初期化ベクトル(IV)とキーが画面に表示されます。ただし、複数のキーとIVが表示されることがあります。その場合は、すべてのキーとIVをコンピューターに保存してください。以降のステップで必要になります。

coinvault-decryption-4

ステップ6: 復号ツールをダウンロードする

復号ツールをhttps://noransom.kaspersky.comからダウンロードし、お使いのコンピューターで実行してください。下のエラーメッセージが表示された場合はステップ7に、表示されなかった場合はステップ7を飛ばしてステップ8に進んでください。

coinvault-decryption-2

ステップ7: 追加ライブラリをダウンロードしてインストールする

http://www.microsoft.com/ja-JP/download/details.aspx?id=40779にアクセスして、このWebサイトの指示に従ってください。その後、復号ツールをインストールします。

ステップ8:復号ツールを起動する

ツールを起動すると、以下の画面が表示されます。

coinvault-decryption-3

ステップ9: 正しく復号されるかテストする

ツールを初めて実行するときは、復号処理をテストしてください。テストの手順は以下のとおりです:

  • [Single File Decryption](ファイル1個の復号)ボックスの[Select file](ファイルの選択)ボタンをクリックして、復号するファイルを1つ選択します。
  • ステップ5で確認したIVを[Enter your IV](IVを入力)ボックスに入力します。
  • ステップ5で確認したキーを[Enter your key](キーを入力)ボックスに入力します。
  • [Start](開始)ボタンをクリックします。

新たに作成されたファイルは適切に復号されているかどうか、確認してください。

ステップ10: CoinVaultにやられたファイルをすべて復号する

ステップ9で問題が起きないことを確認できれば、すべてのファイルを一度に復元できます。一度に処理するには、ステップ3で保存したファイルリストを選択し、IVとキーを入力し、[Start](開始)をクリックします。必要に応じて、[Overwrite encrypted file with decrypted contents](暗号化ファイルを復号ファイルで上書き)を選択してください。

Bitcoinウォレットのアドレスを入力したときに、複数のIVとキーが表示された場合は注意が必要です。1つのBitcoinウォレットに対して複数のIVとキーがどのように生成されたのか、現時点で確実なことはわかっていません。この場合、[Overwrite encrypted file with decrypted contents](暗号化ファイルを復号ファイルで上書き)ボックスにチェックを入れないようにしてください。復号処理で問題が発生したとき、ファイルが正常に復号されるまで、いろいろなIVとキーのペアを試すことができます。

IVとキーが1つも表示されなかった場合は、しばらく間をおいてからhttps://noransom.kaspersky.comをチェックしてみてください。当社は現在も調査を進めており、新しいキーを入手次第、このページに追加していく予定です。