ある日、コンピュータを起動し、使用していると、ドライブが異常に混雑していることに気づきます。システムモニターを確認すると、未知のプロセスがCPUを使用し、ドライブへの読み込みと書き込みを大量に行っていることに気づきました。すぐにそのプロセス名をWeb検索すると、ランサムウェアプログラムの名前であることがわかります。さらに、ある有名なソフトウェア配布サイトが最近危険にさらされ、この同じランサムウェアを配布するのに使われたというニュース記事も出てきました。あなたは最近、そのサイトからプログラムをインストールしました。明らかに、ランサムウェアは悪事を働いている最中なのです。
あなたは、内部ドライブに大量の重要なデータを持ち、バックアップもない。また、ドライブには重要でないデータも相当量あります。
この質問のタイトルには「操作の途中」とありますが、この例では、ランサムウェアが実際にどこまで作業を行っているかはまだ調査していません。
2つの状況を見ることができます。
1.1. データをできるだけ多く保存したい。しかし、身代金を支払うことは問題外である。
2.2. リスクがなく可能であれば、データの重要な部分が実際に暗号化され上書きされているかどうかを知りたい。また、事態を悪化させることなく、できるだけ多くのデータを取り出してみたいものです。身代金を払うのは嫌でしょう。しかし、データの特定の部分はあなたにとって非常に重要なので、最終的には、最後の手段として、データを失うリスクよりも、それらを取り戻すチャンスのために支払うことができるようにしたいと思うのです。
ステップバイステップで、状況1と2の場合、どうするのが理想的でしょうか?また、その理由は?
注:これは仮定の話です。実際に私の身には起こっていません。私は重要なデータは常にオフサイトにバックアップしており、ランサムウェアの被害にあったことはありません。
暗号化されたファイルサイズは、暗号化されていないファイルサイズとビット単位で一致しないため、ランサムウェア(あるいは他の暗号化ソフトウェア)はファイルをその場で暗号化しません(単なるxorシャッフルの場合は別ですが、その場合は本当の暗号化とは言えません)。さらに重要なことは、(シャットダウンやバッテリー切れなどで)暗号化プロセスが自然に中断されると、身代金請求できない破損したファイルが作成されることです。その代わり、これらのプログラムは常に、古いファイルから新しい暗号化ファイルを作成し、古いファイルを削除します。実際、ほとんどのランサムウェアプログラムは、シャットダウン/再起動により、半分だけ暗号化された大きなファイルを再起動するチェック機能を備えています。
そのため、暗号化の途中で気づいた場合は、できるだけ早くコンピュータの電源を切り、バックアップのために影響を受けていないマシンにハードディスクをマウントするのです。
身代金を払うかどうかについては、全く分からない。身代金を払うかどうかは、身代金の額と、その時のハードディスクにあるものの性質によります。私の時給はおよそ2.5ドルで、私のハードディスクには主に一般に公開されている科学的データが入っているので、答えはおそらく「ノー」だろう。
編集:
他の投稿者が推奨するハイバネーションは、多くの点でコンピュータの電源を切るよりも仮説的に優れています。しかし、現実的には、ハイバネーションはうまくいかないかもしれません。どのようなプロセスでも、ビジー状態であり、今すぐには停止できないことをシステムに伝えることができます。これはOSX、Windows、Linuxに当てはまります(Linuxのハイバネーションの方法にもよりますが)。プロセスがサスペンドを拒否した場合の唯一の解決策は、プロセスを殺すことです - つまり、メモリダンプができないのです。個人的には、電源コードを抜いてできるだけ早く暗号化を止めた方がいいと思います。なぜなら、私が保証できることは、ランサムウェアが次のシステム起動時にキーをメモリに戻すことです。
2番目の質問は、答えとしていろいろな意見が出るかもしれません。 私は最初の質問に焦点を当てます。 身代金要求の可能性がある暗号化を進行中に止めるにはどうするか?
手順を説明します。
1.すぐにインターネットからマシンの接続を解除してください。 インターネットでの検索は別のマシンで行ってください。
2.2.コールドパワーダウンで、影響を受けたマシンをシャットダウンします。 マシンが通常のパワーダウンソフトウェアの検査を完了するのを待たないでください。
3.3.マシンからハードドライブを取り外す。
4.4.新しいハードドライブをマシンにインストールし、新しいクリーンなOSをインストールする。
5.5.新しいOSがドライブにアクセスできるように、元のドライブをマザーボードに差し込みます。
6.6. 新しいOSの電源を入れ、古いドライブにアクセスし、バックアップを取る。
7.7.バックアップをオリジナルとは別の物理的に安全な場所に保管する(火災、洪水、竜巻などに備えて)。
8.ウェブブラウザのセキュリティを向上させる。 ランサムウェアの多くは、JavaScriptマルウェアによってインストールされます。
2つ目の質問ですが、おそらく暗号化されたデータの一部を再構築することができると思います。 上記の手順が完了した後、次の手順が役に立つかもしれません。
1.1. 元のドライブのデータを監査し、暗号化に成功したファイルがあるかどうかを判断する。 どのファイルが暗号化されたかを記録します。 (この監査はクリーンな OS からのみ行う必要があります。)
2.2. (バックアップがないので)記憶から、ファイルの内容とその重要性を思い出してください。
3.今度は、暗号化された最も重要なファイルに焦点を当て、ファイル復元技術で元のファイルを復元できるかどうかを確認する。 暗号化は(多くの理由から)その場で上書きできないので、ランサムウェアは暗号化されたバージョンを作成する間に、元のファイルにアクセスしたのでしょう。 その後、程度の差こそあれ、元のファイルを削除している可能性があります。 リンクされていないオリジナルファイルがまだディスク上に存在するかどうかを調べるには、ファイル復元の専門家にお問い合わせください。
今後、自分自身を保護することを忘れないでください。 バックアップを作成し、オフラインに保ち、ランサムウェアのインストールを防止してください。 ランサムウェアはどのように人々のコンピュータに侵入するのか]1を参照してください。