一部のランサムウェアで暗号化されてしまったファイルの復号(※2)を行うことができます。
本ツールは以下のランサムウェアによる暗号化されたファイルの復号に対応しております。
| ランサムウェア名 | 暗号化時の拡張子例 | 検出名 |
|---|---|---|
| CryptXXX (バージョン1、2、3、4、5) | .crypt, .cryp1,crypz,5桁の英数字 ※ファイル名も32桁の英数字に変更される場合があります。 |
Ransom_WALTRIX |
| TeslaCrypt (バージョン1) | .ECC | Ransom_CRYPTESLA |
| TeslaCrypt (バージョン2) | .VVV, .CCC, .ZZZ, .AAA, .ABC, .XYZ | Ransom_CRYPTESLA |
| TeslaCrypt (バージョン3) | .XXX, .TTT, .MP3, .MICRO | Ransom_CRYPTESLA |
| TeslaCrypt (バージョン4) | "ファイル名、拡張子に変更なし" | Ransom_CRYPTESLA |
| SNSLocker | .RSNSLocked | Ransom_SNSLOCK |
| Autolocky(※3) | .locky | Ransom_AUTOLOCKY |
| BadBlock | "ファイル名、拡張子に変更なし" | Ransom_BADBLOCK |
| 777 | .777 | Ransom_DEMOCRY |
| XORIST | .xorist もしくはランダム文字列 | Ransom_XORIST |
| XORBAT | .crypted | Ransom_XORBAT |
| CERBER | .cerber | Ransom_CERBER |
| Stampado | .locked | Ransom_STAMPADO |
| NEMUCOD | .crypted | JS_NEMUCOD |
| CHIMERA | .crypt | RANSOM_CRYPCHIM |
| WannaCry(※5) | .WNCRY あるいは.WCRY | RANSOM_WANA.A RANSOM_WCRY.I |
※1: 本ツールは、サポート対象外のツールとなります。
※2: ランサムウェアによって暗号化されたファイル、すべての復号を保証するものではありません。
※3: .Locky(検出名:Ransom_LOCKY)の復号には対応しておりません。対応しているのは、AutoLocky(検出名:Ransom_AUTOLOCKY)です。
※4: CryptXXX V4、 V5復号後のファイル名の末尾には「_decrypted」が付与されます。
※5: 本ツールは、WannaCryランサムウェアプロセスのメモリ上から秘密鍵を検索し、復号を試みます。
そのため、WannaCryのプロセスが引き続き、対象の環境で動作している環境(メモリ上に存在している環境)でのみ有効です。
以下にご留意ください。
・感染後に再起動を実施している環境や、なんらかの理由で感染が途中で終了している環境では、復号は出来かねます。
・WannaCryに感染後、時間が経過している場合、再起動を未実施でもメモリが上書きされ、復号の成功率が下がります。
特定のランサムウェアで暗号化されたファイルについては、全てのファイルについて完全に復号することができず、部分的な復号になる場合があります。
たとえば、Word(.doc)やPowerPoint(.ppt)で作成したファイルは、テキストエディタを使用して開くことで元の文字列を確認できる可能性があります。
CryptXXX(v3)の例:
■ランサムウェア ファイル復号ツールの使用方法
-
ランサムウェア ファイル復号ツールのダウンロード
-
下記のダウンロードリンクからランサムウェアファイル復号ツールをダウンロードし、デスクトップ上などに保存してください。
-
利用規約への同意
-
保存したファイルをダブルクリックで実行すると、利用規約画面が表示されます。
本ツールを利用される場合は、利用規約に同意頂く必要があります。
内容をご確認いただき、同意頂ける場合は「同意する」ボタンをクリックしてください。 -
ランサムウェア名の選択
-
表示された画面の「選択」をクリックして感染したランサムウェア名を選択します。
本ページ上部の表を参考に、ランサムウェア名を選択してください。
※ランサムウェア名が不明の場合は、「ランサムウェアの種類が不明の場合」をクリックし、画面の指示に従い、ランサムウェア名の自動判別をご利用ください。自動判別に失敗する場合は、ランサムウェア名を順番に選択し、復号をお試しください。
-
復号するファイルの選択
-
表示されている画面の下部の「ファイルの選択」をクリックし、暗号化されたファイルもしくは、ファイルが保存されているフォルダを指定し、OKをクリックしてください。
「STAMPADO」を選択した場合の手順はこちらをご確認ください。
- 復号対象のファイルを選択すると、以下のような画面が表示される場合があります。「こちらをクリック」をクリックしてください。
- 復号するために復号用のIDとメールアドレスを入力する必要があります。[復号用IDと復号用メールアドレスを確認する。]をクリックしてください。
- 以下のような画面が表示されますので、こちらから復号用のIDとメールアドレスを取得し、OKをクリックし、前の画面に戻り復号用IDとメールアドレスを入力して、「復号」ボタンをクリックしてください。
- 復号対象のファイルを選択すると、以下のような画面が表示される場合があります。「こちらをクリック」をクリックしてください。
-
暗号化前のファイルの選択
-
※「CryptXXX V1」以外で暗号化された場合はこの手順は不要のため、この手順はスキップされます。
CryptXXX V1によって暗号化されたファイルを復号する場合、追加で最低1つの暗号化される前の元ファイルが必要となります。
「いくつかのファイルは続行するために追加の情報が必要です。」と表示された場合、「こちらをクリック」をクリックし、
画面の指示にしたがい、「暗号化されたファイル」と「元ファイル」を選択してください。
選択後、「復号」ボタンをクリックしてください。
-
スキャンと復号
-
「OK」あるいは「復号」をクリックすると自動的に指定したファイル/フォルダのスキャンと、暗号化されたファイルの復号が始まります。
※暗号化されたファイルの種類や、ファイルの数によってスキャンおよび復号に時間がかかる場合があります。
処理が完了すると復号完了と表示され、「終了」ボタンをクリックすると、はじめの画面に戻ります。
復号したファイルは、元のファイルが保存されていた場所に作成されます。
拡張子が変更されていたファイルは、復号されると元のファイル名になります。
拡張子が変更されていなかったファイルは、下記のようなファイル名で復号されます。【元のファイル名】_decrypted.【元の拡張子】
(例:test.jpg → test_decrypted.jpg)
本ツールやランサムウェアについて不明な点がありましたらサポートセンターまでお問合せください。
●ウイルスバスターをご利用のお客さまはこちら
●ウイルスバスター クラウドをご利用でないお客さまはこちら
ウイルスバスター クラウドをご利用でないお客さまはチャット窓口をご利用ください。
お名前、メールアドレスをご記入いただき、「お使いの製品」は「ウイルスバスター クラウド」を選択してください。
シリアル番号は入力せずに「問題カテゴリ」は「ウイルス検出・対応」を選択してください。