編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方
ランサムウェア

WannaCryに暗号化されたファイル、大半は復元ソフトで回復可能--カスペルスキー

ZDNet Japan Staff

2017-06-02 07:00

 カスペルスキーは6月1日、マルウェア「WannaCry」によって暗号化されたファイルの多くをデータ復元ソフトで回復できる可能性が高いと発表した。WannaCryの解析で開発者のミスが判明したという。

 5月12日頃から世界150カ国以上で30万台以上の端末に感染したとされるWannaCryは、ファイルを暗号化して身代金を要求するランサムウェアと、Windowsの脆弱性を突いて感染を広げるワームの主に2つの特徴を持つ。

 ランサムウェアとしては、ファイルの暗号化時に、元のファイルのコンテンツを暗号化し、「.WNCRYT」の拡張子を持つファイルとして保存する。さらに拡張子を「.WNCRY」に変更し、元のファイルを削除する。ただしファイルを削除するロジックは、ファイルのある場所やファイルのプロパティによって異なることが分かった。


Wannacryの身代金要求メッセージ

 同社によると、元のファイルがシステムドライブのデスクトップやドキュメントなどのフォルダに置かれていた場合は、ファイルがランダムなデータで上書きされた後に削除されるため、復元する術がないという。しかし、これらのフォルダ以外にあるファイルは、TEMPフォルダに移動され、「(任意の文字列).WNCRYT」というファイルとして保存される。元のファイルは上書きされることなく削除されるだけで、データ復元ソフトを使えば、回復できる可能性が大いにあるという。

 システムドライブ以外の場所に置かれたファイルは、WannaCryが隠し属性とシステム属性を設定した「$RECYCLE」というフォルダを作成した後に、このフォルダへ移動させようとする。しかし、WannaCryのコードには同期エラーあり、多くの場合で元のファイルが$RECYCLEフォルダへ移動せず、元の場所に残る。元のファイルが確実に消去されないため、このケースでもデータ復元ソフトによって元のファイルを回復できるとしている。

 またWannaCryは、読み取り専用に設定されたファイルを暗号化しないことも分かった。この場合は、元のファイルに隠し属性を与えるだけで、ユーザーがファイルを探して属性を元に戻せば、復元できるという。

 WannaCryが拡散し始めた当初は、暗号化されたファイルの回復方法が見つからないとされ、その後にセキュリティ研究者が、特定の条件下で回復できるツールを提供していた。カスペルスキーは、WannaCryの開発者が多くのミスをし、コードの質もかなり低いと指摘。万一WannaCryに感染してファイルを暗号化されても、一般的な復元ソフトを使えば多くのファイルを取り戻せるとアドバイスしている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]