てすたんの日記

testa021の日記 TeslaCrypt、ランサムウェア、mp3ウイルス、VVVウイルス、パソコンとかソフトのレビューが多い感じ?

スポンサーリンク

【ランサムウェア】VVVウイルス(TeslaCrypt)の被害が場合によってはShadowExplorerというフリーソフトで復旧出来る?

※vvvウイルスは進化してxxxの拡張子になり、暗号化も強化されてしまい復号化できなくなってしまったようです。teslacrypt3.0となったようです。ますます予防が重要になりました。

 

目次

 

お金払わなくて復旧出来るの?

場合によっては出来るみたいです

シャドウコピーという機能でバックアップファイルがウィルスによって削除されてなければ出来るみたいです。

 

シャドウコピーって何?

windowsの自動バックアップシステムみたいな奴ですね。

ランサムウェア感染被害時の対策ということで、Let's Emu!さんのサイトにも書いてありますね。

私の記事でも引用させていただいてました。

ただ、これってVVVウイルスに領域を削除されてしまうみたいなんですね。

しかしこの領域を削除するときに管理者権限を要求するので

1.UACを有効にしている

2.UACの画面でいいえをおす。

ってやると、残っているということではないでしょうか。

心当たりがないときにUACが出てきたら「いいえ」を押しておこうってことかな?

また、ボリュームシャドウコピーサービスは大事ってこともメモっとこう。

 

f:id:testa021:20151209113852j:plain

以下参考

CryptoWallランサムウェアウイルス感染被害 ファイル暗号化HELP DECRYPT - Let's Emu!
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware-cryptowall.htm

 

 

■ 「以前のバージョン」機能 − VSS(ボリューム シャドウコピー サービス)

Windows Vista(Bussiness や Ultimate といった企業向けエディションのみ)、Windows 7 に実装されてる「以前のバージョン」機能を使うと、破壊される前のデータが残ってる場合に限ってファイルを復元・復旧できる”可能性”があります。

ファイルやフォルダを選択し右クリック → [プロパティ]項目 をクリック → [以前のバージョン]タブ を開く

 

 

[Windows] ボリューム シャドウ コピー について調べてみた件について | インフラSEの運用・構築メモ
http://rtaki.sakura.ne.jp/infra/?p=730

 

Windows7の「シャドウコピー」のタイミング設定変更方法
http://www.se-support.com/clientpc/volumeshadow.html

 

 

 

被害に遭われた柑橘.vvvさんが復旧出来たそうです

本当に良かったです!

 

フリーソフトの名前はShadowExplorerというそうです

ShadowExplorer.com - Downloads
http://www.shadowexplorer.com/downloads.html

 

使い方は簡単っぽいですが不明であれば以下などを参考に

ShadowExplorer - k本的に無料ソフト・フリーソフト
http://www.gigafree.net/utility/recovery/shadowexplorer.html

 

 

CTB Locker ランサムウェアまたは暗号化されたファイルの解読法 - malwarerid.jp
http://www.malwarerid.jp/ctb-locker-%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%BE%E3%81%9F%E3%81%AF%E6%9A%97%E5%8F%B7%E5%8C%96%E3%81%95%E3%82%8C%E3%81%9F%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%81%AE/

 

CryptoWall & DECRYPT_INSTRUCTION 身代金要 求ソフト インフォメーションガイドと FAQ

 

http://www.hippo.flnet.org/Calendar/CryptoWall%20%E3%81%A8%20DECRYPT_INSTRUCTION%E8%BA%AB%E4%BB%A3%E9%87%91%E8%A6%81%E6%B1%82%E3%82%BD%E3%83%95%E3%83%88%EF%BC%9A%20%E3%82%A4%E3%83%B3%E3%83%95%E3%82%A9%E3%83%A1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%82%AC%E3%82%A4%E3%83%89%E3%81%A8FAQ.pdf

 

 

参考にさせていただきました

TeslaCrypt(vvvウイルス)に感染してみました。 — (n)
http://n.pentest.ninja/?p=32117

 

 早速試してみた

準備

 

f:id:testa021:20151209130028j:plain

 上の2つのどっちかだとボリュームシャドウコピーはオンっぽいです。

たぶん一番上がいいと思います。

 

こんな感じに設定して(最大使用量は検証環境なので少ないですが、実環境だともっと大きく撮ったほうが良いと思います)

 

 んで、自動的にやってくれるっぽいですが、すぐ作って欲しかったので復元ポイントを作ります。(割愛)

 

そうすると直近で以前のバージョンができます。

 

 

f:id:testa021:20151209122902j:plain

ボリュームシャドウコピーは万能ではないです。

ここに表示されてる状態までしか戻れないようなので注意。また、バックアップ対象フォルダやドライブじゃないと使えないです。

 

ShadowExplorerをダウンロードして解凍、実行

こんな感じでバックアップした日時が出てると思います。

この状態まではボリュームシャドウコピーで復元出来るということですね。

f:id:testa021:20151209123045j:plain

 

そしたらVVVウイルスに感染します

f:id:testa021:20151209123240j:plain

 

暗号化されてしまいましたが、UACの画面は全部いいえを押しました。

何度も出てきてうざかったです。

f:id:testa021:20151209123403j:plain

UACさえいいえを押していれば、以前のバージョンのファイルが残っててエクスポート出来るので、復活させたいフォルダを選びエクスポート

無事に復活しました。

f:id:testa021:20151209123549j:plain

 

これは絶対ではないので、あまり当てにしないほうが良いと思います。

 

UACではいを選んだらどうなるのか?

※因みにUACではいを選びましたが、その後何回も復元出来ました。ただ、以前のバージョンに戻すからは上手くいきませんでした。

正直知識不足でよくわからないです。

f:id:testa021:20151209124633j:plain

 

疲れたのでこの辺で終わります。

よかったらはてブ等していただけると嬉しいです。

 

 

二度と感染したくない方はこちらを参考にセキュリティソフトなどをインストールしてください。

一つのセキュリティソフトで守り切るのはもはや不可能な時代になりました。

 

testan.hatenablog.com

 

 

ShadowExplorerの使い方分からないとか、vvvウイルスの復号化したいという方はご相談下さい。

twitter.com

 

※現在、vvvウイルスは進化してxxxの拡張子になったようです。

teslacrypt3.0というのが技術的な呼び方のようです。

2.2.0で使えた復号化ツールでは1/14現在では復号化出来なくなりました。