印刷 ブックマーク 友達に教える トレンドマイクロ Q&Aページ

ランサムウェア ファイル復号ツール

Solution ID
1114224
対象製品 
ウイルスバスター コーポレートエディション - All;ウイルスバスター ビジネスセキュリティ - All;ウイルスバスター ビジネスセキュリティサービス - All; 
対象OS 
Windows - すべて 
公開日 
2016/05/27 10:43 午前 
最終更新日 
2017/05/22 6:11 午後 

 
ランサムウェアで暗号化されたファイルを復号するツールについて教えてください。


ランサムウェア ファイル復号ツール(※1)を使用することにより、
一部のランサムウェアで暗号化されてしまったファイルの復号(※2)を行うことができます。

本ツールは以下のランサムウェアによる暗号化されたファイルの復号に対応しております。
ランサムウェア暗号化時の拡張子例検出名
CryptXXX (バージョン1、2、3、4、5) .crypt, .cryp1, .crypz、"ファイル名が5桁の16進文字列"
"ファイル名が32桁(元のファイルの「ファイル名+拡張子」のMD5)で拡張子が5桁(ファイル名のMD5からさらにMD5を取得した先頭5桁)"(※4)
Ransom_WALTRIX
TeslaCrypt (バージョン1) .ECC Ransom_CRYPTESLA
TeslaCrypt (バージョン2) .VVV, .CCC, .ZZZ, .AAA, .ABC, .XYZ Ransom_CRYPTESLA
TeslaCrypt (バージョン3) .XXX, .TTT, .MP3, .MICRO Ransom_CRYPTESLA
TeslaCrypt (バージョン4) "ファイル名、拡張子に変更なし" Ransom_CRYPTESLA
SNSLocker .RSNSLocked Ransom_SNSLOCK
Autolocky(※3) .locky Ransom_AUTOLOCKY
BadBlock "ファイル名、拡張子に変更なし" Ransom_BADBLOCK
777 .777 Ransom_DEMOCRY
XORIST .xorist あるいは、ランダムな拡張子 Ransom_XORIST
XORBAT .crypted Ransom_XORBAT
CERBER .cerber Ransom_CERBER
Stampado .locked Ransom_STAMPADO
NEMUCOD .crypted JS_NEMUCOD
CHIMERA .crypt RANSOM_CRYPCHIM
WannaCry(※5) .WNCRY あるいは.WCRY RANSOM_WANA.A
RANSOM_WCRY.I

※1: 本ツールは、サポート対象外のツールとなります。
※2: ランサムウェアによって暗号化されたファイル、すべての復号を保証するものではありません。
※3: .Locky(検出名:Ransom_LOCKY)の復号には対応しておりません。対応しているのは、AutoLocky(検出名:Ransom_AUTOLOCKY)です。
※4: CryptXXX V4、 V5復号後のファイル名の末尾には「_decrypted」が付与されます。

※5: 本ツールは、WannaCryランサムウェアプロセスのメモリ上から秘密鍵を検索し、復号を試みます。
そのため、WannaCryのプロセスが引き続き、対象の環境で動作している環境(メモリ上に存在している環境)でのみ有効です。

以下にご留意ください。

  • 感染後に再起動を実施している環境や、なんらかの理由で感染が途中で終了している環境では、復号は出来かねます。
  • WannaCryに感染後、時間が経過している場合、再起動を未実施でもメモリが上書きされ、復号の成功率が下がります。

CryptXXX (バージョン3)で暗号化されたファイルについては、全てのファイルについて完全に復号することができかね、部分的な復号になります。
たとえば、Word(.doc)やPowerPoint(.ppt)作成したファイルは、テキストエディタを使用して開くことで元の文字列を確認できる可能性がある、というレベルとなります。

例:


ランサムウェア ファイル復号ツールの使用方法



    1. ランサムウェア ファイル復号ツールのダウンロード
      下記のいずれかのダウンロードリンクからランサムウェアファイル復号ツールをダウンロードし、デスクトップ上などに保存してください。

      • 暗号化後のファイルの拡張子が「.crypt」、「.cryp1」、「.crypz」、「.RSNSlocked」、「.locky」、「.777」、「.xorist」、「.crypted」、「.locked」、「.cerber」、「.crypted」、「.crypt」、「.WNCRY」 、「.WCRY」になっている場合、あるいはファイル名が5桁の16進文字列や32桁になっていたりファイル名、拡張子に変更がない場合
        「ランサムウェア復号ツール」をダウンロードしてください。
      • 暗号化のファイルの拡張子が上記以外の場合(ページ上部の表をご確認ください。)
        「TeslaCrypt専用ランサムウェア復号ツール」をダウンロードしてください。

TeslaCrypt専用ランサムウェア復号ツールは現在公開を停止しております。(2016年8月23日)



  1. 利用規約への同意
    ダウンロードしたファイルをダブルクリックで実行すると、利用規約画面が表示されます。
    本ツールを利用される場合は、利用規約に同意頂く必要があります。
    内容をご確認いただき、同意頂ける場合は「同意する」ボタンをクリックしてください。
  2. ランサムウェア名の選択
    ※この手順は「TeslaCrypt専用ランサムウェア復号ツール」では不要です。次の手順にお進みください。

    表示された画面の「選択」をクリックして感染したランサムウェア名を選択します。

    • 暗号化されたファイルの拡張子が「.crypt」、「.cryp1」または「.crypz」。あるいはファイル名が5桁の16進文字列や32桁になっている場合は「CryptXXX」を選択し、OKボタンをクリックしてください。
    • 暗号化されたファイルの拡張子が「.RSNSLocked」になっている場合は「SNSLocker」を選択し、OKボタンをクリックしてください。
    • 暗号化されたファイルの拡張子が「.locky」になっている場合は「AutoLocky」を選択し、OKボタンをクリックしてください。
    • 暗号化されたファイルのファイル名、拡張子に変更がない場合は「Ransom_BADBLOCK」を選択し、OKボタンをクリックしてください。
    • 暗号化されたファイルの拡張子が「.777」になっている場合は「777」を選択し、OKボタンをクリックしてください。
    • 暗号化されたファイルの拡張子が「.xorist」 あるいは、ランダムな拡張子の場合は「XORIST」を選択し、OKボタンをクリックしてください。
    • 暗号化されたファイルの拡張子が「.crypted」になっている場合は「XORBAT」を選択し、OKボタンをクリックしてください。
    • 暗号化されたファイルの拡張子が「.cerber」になっている場合は「CERBER」を選択し、OKボタンをクリックしてください。
    • 暗号化されたファイルの拡張子が「.locked」になっている場合は「Ransom_STAMPADO」を選択し、OKボタンをクリックしてください。
    • 暗号化されたファイルの拡張子が「.crypted」になっている場合は「JS_NEMUCOD」を選択し、OKボタンをクリックしてください。
    • 暗号化されたファイルの拡張子が「.crypt」になっている場合は「RANSOM_CRYPCHIM」を選択し、OKボタンをクリックしてください。
    • 暗号化されたファイルの拡張子が「.WNCRY」 あるいは「.WCRY」になっている場合は「WANNACRY」を選択し、OKボタンをクリックしてください。
    • ランサムウェア名が不明の場合は、「ランサムウェアの種類が不明な場合」をクリックしてください。
  3. 復号するファイルの選択
    表示されている画面の下部の「ファイルの選択」をクリックし、
    暗号化されたファイルもしくは、ファイルが保存されているフォルダを指定し、OKをクリックしてください。

    詳細すべて確認

    「Ransom_STAMPADO」を選択した場合にはこちらをご確認ください。

    1. 復号対処のファイルを選択すると、以下のような画面が表示される場合があります。その場合、「こちらをクリック」をクリックしてください。

    2. 復号用のIDとメールアドレスを要求する画面に遷移します。[復号用IDと復号用メールアドレスを確認する。]をクリックしてください。

    3. 以下のような画面が表示されますので、こちらから復号用のIDとメールアドレスを取得してください。

  4. 暗号化前のファイルの選択
    ※「CryptXXX V1」以外で暗号化された場合はこの手順は不要です。次の手順にお進みください。

    CryptXXX V1によって暗号化されたファイルを復号する場合、追加で最低1つの暗号化される前の元ファイルが必要となります。
    いくつかのファイルは続行するために追加の情報が必要です。」と表示された場合、「こちらをクリック」をクリックし、画面の指示にしたがい、「暗号化されたファイル」と「元ファイル」を選択してください。
    選択後、「復号」ボタンをクリックしてください。
  5. スキャンと復号
    OKをクリックすると自動的に指定したファイル/フォルダのスキャンと、暗号化されたファイルの復号が始まります。
    処理が完了すると復号完了と表示され、「終了」ボタンをクリックすると、はじめの画面に戻ります。
    復号したファイルは、元のファイルが保存されていた場所に作成されます。
    拡張子が変更されていたファイルは、復号されると元のファイル名になります。
    拡張子が変更されていなかったファイルは、下記のようなファイル名で復号されます。
    <元のファイル名>_decrypted.<元の拡張子> 
    (例:test.jpg → test_decrypted.jpg)

    暗号化されたファイルの種類や、ファイルの数によってスキャンおよび復号に時間がかかる場合があります。

このソリューションに関して、ご意見をお聞かせください。

  • このソリューションは問題解決に役に立ちましたか。

  • このソリューションの内容を改善するために、ご提案/ご意見がありましたらお聞かせください。
    • ※こちらに技術的なご質問などをいただきましてもご返答する事ができません。
      何卒ご了承いただきますようお願いいたします。

再検索する

検索

こんなQ&Aもチェックされています

問い合わせする

お役立ち情報