最新のランサムウェアZEPTOにやられてたノートPCが担ぎ込まれました。
Lenovo SL510
Windows7 Pro 32bit
デスクトップの背景画像が脅迫文になってしまってます。
そしてほとんどのファイルが暗号化され、拡張子が.zeptoにされていました。
暗号化されたファイルを復号化するツール
セキュリティソフト会社からいくつか復号ツールが出ているが今回のZeptoは最新種らしく、各社の復号ツールでは対応していなかった。
Trend Micro Ransomware File Decryptor
Kaspersky RannohDecryptor
シャドーボリュームコピーから暗号化される前に復元する
下記URLページで紹介されているようにシャドーボリュームコピーから暗号化される前に復元する方法もあるが、今回のノートPCではバックアップを取っておらず出来なかった。
http://sakujosuru.jp/guides/zepto-file-virus
サルベージソフトで復元する
いろいろランサムウェアについて調べていると、ウイルスに感染したあと人質とされるファイルをリストアップするようで、その際に候補にあるのが予めプログラムで定められた拡張子だけのようで、拡張子.jww(CADフリーソフト)などは暗号化されていなかった。
人質リストにピックアップされたファイル達は、その後コピーされ、そのコピーを暗号化するそうです。そして暗号化が完了したあとオリジナルを削除するフローになっているらしい(なんの確証もないっす)
なのでダメもとでFile Scavengerでサルベージをやってみた。
復元できた!!
全ファイルではないがクライアントがどうしても助けてほしいデジカメ写真のJPG達はかなりの数が救えた。