悪代官の伏魔殿掲示板別館

はじめてこの掲示板を知ったPC素人寄りの者です。
どうしても残しておきたい写真やファイルがこのウイルスによってロックかけられたのか削除されたのかわかりませんが見れなくなりました。
プロパティ→以前のバージョンを見てもバックアップをとってなかったし、復元ポイントを作ってなかったので何もありません。

こうなってしまってはもうほぼ百パーセント写真復元は不可能でしょうか？
パソコンの業者の方には、PCの奥深くまでわかる人なら復元可能かもしれないと言われましたが、そうなるとプログラムをいじったりなどしなければならないのでしょうか。
また、どこかのサイトでこのウイルスは勝手にファイルを削除してしまうのでゴミ箱復元ツールを使えば戻るかもみたいな事を見ました。
これは効果ありと考えてもよいでしょうか。
具体策がありましたらご教示願えないでしょうか。

素人寄りなもので具体的に解説いただけると助かります。
PCに詳しい方アドバイスよろしくお願いします。

横から口出し、凡人crara06です。

❶HELP_DECRYPT　←　これが事実でありデータを暗号化されておれば、99%回復させることはできません。

❷攻撃者に金を支払っても、復号化してもらえる保証も、一切ありません。

❸http://blogs.yahoo.co.jp/fireflyframer/33218360.html
http://blogs.yahoo.co.jp/fireflyframer/33499798.html

データは暗号化されただけでなく、暗号化に失敗する場合もあり、その場合は元データは破損しています。

お気の毒ですが、現状では「こうすればデータを回復できる」という確実な手法は、ありませんよね。

まあ、管理人さんの登場をお待ちください（といっても彼は忙しく、家老で倒れなければ良いのですが）

こんばんは。
いかにも悪党なIDの悪代官です。
でも正体は甘党です。その証拠にしょっちゅうお団子食べてます（←それポジション違う

crara06さん、今日もフォローありがとうございます。

ちこさん、説明をうかがいましたが、やはりHELP_DECRYPT系感染の疑いとなると猶予はないと思ってください。
下手に調べてから対処法を模索しているとその間にもますます傷口を広げます。

既にバックアップしてあるデータ以外はあきらめるのが安全確実と思われます。
はっきり言ってその種は昔ながらの意味のウイルスと呼ばれるような、【本物の】危険なマルウェアです。

状況によってはある程度沈静化させたうえでPC内のデータのバックアップすることも不可能ではないでしょうが、それが通用する保証はないうえに、その作業にも時間かけている暇はないのが事実です。

バックアップできてないデータの救出はあきらめて、速やかにPCのリカバリを最推奨です。

リカバリができたらすぐにWindowsUpdateと、アンチウイルスソフトを含む各種更新も最新まで持っていってから、そこで一度完全スキャンしてください。
スキャンで何も検出や異常がなくなってればリカバリ自体は成功です。

しかしそこではまだ「解決」にはなりません。
【本物】のマルウェアはリカバリ後も特殊な形で生き残るものが存在します。
それを調べたうえで、以後の再被害を防ぐための自衛も固め直す必要があります。

まずはリカバリと各種更新と、その後の完全スキャン後に、HJTとインストール情報ログをとってから、その時点での状態報告とともにレスください。
それを見てから慎重に調べてみましょう
http://otherplace.html.xdomain.jp/prepare.html

http://otherplace.html.xdomain.jp/index.html

crara06さん、悪代官さん、ご返信ありがとうございます。
やはり諦めたほうが良いようなのですが、諦めが悪くて本当に申し訳ないのですが、どうしてもどうしても残しておきたい大事な写真などがありまして
最大限の努力をしてダメなら諦めますが、どうしても暗号化なのか何なのかわかりませんが、それを復旧させたいのです(;;)
自分なりに検索して「Malwarebytes Anti-Malware」なるソフトを見つけましてそれでスキャンしましたところ、以下が犯人らしきものなのです。

ファイル: 4
CryptoWall.Trace, C:\Users\a?aa??a??a??\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.HTML, , [08f89823b1d9ef47669bfe83c1444cb4],
CryptoWall.Trace, C:\Users\a?aa??a??a??\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.PNG, , [a45c43784a40d75faa57166be71e28d8],
CryptoWall.Trace, C:\Users\a?aa??a??a??\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.TXT, , [c43c3e7dacdec76f0ff26918a75e04fc],
CryptoWall.Trace, C:\Users\a?aa??a??a??\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.URL, , [30d0eccfa5e5ae888e735130fe077f81],

他にもウイルス？マルウェア？はハイジャックなどいくつか入っていましたが「HELP_DECRYPT」の名前があったのはこの４つでした。
これらの情報から何か復旧のための具体的アドバイスをいただけないでしょうか？
検索していると解除コードをみつけてそれを入力するみたいなことがサイトに書いてあったのですが、いったいどこに入力するのか、解除コードとは
どうやってみつけるのか。迷路に入っていくばかりではあります。

自分がバックアップとっておかなかったのは重々反省しております。ワガママ言ってすみません。

何卒よろしくお願いいたします。

今、危険な状態というか、すでに手遅れな状態であり、今回はリカバリ以外の選択肢は無いと個人的には判断しています。管理人さんと全く同じ意見なんです。速やかにリカバリをし、必要な作業を行い、PCの無感染状態を確保して「から」すべてのパスワードを書き換えなければいけない。メルアドのようなレベルのパスワードでさえ、すべてを書き換える必要がある。クレジットカードなどを利用していたのであれば、信販会社に連絡し、事情を説明してパスワードの書き換えをしなければいけないなど、すべきことは写真の復旧ではないわけです。本件は、暗号化という攻撃手法ですが、暗号化ということは＝復号化もできる、と考えるかもしれませんが、攻撃者は悪人なので復号化できるような新設はしておらず、暗号化したのではなくてファイルを破壊しただけ。破壊されているんだから、暗号化を解除したとして、復旧できるファイルは、そこには、ありません。破壊されているからです。


以上が、オイラの個人的な意見ですが、

windowsの機能のシャドウコピー機能（あるいはシステム復元ポイントを作成しておれば）から、ファイル（写真）を復元させるというテクは一応存在はしています。

http://www.atmarkit.co.jp/ait/articles/1204/20/news143.html
↑
この解説記事の中の見出し「削除や上書きされたファイル／フォルダの復旧」を読み、感染前のデータから写真を復旧できるか？

しかし世界の対策掲示板での実例被害報告を観ても、このシャドウコピーから、破壊されたデータ（写真）の以前のデータを復元できました、という成功例を見た記憶もありません。そして、ちこさんが、システム復元ポイントなどを作成するという設定にしていたか、していなかったか？


可能性は、ほぼ、ゼロだと思いますが、windowの機能から復元できる可能性が、あるのか、ないのか？海外の対策掲示板の報告によれば、攻撃者らは、このシャドウコピーに保存されているはずの復元データをも攻撃しており、徹底的に破壊しまくっているという実例報告は読んだ記憶があります。だから、復元データからの再生も不可能というのが原則。ただし、攻撃者らの攻撃が失敗する場合もあって、その場合は奇跡的に、シャドウコピー領域のデータが残っているときもあり、そこからデータを再生できるかも？しれないという報告も読んだ記憶は、あります。

❷「検索していると解除コードをみつけてそれを入力するみたいなことがサイトに書いてあったのですが、いったいどこに入力するのか、解除コードとはどうやってみつけるのか。迷路に入っていくばかりではあります。」

↑

解除code?

まず、その解除code?を説明している掲示板、ブログなどを紹介してください。

❸　攻撃者らは、身代金を支払えば復号化してやると提案してきますが、実際支払っても複合はできなかった、という報告が圧倒的ですね。だから、金を支払ってもデータ（写真）は返してもらえないのです。そもそも暗号化したのではなくて、単にデータを破壊しただけだ、と指摘されています。

補足しますが、いまから、システム復元ポイントを作成しても、全く意味はありませんからね。勘違いしませんように。感染前に、システム復元ポイントが作成されていたら、もしかしたら、その感染前のシステム復元機能が作成していた感染前データから、「もしかしたら」写真を復旧できるかもしれない、というほとんど期待感ゼロ、雲を掴むような提案だ、ということに過ぎません。俗に世間でいう「ダメ元」というヤツですよ。

これもダメ元

PC上に存在しており、かつ、HELP_DECRYPT化されてしまったファイル、フォルダ、写真は、全部「削除」してください。写真も、怖がらず、全部削除へ（HELP_DECRYPT化された写真を保存しておいても、それを復号化することは不可能だからですよ）。HELP_DECRYPT化された写真、ファイルをPC上に保存しておくと、それをクリックした途端、また、再感染という危険がある。なので、全部削除。

その上で、これをダウンロード

http://www.shadowexplorer.com/　オイラは使った経験は無いので、詳細の説明はできません。

http://security.stackexchange.com/questions/80861/cryptowall-3-how-to-prevent-and-how-to-decrypt
（引用）

1
down vote


I might have found a way to recover your files. My laptop was infected with Crypto 3.0 last week. I removed it with SpyHunter, but I thought I lost all my files after reading all the stories on the net. I didn't have a recent back-up. And all my tries to recover the files as recommended "restore old version" and ShadowExplorer faileduntil now. I went on "Search program and files" and searched for all the files from Crypto "Help_decrypt". It will list you all the "Help_decrypt" files, which I deleted then. You have to run it thoroughly, so you really remove all the files from your computer. Afterwards I was able to recover all my files (as I can see so far) with the ShadowExplore. Easily. I am not sure, whether this was a coincidence or a solution, but it did definitely helped me. Good luck.
shareimprove this answer


注意点は引用文献中に登場する「SpyHunter」は、使わないこと。これ自体「詐欺まがい」インチキ駆除Softwareだから。これは、使わないように。

http://www.gigafree.net/utility/recovery/shadowexplorer.html　使い方解説文


本件暗号化の解決に、どれほど寄与できるか、オイラはまったく知りませんが、ネット上の「ダメ元」情報として、提供いたします。が、解決できるか否かは、分かりませんし、ほぼゼロじゃないか、と感じますが。

こんなサービスがありますね？

これもオイラは利用した経験は一度もありませんが。
https://www.decryptcryptolocker.com/

❶　まず、捨てメルアドを１個用意し（gmailでも、yahooでもOK）

❷　感染し暗号化された写真を１枚、uploadし、送信する


すると、解析の上、暗号化を解除してくれるマスターkeyが送り返されてくるから、この鍵を、HELP_DECRYPTの画面に、入力する、という方法なんだろう、と推測しますね。

ただ、ちこさんのPCモニタ画面に、このマスターkeyを入力するHELP_DECRYPT画面は、表示されていないんじゃないですかね？よくわかりませんが。

ただし、上記のマスターkeyを提供するという会社が、有料なのか無料なのか、それは確認していません。有料の場合、ホントに総ての写真を回復してくれるのか保証は一切ないのだから、金を支払わないように（有料だという場合はですよ）。

ええと投稿する記事の順番が逆になってしまいましたね。

もしも、写真の回復をするというのなら、

❶https://www.decryptcryptolocker.com/　

まず、これをやってみる（ただし有料サービスだというなら、やめましょう。回復できる保証がないから）

❷次、http://www.shadowexplorer.com/　この方法、という流れになると思いますよ。

成功するという保証は、一切ありません、どっちも。

https://www.fireeye.com/blog/executive-perspective/2014/08/your-locker-of-information-for-cryptolocker-decryption.html

使い方のようです

https://ja.wikipedia.org/wiki/CryptoLocker
(引用）

ネットワークの崩壊、ファイルの修復

2014年5月末、法執行機関とセキュリティ企業はトーバー作戦（英語版）を実行し、CryptolockerとGameover Zeusを拡散するために乗っ取られていたコンピュータのネットワークを押さえるのに成功した。攻撃者は自身のデータベースを安全な場所に移そうとしたが、既にネットワークの一部を押さえていた機関によって傍受されていた。アメリカ合衆国のFBIはGameover ZeusとCryptolockerの攻撃者を取りまとめていたRussian Evgeniy Bogachev（通称lucky12345およびslavik）を逮捕した。データベースは攻撃の規模を示し、Cryptolockerによって暗号化されたファイルの復号化を可能にするきっかけとなった。

同年8月、ネットワークの破壊に関わったセキュリティ企業であるFox-ITとFireEyeは50万人の感染者の暗号化されたファイルを修復することができるDecrypt Cryptolockerというポータルを立ち上げた[24]。被害者は機密情報を除く暗号化されたファイルを提出することで解除者は使用された暗号鍵を推測することができる。ただし、Cryptolockerで暗号化された全てのファイルが復元できるわけではなく、異なるランサムウェアで暗号化されたファイルを復元することもできない[4][23]。


---------------

ネットワークの破壊に関わったセキュリティ企業であるFox-ITとFireEye ←なるほど、このような背景を持ったセキュリティ企業なんですね。ただ、すべての暗号化されたデータを復元できるわけではない、と説明書きもなされておりますね。

Fox-ITとFireEye ←　復号化サービスが有償なら、やはりやめましょうね。回復できる保証は、ないからです。

http://gigazine.net/news/20140807-cryptolocker-unlock-cryptolocker/
解説記事みつけました。ご参考までに。

HELP_DECRYPT　←そもそもこれに対応したサービスではない可能性も高く、なんともいえませんよね。

crara06さん
お返事が遅くなりすみません（>_<)
とても詳しく教えて下さりありがとうございました！
メルアドのパスワードとクレカのパスワードなども変更しないといけないなんて恐ろしいですね・・・
非常に困惑しております・・・

とりあえず最後に教えていただいた方法でやってみてダメなら諦めて全て削除いたします。
ただ、一つお伺いしたいのですが、お気に入りにいれていた様々なサイト（ポータルサイトなども含め）も削除しなければならないのでしょうか？
と言うのもあとで読みたいサイトなどもかなりの数がお気に入りに入れており、これを削除してしまうと探すのが大変で・・・
一個一個のアドレスをコピペしてメモ帳などに貼り付けておいてリカバリ後にそれをアドレスバーで読み込めば大丈夫なのでしょうが、
その作業も膨大な時間がかかりそうで＾＾；
お気に入りのサイトにまでウイルスがくっついているのかどうか、ネット切断後に外付けのハードディスクにお気に入りだけうつしておいて大丈夫なものか。
つまり外付けのHDDにまでウイルスがくっついてくるのかどうか。その辺はどうでしょうか？


＞まず、その解除code?を説明している掲示板、ブログなどを紹介してください。

確か以下のサイトでした。
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware-cryptowall.htm

とにもかくにも大変ご親切な回答大変感謝しております。
ありがとうございます。

一個一個のアドレスをコピペしてメモ帳などに貼り付けておいてリカバリ後にそれをアドレスバーで読み込めば大丈夫なのでしょうが、
その作業も膨大な時間がかかりそうで＾＾；

↑

返信が遅くなりました。アドレス（URL)をメモ帳などにコピペし、あとで、それを参考に新しいお気に入りを作成する方法なら安全だと想いますよ。

今回の感染は、脆弱性対策が欠けていたこと、あるいは、標的型攻撃メールの添付ファイル（URL）をクリックして、攻撃の直撃を受けたものだと推測しています。ウイルス対策ソフトで保護するのではなくて、脆弱性対策でPCを保護するという考え方を最優先されてください。

そして、今回は、HDDの全領域をすべてフォーマットするというリカバリの仕方をしてください。中途半端なリカバリは、全く効果なく、再感染するだけです。リカバリ後、windows updateから開始し、windows updateが完了したら、ウイルス対策ソフトをインストールし、次に脆弱性対策です。PCにインストールされているすべてのアプリケーションを最新の状態に維持してください。adobe関係は特に危険であり、最新を維持。オラクル社JAVAは、不要ならばアンインストールしてください。

そして、今後は、PCを仮想化して使うという知識も覚えてください。sandboxieという無料の仮想化技術があります。仮想化してPCを運用すれば、攻撃されても感染するのは仮想化されたPC部分であって、この仮想化を解除すれば、現実環境PCには、悪影響が無いのです。

勿論、情報の流出という点では仮想化も意味はありませんが、でも、現実PC環境に悪影響が無いという意味では、実に意味のある方法です。



Bookmark（お気に入り）登録ですね。そのお気持ち、よくわかりますよ。今回の汚染は、あくまでもファイルを暗号化して、金を強請りとる身代金犯罪が目的なので、感染力という意味では、ファイルの暗号化だけが突出して強力なだけであって、それ以外の感染については、あっさりしたものだと指摘されています。

私は全く同じウイルスに2015年4月に感染しました。
絶望でした。結婚式一週間前で、プロフィールムービーや
オープニングムービーを作成し完成したときにファイルを変換する無料ソフトダウンロード時にウイルス感染。
15年間分の写真、曲データ全てぶっ飛びました。
ちなみにその時さしたUSBも感染。
前撮りの写真データ。
何ヶ月もかけて作った生い立ちムービーが
DVDに書き換え直前に起こってしまい。作り直すのにも
時間がないし、元になるデータ思い出がいっきにぶっ飛び
放心状態となりました。
パソコンプロの業者に依頼しましたが
前代未聞の最悪的な状態と言われ
パソコンごと渡し暗号解読2.3日
頑張ってもらいましたが
やはり解読、復元は難しいとのこと。
このままの状態ではかなり
危険。のっとられている状態で
個人データはもちろん、カメラ自動起動したり
クレジット情報、ロックナンバー入手される
ウイルスソフトも沢山いれられていて
（ひとつずつウイルスアイコンの説明されながら）
ハードディスクごと変えた方が
いいと言われ、感染ウイルスを一応
USBデータに全て移してもらい
パソコンは全くの初期状態で
かえってきました。泣
金額もなんと4万かかり、
パソコン買い換えた方がよかったかなと
。。
それ以降パソコンが怖くなり
毎日のように触ってたパソコンは
めったに開かないようになってしまいました。

あの悪夢は一生わすれない。。
私は現像された写真をパソコンに取りこんだり、
携帯のデータを入れ数少ないデータの中で
仕事を1週間休み結婚式前日に完成しました。
本当は事前に一週間前に渡さないといけなかったのですが。。。結婚式前の一週間は本当に寝ず食わず戦ったので
お陰様で体重も減った状態で本番迎えました泣怒
こんなこと本当に起きてはいけない。
そしてこの身代金はその時迷わずデータが
返ってくるのならば。。と払う気満々だったのですが
日本からは振り込めない口座だとわかったので
諦めるしかなかったのです。
今思うともし振り込めていたとしても
確実に復元する見込みなんて
ないのに。
それくらいその時はパニックいや
地獄でした。
思い出すと今でも涙がでてくる
でも、結婚式で皆が私の学生時代の
写真で動画を作ってくれていて
本当に嬉しくて、嬉しくて
大切に保管してます。
その時に
写真は消えちゃったけど
思い出は消えてはない！！
と実感しました。
あとウイルスバスターのソフトでは
対応できないウイルスだそうです。。

本当に無料ソフトのダウンロードには
気をつけてください！

>ゴミ箱復元ツールを使えば戻るかもみたいな事を見ました。これは効果ありと考えてもよいでしょうか。
確かにあります。効果があるかどうかは、状況によりですが。
一般、このようなソフトは体験版があるので、体験版で試してみれば分かるでしょう。
http://www.android-recovery.jp/recover-deleted-files-from-recycle-bin.html