Ygkzランサムウェア!調査結果と現時点の復号方法

人は言う「まさか自分が・・・」

はい、私もそう言いたい。
後悔先に立たずとはよく言ったものですね。

はっきり言って愚かな自分をシバきたい。
そしてランサムウェアに感染した今日この日の教訓をしっかり胸に刻むことを誓います。

自分への誓い、同じような被害者の方への情報共有もかねて「ランサムウェア」についてご紹介いたします。

私がかかったのはYkgzというランサムウェアです。
結論から言うと2021/2/13時点では完全な復号は不可能でした。

が、もしどなたか「復号できるで!」という情報をお持ちであれば、是非ご連絡ください。

目次

ランサムウェアとは

ランサムウェアって何かご存じですか?

おそらくウィルスと聞くと「パソコンの破壊」「遠隔操作」などパソコンが動かなくなったり、犯罪の片棒を担がされたりといったものをイメージするかと思います。
ところが!

ランサムウェアというウィルスは通常イメージされるものとは違った目的を持ちます。

いうなれば「身代金誘拐」です。
身代金が目的であるためパソコン自体が壊れてしまうというものではありません。

もう少し詳しく理解してもらうために以下警察庁の文言を引用します。

このウィルスに感染するとパソコン内に保存しているデータを勝手に暗号化されて使えない状態になったり、スマートフォンが操作不能になったりしてしまいます。
また、感染した端末の中のファイルが暗号化されるのみではなく、その端末と接続された別のストレージも暗号化される場合もあります。
そして、その制限を解除するための身代金を要求する画面を表示させるというウイルスです。

警察庁サイバー犯罪プロジェクト

かみ砕いていうと

ランサムウェアに感染!

ファイルが暗号化される

ファイルを開けない(暗号化を解除できない)

ランサムウェア作成者から「暗号化を説いて欲しければお金を払え」というメッセージがくる

といった具合に我々の大事なファイルを勝手にロックしてしまい、解除料金を請求してくるという質の悪いウィルスです。

ランサムウェアに感染した場合の選択肢としては3つです。

  • お金を支払う
  • 自力で復号(暗号化の解除)する
  • データを諦める

お分かりのこととは思いますが、実質2つですね。
お金を支払ったとしても、ちゃんと暗号化を解いてくれるかどうかは判りません。

最も望ましい対応としては『自力での復号』ですが、それができない場合は『データを諦める』というのも頭の片隅に置いておいた方がいいです。

しかし、復号の難易度も簡単ではありません。
システムエンジニアである私自身もかなり苦戦しています。

ここからは正直、運の要素もありますが、私が感染したYgkzというランサムウェアと、
私自身が行った対応について紹介していきます。

私が感染したランサムウェアと調査結果

Ygkzランサムウェアに感染後

「ファイルを暗号化する」ランサムウェアと紹介しましたが、実際にどういう状態になったのか。

パソコン内のファイルがすべて『ファイル名.ygkz』という拡張子に変えられてしまいます。

皆さんは拡張子をご存じでしょうか?
拡張子というのは『ファイル種類』を表す記号と思ってください。

有名なものだと

テキストファイルなら『ファイル名.txt』
Excelなら『ファイル名.xlsx』
PDFなら『ファイル名.pdf』
画像なら『ファイル名.jpg』
などなど

いろんな種類があります。
そんなファイルの種類である拡張子を強制的にすべて『.ygkz』というものに変えてしまいます。

こうなってしまうとパソコンは
「ygkzってなんのファイルや??」
となってしまい、ファイルを開こうとしても開けません。

「じゃあ、ファイル名変えたらいいやん」

と考えつく方もいるかもしれませんね。

もちろん、ファイル名を単純に変更しても開けません
※一縷の望みをかけて変えてみましたがダメでした

例でいう逆のファイル名にしてみる訳です。

テキスト.txt.ygkz

テキスト.txt

ファイル名を変更すると見た目上は元に戻っている風になりますが、
もちろんそんなに甘い話ではありません。

システム的には暗号化されているので、仮にファイル名を元に戻してから開いたとしたら、
「ファイルは破損しています」のようなメッセージが表示され開くことはできません。

そして、さらに嫌なところが『Ygkzで暗号化されるのは1つのファイルではなく全てのファイル』だというところです。

私の場合、パソコンにハードディスクを4つ程搭載しているのですが、すべてのハードディスクを跨ってファイルが暗号化されてしまいました。
なので動画や音楽、写真はもちろんのこと書類系のものも根こそぎ全て開けなくなってしまったのです。

ただし、冒頭でもお話しましたが、ランサムウェアの目的はあくまでも身代金です。
Ygkzランサムウェアに感染してしまった私の端末は、起動・アプリケーションの使用という面では、
ほぼウィルスによる影響はありませんでした。

調査

もちろん、まず私が目指したのは『自力での復号』です。
Ygkzランサムウェアでは今回、復号にはいたりませんでしたが、
その他のランサムウェアであれば対応ができる可能性はあります。


IPAにランサムウェアの特設ページが記載されていました。

No More Ransomポータルサイト

こちらのサイトではランサムウェアに感染したファイルをアップロードすることで、復号ツールを紹介してくれます。

残念ながらYgkzランサムウェアに感染したファイルをアップロードすると、
以下のようなメッセージが表示されてしまいます。

Ygkzランサムウェア検索結果

ここで注目していただきたいのは “現時点では” Ygkzランサムウェアの解除方法がない ということです。

しかし、さらに興味深いのが、
『将来、解決策が見つかる可能性があるため、暗号化されたファイルをバックアップすることを推奨』
という記述です。

そうです。
今、復号することはできないのですが、この手の類は常に『たちごっこ』状態です。

Ygkzランサムウェアに関しても同じく『未来では復号できる可能性』があります。

つまり『来世に掛けろ!』的な考え方です。

なので現時点では復号を諦めて、データを退避しておきましょう。
きっと復号ツールが世に出回るはず!(どなたか偉い人お願いします!!)

ygkzランサムウェアの復号を調べるにあたっていろんなサイトを見ましたが、
以下のサイトが一番わかりやすいかなと思います。

もう少し詳しく知りたいという方は確認してみてください。

諦めきれない方用!現時点でできる復号を試してみては?

IPAの言っていることはもっともだが諦めきれない!

という方に可能性はかなり薄いのですが、現時点でデータを拾えるツールが2つあります。
両ツールとも下記サイトで紹介されています。

両方のツールを試しましたが、拾えたデータはほんの一部です。
やはり基本的に復号はできないと思っていただいた方がいいです。

「それでもわずかな可能性に掛ける!」

という意思のある方だけ挑戦してみてください。

HOW TO FIX

事前準備

ツールが必要なのでインストールはしないといけないのですが、
復号実行前にまず『複合先のフォルダ』を用意してください。

私は復号って暗号化されたフォルダがその場で元に戻るものだと思っていたのですが、
復号ツールを実行すると別フォルダに『復号後のファイルが作られる』という状態になります。

それもYgkzランサムウェアの特徴なのか、ゴミデータがめちゃくちゃ出てきます。
最初なにも考えずに復号を実行してしまい容量が足りなくなって終了してしまいました。

なので、十分な容量を確保できるように、かつ出来れば別HDDに復号できるように実行した方がいいでしょう。

私の場合は暗号化されてしまったHDDの内、バックアップ用HDDがあったので、
それを初期化して復号先に指定しました。

EMSISOFT Decryptor

私の場合は復号することはできませんでしたが、EMSISOFT Decrytorで復号できる可能性があります。
以下のサイトに記載されていますので、一度試してみてはいかがでしょうか。

EMSISOFT Decryptorのダウンロードはこちら >>

実行後にエラーメッセージがでてきてしまいました。
エラーを調べてみたところ

This is a newer variant of STOP/Djvu, and your ID is an online ID, so there is currently no way to decrypt your files. There is more information at the following link

参考サイト

この「最新のウイルスやから現時点で復号ムリ」というコメントを見て私は現時点での復号を内心諦めてしまいました。

QPhotoRec

QPhotoRecというツールがあります。

!実行前に注意!

ゴミや思いもよらないデータが出てくるので容量をめちゃくちゃ消費します。
なのでまずは1つの拡張子だけで復号を試し、どのぐらい容量が必要か計算しておきましょう。

ちなみに私の場合、複合処理後に以下のようなフォルダが作られました。

拡張子フォルダ数1フォルダ内のファイル数1フォルダの容量
jpg84188173MB
png2505003M

こんなに大量のファイルができてしまうのに、99%近くはゴミデータです。
そんなファイル数の選別はパッパやっていかないと終わりません。

なので、フォルダを開いた時の表示は『大アイコン』にしておくことをお勧めします。
そうしておけばファイルを開かずとも確認できるので捗ります!

私がpngを復元したときのフォルダを一部サンプルとして挙げておきます。
以下のようにファイル名は変わっていますし、ここに写っているのは全てゴミデータです。

これを250フォルダすべてみなければなりません。
すごい大変なのでぱっと見で判断していきましょう。

復元後のファイル

sshttps://support.emsisoft.com/topic/32641-new-variant-offline-id/

Follow me!


よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

コメント

コメント一覧 (1件)

コメントする

目次