海外に本社がある会社なのですが、

本社からのメールに添付されていたファイルを実行したところ、

デスクトップのファイルなどが開かなくなった、

メールは開くことができるし、添付ファイルも開けるとの事。

訪問して確認したところ、ファイルもたくさん追加されている。

まだ、駆除されていない状況と判断して、

スタートアップ、レジストリ、タスクなどの自動起動をチェックし、

復元を行い感染前に戻しました。

復元後に不要なレジストリの削除などを行ったうえで、

ファイルの確認を行いました。

1つのフォルダに4つのファイルが増やされており、

その中身は、TXT、JPG、URL、HTMLのファイル。

開いてみると、身代金の要求画面でした。

そう、ランサムウェアにかかってしまったのでした。

ファイルは暗号化されるために開くことができません。

後から見つけたのですが、このサイトと同じです。

http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware-cryptowall.htm

本来であれば、メールもやられるのではと思ったのですが、

メールソフトがThunderbirdだったので助かったみたいです。

メールを見せてもらったのですが、

本社のAdministratorから、社外秘（英語）のメールが来ており、

ZIPファイルが添付してありました。

架空の日本のアドレスに送信してあったので、

もしかして、全員に行ってる！？

ということで、他の人に聞いたところ、

「削除しました。」

「また、社長が全員に開けないように」

とのメールを出したとこことです。

駆除の確認をした後で、TXT、JPG、URL、HTMLのファイルを

検索したところ、800以上のファイルがありました、

200以上のファイルを暗号化されたようです。

あれ、ネットワークドライブがあるぞ、まさか。。。

やられました、検索したところ1600以上のファイルを発見、

400以上のファイルがやられてしまいました。。。

厄介なことですが、ファイルを修復すことができません。

一部のランサムウェアでは、ファイルの復元を利用すれば良かったり、

以下のページで修復できる場合もあります。

https://www.decryptcryptolocker.com/

今回はバックアップなどから復元することになりました。

最新の部分などは復元できない場合もありますので、

バックアップ方法なども、改善することになりました。

ウイルス感染しないようにすることも大事ですし、

バックアップの大切さも身に染みました。