ランサムウェアは巧妙なものも続々と登場しており、減少の兆しが見えません。
ウイルス対策ソフトだけでの対応は難しくなってきています。
ランサムウェアのうちよく知られた多くの物は、ウイルス対策ソフトによって検出および駆除が可能です。
しかし、ランサムウエアの被害軽減策を考えた場合、バックアップによる対策は必須と言えるでしょう。
予防策は多層的にし、一刻も早く被害に気づけるようにすることで安心度を上げることができるでしょう。
ランサムウエア対策の基本
ランサムウェアへの多層的な対策アプローチとして、2種類が考えられます。
- ランサムウェアへの感染前に検出する方法
複数の対策方法がある。
代表的なものとしては、アプリケーションホワイトリストを用いる方法や、ウイルス対策ベンダーが公開しているランサムウェア対策専用ツールの利用があげられる。
- ファイルが暗号化されたことを検出する方法
トラップファイルを用いる方法。
Cybereason社の「RansomFree」
ランサムウェアがアクセスする確率の高いフォルダーへ設置しておき、それが暗号化された場合に検出を行うなど。
RansomFreeによる暗号化の検出
ランサムウェアによるファイルの暗号化を検出するためのツールとして、Cybereason社の「RansomFree」があります。
- ツール名:RansomFree
- 使用目的:ファイルの暗号化の検出
- 入手方法:https:// ransomfree.cybereason.com/
インストールユーザーの権限を設定する
ダウンロードしたインストーラーが正常に実行できないことがあるが、管理者権限でインストールするか、利用しているユーザーを「信頼されたユーザ」に登録することで回避することができます。
SecureAPlusの画面を開き、「その他」→「ユーザ権利の管理」→「信頼されたユーザ」に、ユーザーIDの追加を行います。
RansomFreeのインストール
インストーラーをダウンロードしたら、該当ファイルをダブルクリックし、インストールを行います。
セットアップ完了画面が表示されれば、インストールは完了です。
ツールの仕組み
このツールは、あらかじめ設置した囮であるトラップファイルの状態の変化を検出することで被害を検出します。
インストールしたドライブの直下にフォルダーが作成され、トラップファイル群が様々な形式で用意されます。
このトラップファイル群を、ランサムウェアが暗号化の対象とする可能性が高い複数のフォルダーに設置します。
トラップファイルに対して暗号化処理が始まったと判断された場合には、アラートが表示されます。
アラート内の「View affected files」をクリックすると、暗号化された可能性のあるファイル群を確認することができます。
同様に表示される「Stop & clean the threat?」の項目の「Yes」を選択することで、暗号化処理の原因となるプロセスの停止、除去を行うことができます。
RansomFreeのメリットとデメリット
ランサムウェアの被害に高い確率で気づくことができる事は、事後対応の観点で非常に有効といえます。
しかしこれは、防止にフォーカスしたツールではありません。
いくつかのトラップファイルが暗号化された後に検出することもあるでしょう。
そのため、他の予防ツールと組み合わせて利用することで効果を発揮するものであるという認識を持つべきでしょう。