「ファイルが開けない」
「見たことない拡張子になっている」
この時点で、かなり危険です。
まず落ち着いてください。
結論:まずネットを切る
最優先でやるべきことはネットワークの切断です。
理由はシンプルです。
ランサムウェアは、
- 他のパソコンに広がる
- 共有フォルダを巻き込む
という特徴があります。
例えば、
- 同じネットワーク内のPC
- ファイルサーバー
に一気に広がるケースがあります。
1台の問題が「全社の問題」に変わります
そのため、
まず通信を止めて「広がらない状態」を作ることが重要です。
その端末は触らない
感染した端末は、そのままの状態を維持します。
よくあるのが、
- 再起動する
- 色々操作して確認する
という行動です。
しかしこれには問題があります。
- 状況が変わる
- 原因が分からなくなる
例えば、
- 再起動で一時的に動くように見える
- でも裏では感染が進む
というケースもあります。
「触る=状況を悪化させる可能性がある」
そのため、
確認はせず、まずは現状維持が正解です。
すぐに共有する
この時点で必ず報告します。
- 情シス
- 上司
理由は、
- 1人では対応できない
- 判断が遅れる
ためです。
よくあるのが、
- 「様子を見る」
- 「自分で何とかする」
という判断です。
しかし、
時間が経つほど被害は広がります
実際に、
- 数時間で全体に広がる
ケースもあります。
迷った時点で報告が正解です。
ここからが重要:1台の問題ではない
ランサムウェアは1台で止まりません。
理由は、
- ネットワーク経由で広がる
- アカウントを使って拡散する
ためです。
つまり、
「他もやられている前提」で動く必要があります
他のパソコンも確認する
同じ症状がないか確認します。
- ファイルが開けない
- 拡張子が変わっている(例:.docx → .locked / .encrypted / .xyz など)
- 見慣れないファイル名になっている
例えば、
- report.docx → report.docx.locked
- data.xlsx → data.xlsx.encrypted
のように、
元のファイルがそのまま使えなくなる形で変更されます。
また、フォルダ内のファイルがまとめて同じ拡張子に変わっている場合は、
すでに広範囲で暗号化が進んでいる可能性があります。
共有フォルダを確認する
一番被害が出やすいのがここです。
- ファイルが開けない
- 名前が変わっている
- 一括で壊れている
なぜなら、
- 多くの人がアクセスしている
- 権限が広い
ためです。
共有領域がやられると業務が止まります
なぜこうなるのか
ランサムウェアは、
- いきなり壊すわけではありません
- 内部に入り込んでから広がります
つまり、
気づいた時にはすでに準備が終わっている状態です。
復旧はまだやらない
ここで焦って戻すのは危険です。
よくあるのが、
- バックアップから復元する
という対応です。
しかし、
- 原因が残っていると再感染する
可能性があります。
復旧より先に「安全な状態か」を確認することが重要です
まとめ
まずネットを切る
その端末は触らない
すぐに共有する
1台の問題と思わない
コメント