ランサムウェアと「システムの復元」

ASCII.jpに、やや気になる記事がありました。

ウイルス対策ソフトで有名なMcAfeeが連載しているコーナー「せきゅラボ」の、2017/12/22の記事です。

Windows がランサムウェアに感染してしまった場合の復旧(できるかもしれない)手段として、「システムの復元」が紹介されているのですが、やや説明不足に思えます。

 





   




   

 

「システムの復元」は、Windows  の標準機能として搭載されている「バックアップ&復元」機能です。

ですが、PCの中身を丸ごとバックアップし、完全に元どおりにできるわけでありません。

大雑把に説明すると、復元の対象は文字通り「システム(OSやアプリケーション)そのもの」に限られています。

そのため、例えば「更新プログラム適用後、どうもOSの動作がおかしい・・・ 適用前の状態に戻したい!」というケースにおいて有効な機能です。

ユーザー自身が作成してデスクトップやドキュメントフォルダに保存しているファイル等を維持したまま、OSの状態だけをバックアップ時点(これを復元ポイントと呼びます)にまで戻すことができるわけです。

※あくまでも大雑把な説明です。

 

 

たしかに、ランサムウェアによってOSそのものがダメージを受けた場合は、感染前の復元ポイントに戻すことで正常化できる可能性があります。

しかし、その他の「ユーザー自身が作成したデータ」については復元の対象外なので、正常化できる望みはまず有りません。

システムの復元後も、ランサムウェアによって暗号化された状態が維持されます。

 

 

問題の記事では、復元対象外のデータについて「復元ポイント以降に作成されたデータについては復元されない」と書いているのですが、この説明は誤りと言ってよいと思います。

記事からリンクされているMicrosoftのサポートサイトをよく読めば、正しい説明がちゃんと書いてあるんですけどね。