以前のエントリーで「ランサムウェア Petyaに感染してみました。」というものを投稿しました。そちらはファイル暗号型のランサムウェアではなく、ハードドライブへのアクセスを行えないように人質に取るタイプのものでした。 そのため、Petyaを実行した環境がUAC（ユーザアクセス制御）が有効になっている環境で実行した場合に「いいえ」を選択すると被害に遭うことを回避することが可能でした。

しかし、今回、検証した「Petya & Mischa」はファイル暗号型とディスク暗号型（厳密にはMBRやMFTに作用していおりディスク全体を暗号化していないと思われますが）の双方を備えており、実行時にユーザが変更の許可をUACにて許可するかしないかによって結果が変わるというものでした。

ランサムウェア Petya & Mischaに感染してみました。 | (n)inja csirt

添付ファイルを実行してしまったり、未解消の脆弱性やゼロデイを受けてしまい感染することが避けられないケースがあります。そういったときのために可能な限り短い間隔で自身のファイルのバックアップを取得しておくことも併せて行っておく必要があると思います。この場合には感染する端末がアクセス可能な場所、例えば、ファイルサーバなどに置いていては暗号化されてしまう可能性が大ですので、お勧めはできません。企業内であればクライアントコンピュータからアクセスできないところにバックアップを取るようにし、個人であればクラウドに保存するか物理的にDVDなどのメディアに保存することをお勧めします。 そうしていれば金銭を支払わずともある程度の復旧が可能となります。

ランサムウェア Petya & Mischaに感染してみました。 | (n)inja csirt