ランサムウェアの多くは、感染時にファイルの拡張子を書き換えたり、脅迫文(ランサムノート)を残すなど、特有のサインを残します。
本記事では、代表的な拡張子・ノート名の一覧とともに、感染時の対処法や被害事例、フォレンジック調査の必要性までを網羅的に解説します。
「この拡張子、もしかして危ない?」と気づいたとき、何をすべきかがすぐにわかる内容になっています。
>>ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
ランサムウェアとは
ランサムウェアとは、感染したコンピューターのファイルやシステムを暗号化・ロックし、元に戻す(復号する)ために金銭(身代金)を要求するマルウェアの一種です。企業や自治体などを標的にした「標的型ランサム攻撃」が増加しており、被害が深刻化しています。
攻撃者は「暗号化されたファイルを復元したければ、指定された方法で支払いをしてください。」などと記載されたランサムノート(脅迫文)を残すのが一般的です。
>>ランサムウェアとは何か?特徴・感染経路・初動対応を全面解説
>>【実例あり】ランサムウェア被害事例を徹底解説|感染対策とおすすめ調査会社も紹介
ランサムウェア拡張子一覧
ランサムウェアに感染すると、ファイルの拡張子が「.encrypted」や「.lockbit」などに書き換えられることが多く、これにより感染を判別できます。下記は、代表的なランサムウェアの拡張子とランサムノートの一覧です。
| ランサムウェア名 | 拡張子 | ランサムノート名 |
|---|---|---|
| 8base | .8base | 8BASE_README.TXT |
| Akira | .akira | akira_readme.txt |
| Albabat | .albabat | ALBABAT_README.txt |
| Anubis | .anubis | anubis_info.txt |
| Babuk2 | .babuk | How To Restore Your Files.txt |
| BianLian | .bianlian | Look at this instruction.txt |
| BlackCat (ALPHV) | .alphv | RECOVER-README.txt |
| BlackDream | .blackdream | blackdream_readme.txt |
| Blacksuit | .blacksuit | README.txt |
| BuLock | .bulock | HOW_TO_DECRYPT.txt |
| Cactus | .cactus | CACTUS_README.txt |
| Cl0p | .clop | Cl0pReadMe.txt |
| Devman | .devman | _DEVMAN_RESTORE_.txt |
| Dire Wolf | .direwolf | _README_.txt |
| DragonForce | .dragonforce | readme.txt |
| eCh0raix | .ech0raix | README_FOR_RESTORE.txt |
| Gunra | .gunra | gunra_recover.txt |
| INC | .inc | INC_README.txt |
| LockBit 2.0 | .lockbit | Restore-My-Files.txt |
| LockBit 3.0 | .lockbit3 | Restore-My-Files.txt |
| Makop | .makop | readme-warning.txt |
| Mallox | .mallox | mallox_readme.txt |
| MEDUSA | .medusa | !!!MEDUSA_HOW_TO_RESTORE!!!.txt |
| NightSpire | .nspire | NightSpire_readme.txt |
| Play | .play | ReadMe.txt |
| Qilin | .qilin | QILIN_README.txt |
| Ragnar Locker | .ragnar | RAGNAR_README.txt |
| Ransomhub | .ransomhub | recover-files.txt |
| Royal | .royal | README.txt |
| SafePay | .safepay | !!!READ_ME!!!.txt |
上記のような拡張子にファイルが書き換えられていた場合、ランサムウェアに感染している可能性が極めて高いと考えられます。表に挙げたのは現在流行している主なランサムウェアですが、他にも多数の種類が確認されており、手口や拡張子も日々進化しています。
暗号化されたファイルは通常の方法では開くことができず、ほとんどのケースで「ランサムノート」と呼ばれる脅迫メッセージが出現します。そこには復旧手段と引き換えに「身代金を支払え」といった内容が書かれていますが、指示に従ってもデータが復旧される保証は一切ありません。
拡張子の異常やランサムノートを発見した場合は、焦って操作せず、まずインターネットから切断し、フォレンジック調査会社などの専門機関に相談することを強く推奨します。早期の対応が、被害の拡大防止と証拠保全につながります。
>>おすすめのフォレンジック調査会社一覧|選び方・依頼の流れを解説
ランサムウェアに感染した時の対処法
ランサムウェアに感染した場合、感染を広げないための隔離対応と、証拠を残すための保全措置が最優先となります。特に法人においては、被害の全容解明や法的報告義務も発生するため、段階的かつ正確な初動対応が求められます。
以下は、感染時に取るべき代表的な対応手順です。
- ネットワークからの切断: 感染端末を社内ネットワークから隔離し、被害の拡大を防ぐ
- ログなどのデータを収集: 感染日時、ユーザー操作、通信履歴などを記録し保全
- 警察・関係機関への相談: 所轄のサイバー犯罪窓口やIPA等へ被害報告
- バックアップからのデータ復旧: 安全なバックアップを使用し、システムを初期化・復旧
- 専門調査会社への相談: 感染範囲・原因・証拠保全・報告書作成などを依頼
情報漏洩と個人情報保護法への対応
ランサムウェアは、近年「ファイル暗号化」に加え、情報窃取・リークサイトでの公開など、二重脅迫型の傾向も見られます。これにより、個人情報が外部に流出した可能性が高まります。
法人においては、2022年施行の改正個人情報保護法により、「漏えい等が発生した場合の報告義務・本人通知義務」が規定されています。感染時は速やかに、被害調査を実施し、報告対象か否かを判断する必要があります。詳細は以下の記事に参考ください。
被害調査とフォレンジック調査の重要性
ランサムウェア被害の対応では、単なる復旧(ファイル復元)だけでなく、なぜ侵入されたのか、どこまで被害が広がったのかを調査・説明する責任があります。これは社内説明、顧客・監督官庁への報告、訴訟対応のすべてに影響します。
そのため、デジタルフォレンジック調査によって「感染経路」「被害範囲」「漏洩の有無」「操作証拠」「内部不正の可能性」などを客観的に把握することが極めて重要です。また、調査会社は必要に応じて、法執行機関との連携・報告書の作成・再発防止策の策定支援などにも対応しており、内部リソースではカバーしきれない範囲を担ってくれます。
>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介
このような高度なサイバー攻撃には、社内リソースだけでは限界があります。 被害を最小限に抑えるためにも、信頼できる外部フォレンジック調査会社との連携を進めましょう。
>>フォレンジック調査会社の選び方|費用・期間・おすすめ企業を解説
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。
こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、法人様は最短30分でWeb面談可能、といったスピード対応も行っています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
注意すべきファイル形式一覧
以下の拡張子は、ランサムウェアに感染しやすい代表的なファイル形式です。これらのファイルが添付された不審なメールには特に注意が必要です。
- .zip: 圧縮ファイル(複数ファイルをまとめて隠すのに使われる)
- .7z: セキュリティ製品の検知を回避しやすい圧縮形式
- .pdf: 一見安全に見えるが、リンクやスクリプトが埋め込まれることがある
- .docx: マクロやスクリプトが仕込まれたWord文書が多く確認されている
- .xlsx: Excelファイルも同様にマクロ付きで悪用されるケースあり
これらのファイルを使った攻撃では、件名や本文が巧妙に作られ、「請求書」「見積書」「人事資料」など受信者に開かせるための偽装がされているのが特徴です。心当たりのないメールに添付されたこれらの形式のファイルは、安易に開かず必ず確認をしてください。
まとめ
不審な拡張子やランサムノートの存在に気づいたとき、すでに攻撃が進行している可能性があります。
その時点でできる最も確実な対応が、証拠を保全し、フォレンジック調査によって攻撃の全容を明らかにすることです。
「どこから侵入されたのか?」「どの端末が暗号化されたのか?」を把握せずに対処を進めると、証拠の消失や対応の遅れに繋がることもあります。まずは専門家の支援を受けることをおすすめします。