久しぶりの記事ですが、先日けっこう”やりがいのある仕事”に当たりました。
「マイドキュメントに保存していたエクセルの書類が、全部白紙になってしまった!」とのことです。
とりあえず訪問して拝見すると、なるほどそのとおりです。
かなりの数の大事な書類が保存されていたのですが、どれを開いても、下の写真のように「Hack by Debugger !!!」とA1のセルに書かれているだけになっています。
ほとんどの方は、この時点で泣く泣く諦めてしまわれる場合が多いでしょう。
とりあえずお預かりして帰り、じっくり観察してみました。すると、いくつかのことに気がつきました。
“Debugger”に”Hack”された書類は、容量を見ると、すべて同じ容量で、数キロバイトしかありません。書類の内容が消去されたのでこんな容量になったのだろう、と思われます。
しかし、それらの書類が入っているフォルダ丸ごとの容量を見てみると、数十メガバイトもあり、書類の枚数を考えると、計算が合いません。
「もしや!?」と思い、フォルダオプションの「表示オプション」から「すべてのファイルとフォルダを表示する」に切り替えて見ます。しかし、見た目は何も変化ありません。そこで、さらに表示オプションから「保護されたオペレーティングシステムファイルを表示しない(推奨)」のチェックもはずして見ました。すると、案の定、今まで見えなかったものが見えました。
説明を省いているんですが、最初にHDDを取り出し、別のマシンにぶら下げて、ウイルス駆除を済ませています。二枚目の写真は、駆除した後の画像です。ファイル名は伏せていますが、状態としては同じファイル名の書類がすべて2つずつ存在しているのがお分かりかと思います。同じファイル名で通常の可視ファイルと、ちょっと色が薄い不可視ファイルです。ウイルス駆除する前は、もうひとつ同じ名前のファイルがありました。
つまり、可視・不可視の違いと拡張子の違いで、同じファイル名が3つで1セットになっていました。
例として書くと、ひとつは、可視ファイルの001.xls、そして不可視ファイルの001.xls、そしてもうひとつ、不可視ファイルの001.exeとなります。
この.exeファイルが、言うまでもなくウイルス本体です。こいつが「Hack by Debugger !!!」と書かれたニセモノの可視001.xlsを作り、本来の001.xlsを不可視ファイルに属性変更しているようです。だから、本物は、消えたわけではなく、見えないように隠されて、偽者だけが見えるようにされているのです。
今回は、システムそのものはリカバリされても構わない、ということでしたので、簡単です。
対処法としては、
・ウイルスを対策ソフトで駆除(リカバリするなら、駆除の必要はない)
・「フォルダオプション」→「表示」で「すべてのファイルとフォルダを表示する」と「保護されたオペレーティングシステムファイルを表示しない(推奨)」のチェックを外し、表示された不可視ファイルになっている必要なファイルを別の場所に退避させる。(まとめてひとつのフォルダに入れたほうがいいかも)
・卓駆などのファイル管理ソフトで、退避させた書類の属性を可視状態に戻す。
・システムをリカバリして救出したファイルを然るべき場所に戻す。
ひょっとして、まだどこかにウイルスが潜んでいるかもしれない、という不安もなくなり、これが一番安全で確実な方法だと思います。
しかし、よくこんなイタズラを考え付きますね、>>ウイルスの作者
ブログがお役に立ったら、一言残していただけると、励みになります。