感染ファイルの復元

注:

この機能は、Windowsのエンドポイントでのみ使用できます。

セキュリティエージェントでは、感染しているファイルや添付ファイルが暗号化されます。これは、ユーザがそのファイルを開いてウイルスや不正プログラムをエンドポイント上の他のファイルに感染させることを防ぐためです。隔離ファイルは、通常、エンドポイント

セキュリティエージェントは、感染したファイルのバックアップ、隔離、または名前変更時にファイルを暗号化します。隔離ファイルは、通常、エンドポイントのC:\Program Files\Trend Micro\Client Server Security Agent\Suspectフォルダに保存されます。バックアップファイルは、通常、エンドポイントC:\Program Files\Trend Micro\Client Server Security Agent\Backupフォルダに保存されます。

場合によっては、感染していることを承知のうえでファイルを開かなくてはならないことがあります。たとえば、重要な文書が感染し、その文書内の情報を取得する必要がある場合、情報を取得するためには、感染したファイルの暗号化処理を復号する必要があります。開く必要のある感染ファイルを復号化するには、このツールを使用してください。

暗号化されたファイルの復元には、次の作業が必要です:

  1. 暗号化されたファイルを復元するフォルダをセキュリティ検索から除外します。

    詳細については、検索対象からのフォルダの除外を参照してください。

  2. ウイルスバスター ビジネスセキュリティサービス Webコンソールからツールをダウンロードします。

    ダウンロードリンク: [管理] > [ツール] > [感染ファイルの復元]

    ZIPファイルには次のファイルが含まれています。

    • メインファイル: VSEncode.exeRestoreSpyware.exeRestoreSpyware_64x.exe

    • 必要なDLLファイル:VSAPI32.dll

  3. ツールのコピーをエンドポイントに保存します。

    注:

    VSEncryptフォルダは次のフォルダにコピーしないでください:

    C:\Program Files\Trend Micro\Client Server Security Agent\

    このツールのVSAPI32.dllファイルは、セキュリティエージェントのフォルダで元のVSAPI32.dllファイルと競合します。

  4. 次のいずれかの方法で、感染ファイルを復元します:

このツールでは次のログを取得できます。

  • VSEncrypt.log: 暗号化または復号の詳細が含まれています。このファイルは、エンドポイントにログオンしているユーザの一時フォルダに自動的に作成されます (通常はC:ドライブ内)。

  • VSEncDbg.log: デバッグの詳細が含まれています。このファイルは、エンドポイントにログオンしているユーザの一時フォルダに自動的に作成されます (通常はC:ドライブ内)。ただし、-debugパラメータを指定してVSEncode.exeを実行する必要があります。