sporaの駆除対応を行いました。(その1)
ランサムウェア『Spora』の出張診断
Spora Ransomwareとは今年の1月からロシアを中心に広まったウイルスで日本国内では2月になって増えてきたランサムウェア(身代金ウイルス)です。
Sporaに感染したお客様からは、駆除とデータ復旧などのご相談をでした。今回、6台のパソコンが感染し、急ぎ何とか使えるようにしたいとのことです。
1台の感染でしたら、お持込み頂いたり郵送頂いて当社内で診断する場合がほとんどですが、流石に6台感染では現地調査する必要がありますので、19時ご相談のお電話→翌朝9時半にご訪問させて頂きました。
まずは感染した経緯などのヒアリングをおこなった後、実際に感染したPCの診断を開始しました。
PCを起動後にでてきたウインドウが上の写真です。
このウインドウはSporaウイルスによってプログラムのスタートアップに追加されたhtmlファイルによって表示されます。
このウインドウ内にはPC内のファイルがRSA-1024で暗号化されたこと、支払いをすることによってファイルを取り戻せることなどが記載されています。
次に実際にPCに保存されているファイルですが、症状がいくつかあります。
- ファイル名や拡張子はそのまま(元のまま)ですが、そのファイルを開こうとすると『ファイルが破損している可能性があります。』といったメッセージがでます。
- 開くことができないファイルは、 .xls、.xlsx、.doc、.docx、.pdf、.zip、.rar、.7z、.jpg、.jpeg、.backup、.rtf、.dwg、.cdr、.cd、.mdb、.1cd、.odp、.psd、.dbf、.sqlite、.accdb、.tiff の23種類が確認されております。
- 暗号化中に開いていたファイルは暗号化されずに残ります。
- フォルダがショートカットに化けます。そのショートカットをクリックすると特定のファイルが起動されます。
- フォルダに入っていたファイルの配置が変わります。
- ログインユーザーの名前やアイコンが変わります。
- ネットワークで共有されていたファイルも暗号化されます。
以上が確認されているSporaウイルスの症状です。
今回の会社様も同じような症状がでておりました。
ご訪問させて頂いた会社様には全部で9台のパソコンがあり、内1台はネットワークに繋がっていない状態です。
念のため全台検査させて頂きましたところ、Sporaウイルスに感染していたPCは4台でした。
これほど多数のパソコンにランサムウェアが感染した事例は少ないです。
更に他のパソコンにもランサムウェアではありませんが、スパイウェアやトロイなど多数のマルウェア、ウイルスがみつかりました。
お話を伺うとメールの添付ファイルには気をつけていたとのことですが、adobe製品が最新になっていない、javaのアップデートがなされていない、ウイルス対策ソフトの期限が切れている、WindowsXPのPCがあるなどかなり危険な状態で運用されておりましたので、原因となりえる要因は多数あり、きっかけとなった原因を特定することは難しいと思われます。
Sporaウイルスの駆除
Sporaの駆除自体はいくつかのウイルス対策ソフトで可能ですが、普通にWindowsを起動した状態からでは駆除できないことがあるため、セーフモードなどを使ってウイルスを駆除していきます。上記写真は実際に検出されたRansom.Sporaです。
最終的には同じものがいくつも出てくることが多いです。今回、8台の駆除をおこないましたのでかなり時間がかかりましたが、駆除自体は問題なく完了しました。
ただ、暗号化されたファイルなどはそのまま残ります。
Sporaはランサムウェア(身代金ウイルス)
Sporaはランサムウェア=身代金ウイルスですので、ファイルを取り戻したければお金を支払えと身代金を要求してきます。要求画面を開いてみると、日本語ではありませんが非常にユーザーインターフェースに優れた、通販サイトのカートシステムのようなページになっています。ページ内を見てみると、、、2ファイルまでならお試しで復旧可能、1ファイルだけなら40ドル、全ファイルなら190ドルとこれまでに比べ要求が被害者側のニーズに合わせて細分化されています。最近のランサムウェアの要求額はかなり高騰していましたので、比較的良心的?といってはいけませんが、低めの要求額に抑えられています。
ただし、PCごとに支払う必要がありますので、4台全部となるとそれなりの金額になります。更には4台中1台は要求額が190ドルではなく380ドルと倍額になっておりました。となると全部で10万円ぐらいでしょうか。支払い方法については、これまではビットコイン換算での要求が常でしたが、ドル換算で要求しています。(実際の取引はビットコインです。)
他にもユーザーサポートのようにチャットで犯罪者側とやり取りできるチャットがあります。かなり頻繁に更新されていますが、もしかして世界のどこかにサポートセンターのような施設があるのでしょうか、、、。1点気をつけないといけないのは、期限が設けられていることです、今回は6日とでていますが、グラフをみると既に数日経過しているような表示です。もともとは更に多い日数だったかもしれません。その日数を過ぎるとどうなるのかも記載されています。今回の例では約1.5倍程度に要求額が増額されるようです。ちなみに実際の支払い画面などもこの先にありますが、支払いはビットコインでの支払いになりますのでビットコインを扱える口座などが必要になります。
ただし、重要なのは支払いをおこなってもデータが戻ってくる保証はどこにもないということです。
最悪お金を騙し取られてデータも戻ってこないという可能性があります。更には犯罪者へお金を渡すということがいいのか?という倫理的な問題もございます。今回お客様からデータの復元作業はおこなわなくても良いとのことでしたので、作業としては駆除作業のみさせていただきました。ただ、今後の対策などは必要ですので、バックアップ手法、運用方法、セキュリティ対策など、比較的安易なところからできる対策をご提案させて頂くこととなりました。
これまではウイルスにはそうそう感染しない、感染しても駆除すれば大丈夫という認識の方が多かった(実際にそうだった)わけですが、最近では本当に普通の一般企業様がある日突然感染するようになりました。
今回のSporaについてはこのご相談を受けた翌日にも駆除とデータ復旧のご依頼を頂戴いたしました。
ランサムウェア全体ではほぼ毎日ご相談を頂戴しております。
お急ぎの場合は出張でのご相談も承っておりますので、同じような症状でお悩みの方はお気軽にご相談ください。
データ復旧クイックマン
大阪市中央区南船場2-12-10ダイゼンビル4F
https://www.quickman-pc.com/rescue/