ランサムウェア『Locky、Zepto、odin』の駆除とデータ復旧
ランサムウェアの新種『odin』の拡散
ランサムウェアの新種『odin』が9月27日より拡散しております。
Locky、Zeptoに次ぐ新種になります。
最近のランサムウェアによる攻撃はかなり組織的で、新種がでると同時に世界中へ配布されます。
ランサムウェアの最大の問題点はウイルスを駆除しても暗号化されたファイルは戻らないということです。
弊社にもお問合せや駆除、データ復旧のご依頼をこの短期間に複数件、頂戴しております。
ランサムウェアの駆除やデータ復旧に関する情報はかなり少ない
ネットを検索された方はお分かりかもしれませんが、ランサムウェアのデータ復旧に関する情報はかなり少ないです。
多くはランサムウェアに感染したPCからのデータ復旧を謳った業者のページですが、正直ちょっといただけないな、、、と感じています。
その多くはランサムウェアからの復旧率の高さを声高に謳うばかりで、その実態を話していません。
当記事ではできるだけ実際の状況や私が対応した実例をもとに書きたいと思います。
ランサムウェアへの感染とその対象
ランサムウェアは感染すると感染したPC内のファイルを暗号化して読み取れなくします。
読み取れなくされるのは、オフィス製品のファイルやPDFなどが中心でしたが、
徐々にその範囲は広がり圧縮ファイルなども暗号化対象となりました。
暗号化は一瞬で終わるものではありませんが、短時間でほとんどの対象ファイルを暗号化されてしまいます。
ですので感染初期で気付いた場合はすぐに電源を落とせば、被害を最小限で抑えられる可能性があります。
その後セーフモードで立ち上げ、ウイルスを駆除することができれば被害の拡大を防げます。
また、暗号化される対象はそのPCのみに限りません。
ネットワーク上で共有化されているファイルがあればそれらも暗号化の対象となります。
これが中小企業にとって脅威となっています。
1台が感染するとサーバー内の共有フォルダーがすべて暗号化されてしまうため、会社の業務がストップしてしまいます。
ランサムウェアは別名『身代金ウイルス』
ランサムウェアは別名『身代金ウイルス』と言われています。
感染経路の多くはメールです。
添付ファイルを開かせることによって感染させます。
添付ファイルなんて開かないだろ!と思ってらっしゃる方がまだまだ多いのですが、
最近の手口は手が込んできています。
英語から日本語へ、不自然な文章から自然な文章へ、多くの人が関係ありそうな企業を騙り、
添付ファイルもワードやエクセル、PDFなどに擬態させます。
憶測ですがこれらは国内でも組織的な関与があるのでは無いかと思っています。
感染するとファイルを暗号化し、案内文のファイルを見せてきます。
『HELP_instructions』とか『HOWDO_text』とかがそれです。
大雑把に意訳しますと、
『あなたのファイルをRSA-2048とかAES-128とかで暗号化したよ。
データを返してほしければリンク先のページで暗号キーを購入してね。』
って書かれています。
このRSA-2048とかAES-128ですが、調べて貰えればわかることですが、未だ世界中で誰も解読できていません。
将来的にはわかりませんが、残念ながら現時点での技術では解読法が無いものになります。
この解読不能の暗号化を人質に金銭を要求する。というのがランサムウェアの実態です。
ランサムウェアのデータ復旧ってできる?
まず、暗号化されたファイルの復元は技術的に不可能と思っていただいていいかと思います。
それが可能ならデータ復旧業者は世界中の暗号を破れるスーパーハッカーになってしまいます。
そんなのは映画やアニメの世界だけで実際には存在しないでしょう。
でもネット上にはランサムウェアの復旧率9○.○%とか謳ってる業者がありますね。不思議です。
確かに初期のランサムウェアでは、暗号化前のファイルがディスク上に消去ファイルとして残っていたり、
Crypto種などは犯人が自ら暗号キーを公開していたりと、まったく復旧できないというわけではないのですが、最近のzeptoやodinでは今のところそういった復旧方法は期待できそうにありません。
Windowsの設定でファイルの履歴を残す設定にしている場合、シャドウコピーとして直近のデータを復旧できる可能性がありますが、これも最近のランサムウェアでは対策されているようです。
となると復旧率9○.○%というのはどういうことでしょうか、、、
まさかとは思いますが、、、いや、まさかとは思うのですが、
お客様から費用を頂戴してハッカーへ送金し、暗号キーを購入してるなんてことは、、、無いですよね?
それだと確かに100%近い復旧率になってもおかしくないですが、、、
ただ、感染された被害者の方からすれば、藁にもすがりたいお気持ちだと思います。
復旧できる可能性がゼロというわけではありませんので、少しでも被害を少なくするためにも、
信頼できる業者様へご相談されるのをお勧めいたします。
ランサムウェアに感染した後どうすればいい?
まずは被害を食い止めるためにウイルスの活動を止めます。
活動を止める方法は、Windowsをセーフモードで立ち上げるのが手っ取り早いです。
ただ、Windows10などはセーフモードでの立ち上げがわかりにくいものもありますので、
誤って通常モードで立ち上げないようご注意を。
また、誤って通常モードで立ち上げてしまった場合の事も考え、LANケーブルは抜いておいた方がいいですね。
もし、すでに必要なファイルはすべて感染してしまったという場合は、
他のPCやサーバーへの被害拡大のみ気をつけて頂き、通常モードで駆除して頂いても構いません。
ウイルス駆除はいくつかのソフトが対応していますが、最新のパターンファイルでないと検知してくれない場合が多いです。
最新のパターンファイルでスキャンすると20~30は感染ファイルがでてくると思います。
ただ、どうもちゃんと駆除してくれるソフトとそうでないソフトがあっていつも複数ソフトで試すようにしています。
駆除まで終わればあとは暗号化されたファイルをどうするかです。
立場上、お勧めすることはできませんが、どうしても取り戻したいファイルがある場合は、
致し方なく身代金を払うという選択肢もあるのかもしれません。(100%戻るとは限りません。)
仕方ないとあきらめる。技術や情勢の変化を待つ。といのも選択肢です。
とりもどしたいデータの重要度や緊急度などを勘案してご判断ください。
ちなみに身代金はどれぐらい?
身代金の支払いには匿名のブラウザとビットコインが使われます。
通常の銀行振込では当然ながら足がつきますが、この匿名のブラウザとビットコインの組み合せだと追跡できないようです。
もう、なんて言いますか、完全にビジネスモデルが確立してしまっている様相です。
そのお客(言いすぎですね。当然ながら被害者です。)として、日本の中小企業がターゲットになっているという構図です。
被害を受けた企業は信用問題を恐れほとんどの企業が感染したとは言いませんので、警戒が広がらないのも大きな要因です。
でも実際は、社員数1~30名の企業の感染が相当多いというのが実感です。
日本の中小企業は金払いがいいことに付け込んで、要求される費用もどんどん高くなっています。
出始めたころは0.5ビットコインでした。今日のビットコインの相場が66,526円ですので、およそ3.3万円程度です。
それが1ビットコイン、2ビットコインと増え、昨日ご相談をうけたお客様では3ビットコイン(約20万円)になっていました。
添付ファイルは絶対に気を付けると決めていたのに、、、と悔しがっていらっしゃいました、、、
その後、どうしたらいい?対策は?
一度被害に遭えば当然ながらその後警戒はされると思います。
ただ、ランサムウェアに限らずサイバー攻撃の進歩は凄まじく、次々新しい手法が生み出されています。
落ち着かれたら一度、社内のセキュリティを見直しされることをお勧めいたします。
『うちはすべてのPCにウイルス対策ソフト入れて万全だよ!』という会社様がいらっしゃいますが、
お伺いして拝見すると実際は入っていないPCが1台あったり、期限が切れていたりということも多いです。
更にはネットワークの出口であるルーターやWi-Fiアクセスポイントのパスワードがデフォルト設定だったりという例もよく見かけます。
(業者に設定を依頼するとほとんどの場合、パスワードをデフォルト設定のままにします。)
どこまで対策するかは費用も時間もかかりますので、決断しずらいかと思いますが、
一時的に万全を目指すよりも、少しずつでも定期的に改善されるのが効果的です。
信頼できる業者様がいらっしゃる場合は、その業者様から定期的にアドバイス頂くような関係を築かれると良いでしょう。
長々と書きましたがご参考になりましたでしょうか?
少しでもヒントになることがあれば幸いです。
当社ではITサポート全般を承っております。
ランサムウェアの対策はもちろん、PC修理、データ復旧などITに関する事でしたらなんでもご相談ください。