今月はランサムウェア.MOLE02の被害が増えています。

今月に入り急に増えてきたランサムウェア.MOLEのご相談

「MOLE」ランサムウェアは4月頃より被害が出始めました。

症状としてはオフィスや画像など対象ファイルのファイル名をすべてランダムな英数32桁に変更し、拡張子は「MOLE」、「MOLE00」、「MOLE01」、「MOLE02」などに変わります。

暗号化されたファイルのあるフォルダには「HELP_INSTRUCTION.TXT」というファイルが作成されます。

日本でも徐々に被害が増えはじめ、7月に入ってから問い合わせが増えてきました。

「MOLE」はメールの添付ファイル等での感染ではなく、悪意あるWEBページの閲覧から感染する例が多く、

防御の難しいランサムウェアになります。

MOLE02に感染したファイル

被害に遭われた方からデータ復元のご依頼を頂戴しました。

今回のご相談も特に心当たりが無いとのことで、突然パソコンのファイルが書き換わったので慌てて電源を切ったが

すでに重要なデータはすべて暗号化された後だったとのことでした。

ランサムウェアは毎月のように新種が登場し、亜種やバージョン違いなどを含めると数百種類にもなります。

Crypt系などいくつかの系統については復号ツールがございますが、残念ながら「MOLE」に対応したツールはございません。

運よく別途バックアップやシャドーコピーがあればそこから戻せますが、それが無ければ残念ながら諦めるしかありません。

それでもどうしてもデータを失うわけにいかない場合、ハッカー側に復号キーを要求することになります。

当社ではこれまで多数のお客様からご依頼頂きデータの復元をおこなってまいりましたが、それぞれの種類で特徴があります。

「MOLE」はハッカーとのやりとりは基本メールでのやり取りとなり他種に比べリスクが高い部類に入ります。

また、身代金の要求金額も安くありません。

今回の場合ですとその身代金要求額は1ビットコイン（ランサムウェアはビットコインでの支払いが多い。）ですので、

今の相場で30万円ほどです。

昨年の今頃は10万円程度の要求が多かったことを考えると高い部類に入ります。

ハッカーとの交渉とデータ復元作業

ハッカーとの交渉は基本的に英語です。

相手は人ですのでこちらの対応如何では音信不通になる可能性もあり注意が必要です。

また、先方との時差がありますので返信が遅れることも多いです。

身代金額の確認、ビットコインの支払いなどやりとりをおこない復号キーを入手することができました。

その復号キーにてツールを起動、復号作業をおこないます。

MOLE02の厄介なところは、暗号化されたファイルの復号作業は暗号化されたPCでしかできないことです。

例えば、暗号化されたファイルやディスクを別PCで復号作業し、元のPCに戻すということができません。

かといってお客様のPCでぶっつけ本番というのも問題がありますので

可能であればクローン環境で作業をおこないたいところです。

今回はリモート接続での作業ですのでクローン環境の構築はできません。

こちらである程度の事前テストをおこなった上で、お客様環境で直接復号作業をおこなうことになりました。

幸いにも特段不具合なく、無事データ復元することができました。

●データ復旧クイックマン●
大阪市中央区南船場2-12-10ダイゼンビル4F
https://www.quickman-pc.com/rescue/