credo ランサムウェアのデータ復旧作業

ホスティングで運用しているWindowsサーバーでランサムウェアに感染されたとのことで、復旧作業のご依頼を頂戴しました。

今回、拡張子がcredoとなっていますが、拡張子自体はハッカー側で自由に設定できるため、あまり意味はありません。

感染の原因は明確ではありませんが、Windowsが2008サーバーであること、リモートデスクトップを利用している事あたりが怪しいです。

初期調査をおこないたいのですが、ホスティングサーバーですのでVNCで接続するか、リモートデスクトップで接続するかしかありません。

本来であればランサムウェアのデータ復旧をおこなう場合、サーバーからディスクを取り外した状態でおこないたいのですが、現状それができませんのでリモートデスクトップでおこなうことになりました。

調査を開始するとサーバー自体が乗っ取られ、サーバー内部から暗号化を仕掛けられたことがすぐに判明しました。

サーバーの管理コンソールなど主要なツールもすべて暗号化され、ほとんどのサーバー機能が使えなくなっています。

こうなると、サーバー内にはランサムウェアのウイルスプログラムが常駐したままであることが予想されます。

本来であれば先にこのウイルスプログラムを駆除したいのですが、そのためにはセーフモードでの起動が必要で、リモートデスクトップからではセーフモードのサーバーへアクセスできないため、駆除作業は後回しとなりました。

これにより今回の作業は再起動をおこなうこともできないという制限がついたことになります。

再起動すると再暗号化が走るためです。

ユーザーデータを見ると見事に全ファイル暗号化されています。

暗号化のパターンは

既存のファイル名＋ID＋メールアドレス＋.credo

となっています。

更新日時から暗号化が走った日時がわかりますが、フォルダによって多少時間が違いますので、その前後数時間の間にサーバーの乗っ取り～暗号化までがなされたようです。

最終的にデータ復旧自体には成功したのですが、再起動できない、リモートデスクトップ越しでしか操作ができないなど多数の制限があるため、データの転送だけでも数日を要します。

お客様としては一刻も早くサーバーを元の使える状態に復旧したいとの思いだと思いますが、オンプレミスだとその日に終わる作業もホスティングだと融通が利かないのは辛いところです。