ランサムウェアに暗号化されたWindowsサーバー機のデータ復旧
大阪市内の企業様より、基幹システムの入ったWindowsサーバー機がランサムウェアにより暗号化されたとのことで、サーバー内の重要ファイルをどうしても復元したいとのご依頼です。

Windowsサーバーを起動すると脅迫文が表示され、各フォルダにはinfo.txtが設置されています。
今回、WindowsのOSはWindows Server 2016 Standard、
HDDは600GBのSAS4本でRAID5、外付けHDDにバックアップという構成でしたが、残念ながらバックアップも含めすべて暗号化されております。
Windowsサーバー機は企業の基幹システムや重要ファイルが保管されている場合が多く、ハッカー側はセキュリティの甘い中小企業を中心に狙いを定めています。
今回も企業様自身はITの知見が少なく、セキュリティの強化が遅れておりました。その結果、サーバー内のファイルをほとんど暗号化されてしまうという事態に陥りました。

暗号化されたファイルはアイコンがただの白紙になります。また、ファイル名も一定の法則で書き換えられます。多くの場合はファイル名の後に、IDやメールアドレス、特定の拡張子が追加されます。
暗号化される範囲は感染源のサーバー1台にとどまらず、ネットワーク内の他の端末、VPNでつながっている他拠点なども攻撃されますが、多くの場合は共有機能によりサーバーから見ることができる範囲にとどまります。
今回の場合はでは、他拠点のサーバー機共有フォルダ、本社内のPC端末に繋いでいたストレージ機器の共有フォルダが感染源となったサーバー機以外で暗号化されていました。

サーバー機にはウイルス対策ソフトが入っていなかったため、作業の前に一旦、マイクロソフトのセーフティスキャナでウイルスチェックしました。
当たり前といえば当たり前ですが、いくつかのウイルスが検出されます。
写真のようにランサムウェア Phobos であることが確認できます。

今回、復旧作業に3日ほどかかりましたが、なんとか基幹システムの重要データを復元することができました。
DBのデータの場合どうしてもシステムに載せないとデータの正否が確認できないなどの問題があるのですが、今回はお客様のご厚意により助けられました。