日本全国緊急対応いたします!リモートアクセスによる遠隔診断&遠隔復元で即診断&即復旧・復元

ランサムウェアに暗号化されたデータを取り返します!
ランサムウェア対策・データ復元のQuickMan

簡単診断・お問い合わせ

ランサムウェア復旧修理事例

ランサムウェアに暗号化されたWindowsサーバー機のデータ復旧

大阪市内の企業様より、基幹システムの入ったWindowsサーバー機がランサムウェアにより暗号化されたとのことで、サーバー内の重要ファイルをどうしても復元したいとのご依頼です。

Windowsサーバーを起動すると脅迫文が表示され、各フォルダにはinfo.txtが設置されています。

今回、WindowsのOSはWindows Server 2016 Standard、

HDDは600GBのSAS4本でRAID5、外付けHDDにバックアップという構成でしたが、残念ながらバックアップも含めすべて暗号化されております。

Windowsサーバー機は企業の基幹システムや重要ファイルが保管されている場合が多く、ハッカー側はセキュリティの甘い中小企業を中心に狙いを定めています。

今回も企業様自身はITの知見が少なく、セキュリティの強化が遅れておりました。その結果、サーバー内のファイルをほとんど暗号化されてしまうという事態に陥りました。

暗号化されたファイルはアイコンがただの白紙になります。また、ファイル名も一定の法則で書き換えられます。多くの場合はファイル名の後に、IDやメールアドレス、特定の拡張子が追加されます。

暗号化される範囲は感染源のサーバー1台にとどまらず、ネットワーク内の他の端末、VPNでつながっている他拠点なども攻撃されますが、多くの場合は共有機能によりサーバーから見ることができる範囲にとどまります。

今回の場合はでは、他拠点のサーバー機共有フォルダ、本社内のPC端末に繋いでいたストレージ機器の共有フォルダが感染源となったサーバー機以外で暗号化されていました。

サーバー機にはウイルス対策ソフトが入っていなかったため、作業の前に一旦、マイクロソフトのセーフティスキャナでウイルスチェックしました。

当たり前といえば当たり前ですが、いくつかのウイルスが検出されます。

写真のようにランサムウェア Phobos であることが確認できます。

今回、復旧作業に3日ほどかかりましたが、なんとか基幹システムの重要データを復元することができました。

DBのデータの場合どうしてもシステムに載せないとデータの正否が確認できないなどの問題があるのですが、今回はお客様のご厚意により助けられました。

最新修理事例

対応可能な変更拡張子(特徴)一覧(一部抜粋)

wallet、locky、zepto、odin、tesracrypt、vvv、crypt、crypt1、cryptXXXecc、ccc、zzz、aaa、abc、xyz、xxx、ttt、mp3、micro、RSNSLocked、encrypted、locked、SecureCrypted、拡張子変更無し、legion、szf、ランダム5桁英数字、先頭にLock、脅迫文にspora、cerber

お問い合わせ

ランサムウェア感染被害による中小企業様からのご相談が急増中!

ファイルが開けない!暗号化された!データを取り返してほしい!ランサムウェア無料相談実施しております。

暗号化されたデータの復元から今後のセキュリティ対策まで、ランサムウェアのお悩みを専門家がアドバイス。

再度感染しないための対策もサポートいたします!

不明点や疑問点がございましたら、お気軽にご相談・お問い合わせください。