ランサムウェア zzzzz(lockyの亜種)への感染対応|ランサムウェア対策クイックマン
![$img['alt']](https://www.quickman-pc.com/wp/wp-content/uploads/2016/11/b5f382a9377ea9998fc6a0d22cdccdf6_s.jpg)
ランサムウェア zzzzz に感染。その対応法などでご相談頂きました。
ランサムウェア zzzzzは2016年11月より急速に増えたウイルスですが、物自体は以前に広まったLockyと同じものです。
違いは拡張子がLockyではなくzzzzzになることぐらいでしょうか。
今回ご相談頂いた会社様の場合、感染したノートPCの確定できています。感染源のノートPCと共有ファイルを保存していた
サーバー2台が被害に遭いました。まだすべての該当ファイルが暗号化されいなかったので、初動が早かったのだと思われます。
結果として、相当量のローカルファイルと共有ファイルを暗号化されていたので、今後の対応法などについてご相談頂きました。
ウイルスの特定と駆除作業
まず、暗号化されたファイルの拡張子がzzzzzであることからランサムウェアLockyの亜種?(というか拡張子が違うだけ)
と判断していますが、お客様側ですでに駆除作業は行われていましたが、一抹の不安を感じられ、感染機器をを診断にお持込頂きました。
念のため駆除されたというログを確認してみますと、すべての駆除作業がエラーで終了しています。
こうなると完全に駆除できていない可能性が高いので、当社にてお預かりし、駆除作業を行うことになりました。
その結果、、、
予想通りランサムウェアへの感染が確認されました。
ウイルスやマルウェアの多くは通常のWindows起動状態からでは駆除できないことがよくあります。
レジストリに隠れたり、常駐ソフトとして起動しスキャンを妨害したり、場合によってはセキュリティ会社へのアクセスを遮断する事もあります。
今回もレジストリやメモリ内に隠れていたようで、駆除したつもりが駆除できておりませんでした。
改めて当社にて完全駆除をおこない、納品させて頂きました。
ランサムウェア zzzzz に暗号化されたファイルの復元(複合化)
駆除は完了いたしましたが次に問題になるのが、暗号化されたファイルをデータ復旧できるかというところですが、
今回のzzzzz(Loocky)は復元できない種類のランサムウェアです。もちろんWindows上でシャドウコピーが設定されている場合などは復元可能な場合もあります。
残念ながらまだ世界でLockyの暗号情報を解読した会社はありませんので、
暗号化されたファイル自体を復元することは現時点では不可能といっていいのです。
(AES128(暗号化技術)自体どの研究機関や技術者も破れていないのですから、
一企業がどうこうできるレベルではないのです。)
ただひとり戻せる人間がいます。
それはそのランサムウェアをつくったハッカーです。
どうしてもデータを取り戻したいとなると、そのランサムウェアをつくったハッカーへ
身代金を払いデータを元に戻すためのキーを送ってもらうということになります。
これがランサムウェアが身代金ウイルスといわれる所以です。
しかし、世間にはランサムウェアも確実に復旧するような業者が存在するようです。不思議なものです。
もしそのような業者へご依頼された際は、ハッカーの身代金要求のファイルから要求額を確認してください。
(お分かりとは思いますがビットコインは買っちゃ駄目ですよ。)
すると、きっとその業者さんからもらった見積額よりも安いと思います。(世の中怖いですねー)
ちなみに今回感染したランサムウェアの要求額は3ビットコインでした。
現在、ビットコイン高騰中で11~12万円/ビットコインまで上昇していますので、およそ30~40万円ほどの要求額になります。
ただ、そちらが安いからと安易に送金したとして確実にデータが返ってくるという保証もありませんし、
そもそも犯罪行為に対し送金する行為が倫理上どうなのかということもあります。
また、ランサムウェアの進化は非常に早く、どういったリスクが新たに発生するかも予測できません。
できましたら、まずは信用できる会社様にご相談されるのをお勧めいたします。
話は戻りまして今回のお客様は、、、
現在の実情は率直にお話させて頂き、とれる可能性とリスクをご理解頂きご判断いただきました。
今回のお客様は要求額を支払って取り戻すよりも改めて作った方が早いとのことで、データ復旧は諦めることになりました。
ただ、今後の対策などについてはお悩みのご様子でしたので、対策法や最近の動向などを併せてお話しさせて頂きました。
実際のところ、昨今、日本の中小企業へ向けたサイバー攻撃は、皆様がお考えのレベルよりも恐らく危険な状態にあると思われます。
できれば、そういったニュースや情報にアンテナを立て、少しずつでも対策されることをお勧めいたします。
一気に対策できれば確かにいいのですが、その分費用も膨らんでいきます。一方、サイバー攻撃とその対策は日々進化します。
一時期に強化するよりも少しずつでも継続的に対策されることが、中小企業にとってより効果的な対策かと思います。
当社では、、、
データ復旧やパソコンの修理をおこなっておりますが、ウイルス駆除、パソコンの販売、システム開発などITに関わる全般を請け負っております。
サイバー攻撃の対処法などセキュリティコンサルティングのご依頼も増加しております。
当社はクイックな対応とお客様のご要望に応じた最適なご提案をおこなうことをモットーとした会社です。
