ランサムウェア zzzzz に感染。その対応法などでご相談頂きました。

 

ランサムウェア zzzzzは2016年11月より急速に増えたウイルスですが、物自体は以前に広まったLockyと同じものです。

違いは拡張子がLockyではなくzzzzzになることぐらいでしょうか。

今回ご相談頂いた会社様の場合、感染したノートパソコンは確定できています。

その感染源のノートパソコンと共有ファイルを保存していたNASサーバー2台が被害に遭いました。

まだすべての該当ファイルが暗号化されたというわけではありませんので、

初動が早かったのだと思われます。

ただ、そうはいっても相当量のローカルファイルと共有ファイルを暗号化されてしまいましたので、

その対応法などについてご相談頂きました。

 

ウイルスの特定と駆除作業

 

まず、暗号化されたファイルの拡張子がzzzzzであることからランサムウェアLockyの亜種？（というか拡張子が違うだけ）

とみて間違いないですが、お客様側ですでに駆除作業はおこなわれたとのことでした。

ただ、お客様もそれで問題ないか不安を感じられてノートパソコンなどを診断にお持込頂きました。

念のため駆除されたというアンチウイルスソフトのログを確認してみますと、

すべての駆除作業がエラーで終了しています。

こうなりますと完全に駆除できていない可能性が高くなりますので、

当社にてお預かりし、駆除作業をおこなうことになりました。

その結果、、、

予想通りランサムウェアへの感染が確認されました。

ウイルスやマルウェアの多くは通常のWindows起動状態からでは駆除できないことがよくあります。

レジストリに隠れたり、常駐ソフトとして起動しスキャンを妨害したり、場合によってはセキュリティ会社へのアクセスを遮断する事もあります。

今回もレジストリやメモリ内に隠れていたようで、駆除したつもりが駆除できておりませんでしたので、

当社にて完全駆除をおこない、納品させて頂きました。

 

ランサムウェア zzzzz に暗号化されたファイルの復元（複合化）

 

駆除は完了いたしましたが次に問題になるのが、暗号化されたファイルをデータ復旧できるのか？です。

結論から言いますと、今回のzzzzz（Loocky）は復元できない種類のランサムウェアになります。

もちろんWindows上でシャドウコピーが設定されている場合などは復元可能な場合もありますが、

残念ながらまだ世界でLockyの暗号を解読した会社はありませんので、

暗号化されたファイル自体を復元することは現時点では不可能といっていいのです。

（というかそもそもAES128などの暗号はどの研究機関や技術者も破れていないのですから、

一企業がどうこうできるレベルではないのです。）

 

ただひとり戻せる人間がいます。

 

それはそのランサムウェアをつくったハッカーです。

ですのでどうしてもデータを取り戻したいとなると、そのランサムウェアをつくったハッカーへ

身代金を払いデータを復元するためのキーを送ってもらうということになります。

これがランサムウェアが身代金ウイルスといわれる所以です。

 

となるとどうなんでしょう。

世間にはランサムウェアも確実に復旧するような業者が存在するようです。

不思議なものです。

もしそういう業者へご依頼された際は、ハッカーの身代金要求のファイルから要求額を確認してみてください。

（お分かりとは思いますがビットコインは買っちゃ駄目ですよ。）

すると、きっとその業者さんからもらった見積額よりも安いと思います。（世の中怖いですねー）

 

ちなみに今回感染したランサムウェアの要求額は3ビットコインでした。

現在、ビットコイン高騰中で9万円/ビットコインまで上昇していますので、およそ27万円ほどの要求額になります。

とはいえ、そちらが安いからと安易に送金したとして確実にデータが返ってくるとも限りませんし、

そもそも犯罪行為に対し送金してしまうことが倫理上どうなのかということもあります。

また、ランサムウェアの進化は凄まじく、どういったリスクが新たに発生するかも予測できません。

できましたら信用できる会社様にご相談されるのをお勧めいたします。

 

話は戻りまして今回のお客様は、、、

 

そういった実情は率直にお話させて頂き、とれる可能性とそれぞれのリスクをご理解頂きご判断いただきました。

今回のお客様はそこまで費用をかけて取り戻すよりも改めて作った方が早いとのことで、

データ復旧は諦めるられることになりました。

ただ、今後の対策などについてはお悩みのご様子でしたので、

対策法や最近の動向などをお話しさせて頂きました。

実際のところ、昨今、日本の中小企業へ向けたサイバー攻撃は、皆様がお考えのレベルよりも恐らく危険な状態にあると思われます。

できれば、そういったニュースや情報にアンテナを立て、少しずつでも対策されることをお勧めいたします。

どーんと一気に対策できれば確かにいいのですが、その分費用もかさみます。

一方、サイバー攻撃とその対策は日々進化します。

一時期に強化するよりも少しずつでも継続的に対策されることが、中小企業にとってより効果的な対策かと思います。

 

当社では、、、

 

データ復旧やパソコンの修理をおこなっておりますが、ウイルス駆除、パソコンの販売、システム開発などＩＴに関わる全般を請け負っております。

サイバー攻撃の対処法などセキュリティコンサルティングのご依頼も昨今増えております。

当社はクイックな対応とお客様のご要望に応じた最適なご提案をおこなうことをモットーとした会社です。

●データ復旧クイックマン●

大阪市中央区南船場2-12-10ダイゼンビル4F

https://www.quickman-pc.com/rescue/