ランサムウェア感染後に担当者が知りたい６つの疑問

 

当社はデータ復旧というサービスを提供している会社です。

そのノウハウにご期待頂きランサムウェアに暗号化されたデータの復元のご依頼も多数頂戴します。

今回はそんなランサムウェアに感染し、当社へご相談頂いたお客様から頂戴するご質問の中から、

特に頻繁にご質問頂く事、重要なご質問　６つを公開いたします。

 

その１　ファイル拡張子は〇〇〇です。このランサムウェアは復元できますか？

お答え

 

実はランサムウェアの拡張子ごとに種類が違うわけではありません。

攻撃者は自由に拡張子を変更できるため、同じ種類のランサムウェアでも無数に拡張子があります。

ランサムウェアによる攻撃が急増した2015年～2016年頃、1種類のランサムウェアにつき１つの拡張子で統一されていた為、

拡張子によってある程度種類を判別できていました。

しかしながら現在は拡張子はバラバラになってしまったため、拡張子による見分けは意味がありません。

ただ、ファイル名の書き換えルールには意味があります。

もっとも多いファイル名の書き換えルールは、、、

 

[元のファイル名].[元の拡張子].[ランサムウェアID].[メールアドレス].[ランサムウェア拡張子]

例）社内写真.jpg.id-123AB456.[support@ransomware.xxx].encrypt

 

といった構造が多いです。

このファイル名の構造によってランサムウェア感染の重複性などを確認できます。

 

 

その２　暗号化されたパソコン、サーバー内をみるのは危険ですか？

お答え

 

感染源になったパソコン、サーバー内にはランサムウィルスが常駐しています。

パソコン、サーバーを再起動してしまうとランサムウィルスが活動を再開し、

再びネットワーク内のPCやサーバーを攻撃します。

ただ、ある程度対処法はあります。

 

ひとつはセーフモードで立ち上げる方法です。

セーフモードでは最小限のシステムのみで起動しますので、

ランサムウェアウイルスなどがある場合はその常駐を防ぐことができます。

もうひとつはHDDを筐体から抜き、

感染していない別のPCに繋いで中身を確認するという方法です。

これらの方法によって常駐型のランサムウェアについてはその被害を食い止めることができます。

ただ、感染したパソコン内には偽装ショートカットなどが配置される場合もあります。

フォルダやファイルに化けたショートカットを配置し、

ユーザー自身にランサムウェアウイルスを起動させる手法です。

この場合は上記対処をとったとしても被害が拡がる可能性があります。

ですので感染したパソコン内を確認する場合は、

感染拡大を防ぐためにもネットワークからの物理的な切断おすすめいたします。

有線LANに接続している場合はLANケーブルを抜く。

無線LANに接続している場合はWi-Fiアクセスポイントを撤去するなどです。

 

どちらにしても感染したパソコン内をみることは、多かれ少なかれリスクはあります。

安易におこなわないのが良いかと思います。

 

 

その３　どこから感染したのか知りたい

お答え

 

感染経路の特定は、機器やネットワークの構成をヒアリングし、

各種機器のログを取るなど様々な調査をおこなわないと特定できません。

ただ、その時その時のトレンドと特徴はありますので、ある程度予測することは可能です。

2021年4月にQNAPを狙ったランサムウェアが流行りましたが、

この時はQNAPに外部から接続するためのサーバーやバックアップシステムに脆弱性があり、

その脆弱性を一斉に攻撃された結果、数日で何万台というQNAPがランサムウェアに感染することになりました。

また、Windowsサーバー機の場合は標準で提供されている機能の中に脆弱性があり、

いまだにその原因を突かれた被害が続いています。

また、感染源となったパソコンやサーバーには画面上に脅迫文が表示されるという被害例が多いです。

画面の脅迫文が複数の端末で発生している場合は、その台数分がそのまま感染源だとお考えください。

それ以外のパソコンでもファイルが暗号化されている場合は、

脅迫文の出ている端末から攻撃された結果だと考えられます。

 

 

その４　暗号化されたデータが漏えいする可能性は無いか？

 

お答え

 

ランサムウェアのタイプによってはありえます。

実際、ダークウェブ上には被害に遭った企業の情報が公開されており、

時間の経過とともに公開範囲が拡がっていきます。

ただ、残念ながらこの問題については感染後では解決方法がありません。

漏えいさせたくなければ身代金を払え！というのが攻撃者側の脅迫文ですが、

払ったからといって公開が止まる確証は無く、漏えい後の対応を検討するしかないのが実情です。

漏えいタイプのランサムウェアなのか、そうでないのかについては脅迫文を見ればわかる場合が多いです。

攻撃者側も漏えいの可能性を脅迫文に掲示することにより、身代金の支払いをおこなわせようと仕向けていますので、

逆に脅迫文に記載が無ければ漏えいの可能性は少ないと考えることができます。

 

 

その５　再び感染する可能性はありますか？

 

お答え

 

残念ながら再感染の可能性はあります。

実際、短期間に2度感染した企業様からのご相談も受けております。

ウイルスを駆除したとしてもランサムウェアが攻撃に使った脆弱性はそのまま残る場合が多く、

攻撃者はその脆弱性から再度攻撃してきます。

これを防ぐためには社内のセキュリティを再チェックし、

ひとつひとつセキュリティレベルをあげる必要があります。

UTMなどである程度の防御力の向上は期待できますが、100%守り切ることはできません。

実際、UTM導入後に再感染した被害例もございます。

そうならないためには、社内のセキュリティについての課題の洗い出しと、

その対策を総合的に講じていく必要があります。

UTMやウイルス対策ソフトはあくまでその一環でしか無く、

完全無欠の対策法では無い事を肝に銘じることが重要です。

 

 

その６　　暗号化されたファイルの復元は可能ですか？

 

お答え

 

感染の状況などをお教え頂ければ復旧可否をお調べいたします。

感染状況、感染範囲、感染後におこなったことなどヒアリングさせて頂ければ、

お電話とメールにて診断可能です。

お急ぎの場合は現地出張作業やリモートでの作業も可能です。

まずはフリーダイヤル 0120-775-200 までお問い合わせください。

 

 

 

 

 

データ復旧クイックマンとは？

データ復旧クイックマンとは、

お客様の大切なデータをできる限りリーズナブルな価格でお救いすることをもっとうに

大手データ復旧企業より独立した技術者集団です。

パソコンやHDDでは、累計5000件以上の復旧実績のあるエンジニアも在籍しており

ソフトウェア障害、ハードウェア障害の両面で技術力には自信があります。

サーバー機、NAS、パソコン、BDレコーダー、ランサムウェアなど

クイックマンではデータ復旧できる可能性がございます。

どうしても諦めることができないデータがある場合は、是非クイックマンにご相談ください！

 

 

クイックマン（S&Eシステムズ株式会社） フリーダイヤル：0120-775-200