クイックマンからのお知らせ
ランサムウェアLockBit3.0(ロックビット)はデータ復元できるのか?【Windowsサーバー】
ランサムウェアLockBit3.0(ロックビット)はデータ復元できるのか?【Windowsサーバー】
関連記事:ランサムウェア 身代金を支払うとデータを取り戻せるのか?【成功率を公開!?】
以前からダークウェブ上で告知されていたLockBitの新型、LockBit3.0の被害がついに国内でも出始めました。
当社にご相談いただく件数も日に日にに増えております。
今回の記事では当社が実際に対応した実績から、
目次
などをお伝えいたします。
LockBit3.0からのデータの復元を希望される方は是非ともご一読ください。
1.LockBit3.0とはなんなのか?
LockBit3.0は一昨年より流行したLockBit2.0という
主にWindowsサーバーをターゲットにしたランサムウェアの新種です。
感染するとネットワーク内のサーバー、NASへと次々攻撃し、
物理サーバー、仮想サーバー、NASを問わず社内全体へ感染を拡げ、
企業の運用に多大な被害を与えます。
LockBit3.0には以下の特徴があります。
①社内のすべてのサーバーへ感染を拡げる。
②保存データのファイル名がランダムに書き換わる [ランダムファイル名].[ID名]
③デスクトップ画面が黒く変わり [Balack LockBit] といった脅迫文が表示される
④[ID].README.txt ファイルが各フォルダに作成される
⑤社内のプリンタから脅迫文が印刷され続ける
⑥データを盗まれダークウェブ上に公開される
LockBit3.0の怖いところは、事前に入念に社内のサーバー構成などを調査し、
暗号化をおこなう際は休日や夜間など人のいない時間帯を選び、
暗号化自体は1時間程度ですべて完了させてしまうという周到さです。
気づいた時には社内のすべての機能が停止しているため、
企業活動に大きなダメージをもたらします。
被害にあった企業は突然以下の対応を同時におこなう状況へ追い込まれます。
・ストップした業務を無理にでも動かす模索
・取引先への業務調整
・被害状況の把握と拡大防止
・情報漏洩の対応
・システム復旧へ向けた方針の決定
という重すぎる課題を同時に背負うことになります。
2.感染した場合の対処方法は?
ご相談いただいた皆様に感染した後に実施した対応をお伺いしました。
その結果、以下の9つの対応を実際におこなっていたことがわかってきました。
①ベンダーに対応方法を確認する
②感染範囲を調査する
③電源を切る(再起動する)
④LANケーブルを抜く
⑤インターネットで情報を探す
⑥バックアップを探す
⑦拡張子を書き換えてみる
⑧警察に連絡する
⑨データ復旧業者に相談する
順番に見ていきましょう
①ベンダーに対応方法を確認する
こちらは一番回答の多い対応でした。
システムの納入元であるベンダーに対応方法を相談するケースです。
システム納入元のベンダーは納入後の保守を担当していることも多く、
システム再開へ向けてのセットアップ作業はベンダーが担当します。
通常、システムの再開には別媒体に保存されているバックアップデータを
システム再セットアップ後に展開し、感染前日の状態を復旧させます。
ただ、ランサムウェア LockBit3.0はバックアップファイル自体も暗号化してしまうため、
データの復旧ができない状態に陥ります。
ベンダーが納入したシステムは機器の故障には対応していますが、
ランサムウェアの攻撃には対応できていないのが実情です。
②感染範囲を調査する
ランサムウェア LockBit3.0は感染後、社内全体へ攻撃を拡げます。
社内に複数台のサーバーやNASがある場合、それぞれがどういった状況なのか、
クライアントPCに被害は無いのか?
などを調査する必要があります。
感染範囲の調査は感染経路の把握に役立ちます。
また、後述しますが復元作業をおこなう際にも重要な情報となります。
③電源を切る(再起動する)
ランサムウェア LockBit3.0の場合、再起動などをおこなったとしても何も状況は変わりません。
ただ、活動中のウイルスを止めたい場合は、取り急ぎセーフモードでの起動は有効です。
④LANケーブルを抜く
感染の拡大を防ぐためには必要な対応ですが、
おそらくすでに社内全域に感染が拡がっているかと思われます。
⑤インターネットで情報を探す
残念ながらLockBit3.0のデータ復旧つながる情報はほとんどありません。
逆にガセネタも多いため、困惑される方が多いかと思います。
ランサムウェアに感染後の対応するために、何を信じ、何を選ぶかは最も判断の難しいところです。
⑥バックアップを探す
一時的なバックアップをオフラインで取得し、残しているケースがあります。
例えばサーバー入れ替え時の旧サーバーのデータなどです。
保存している可能性のあるベンダーなどに連絡し、
もしバックアップデータがある場合はその取得日時が最近であれば、
不足データを後追いでエントリーすることにより復元できる可能性があります。
⑦拡張子を書き換えてみる
基本的にランサムウェア LockBit3.0に暗号化されたファイルは、
拡張子を戻してみても元のように開くことはできません。
ただ、[基本的に]と書いたのは、
何らかの要因でランサムウェアの活動が阻害された場合に、
拡張子が書き換えられたのみで、データは暗号化されていないケースがあります。
この場合は拡張子を戻すことで復号できますが、
かなりレアなケースです。
⑧警察に連絡する
当社にご相談いただいたお客様からも、
警察に被害届をだすべきかどうか?というご相談を頂戴しますが、
当社では被害届を出すことをお勧めしております。
残念ながら攻撃元は国外からの攻撃でかつ、
匿名性の高い仮想通貨を利用していることから
犯人が捕まる可能性は極めて低く、
犯人逮捕によるデータ復元の可能性は期待できません。
ただ、今後なんらかの取り組みや情報の公開があるかもしれませんので、
被害届だけでもだしておくべきかと思います。
各都道府県警にサイバーセキュリティ対策課やサイバー犯罪捜査課といった専門部署が設置されております。
⑨データ復旧業者に相談する
ランサムウェアの復元をおこなう業者は国内にいくつかありますが、
技術レベルが不明でよくわからない会社が多いです。
私どもがいうのもなんですが、
業者への相談は慎重におこなってください。
では、結局どうしたらいいのか?ですが、
以下の手順での対応をお勧めいたします。
【ランサムウェアLockBit3.0感染時の対応方法】
①感染拡大の防止
感染端末のLANケーブルを抜き、感染の拡大を防止してください。
②感染範囲の確認
社内の他の端末で感染や暗号化が無いかを確認してください。
③感染種別の確認
暗号化されたファイルの拡張子や脅迫画面などでランサムウェアの種類を確認してください。
④脅迫画面の確認
デスクトップなどに脅迫画面が表示される場合は画面キャプチャ(または写真)をとってください。
⑤必要ファイルの確認
暗号化されたファイルの重要度・緊急度を確認してください。
⑥現状の保全
感染端末の電源を切り、そのまま保管してください。
⑦データ漏洩の対応
データ漏洩により対応が必要になるケースの洗い出し
⑧データ復元の要不要の決定
データの重要度からデータ復元の要不要を判断してください。
データ復元をおこなう場合、いくつかのアプローチがあるかと思いますが、
できるだけ安易に判断しないようにご注意ください。
3.ランサムウェアLockBit3.0は身代金を支払えばデータを取り戻せるのか?
ランサムウェアに感染した被害者にとってもっとも気になるのが、
実際に身代金を支払えばデータを取り戻せるのかどうか?ということです。
身代金の支払いに応じたかどうか?
それによりデータが取り戻せたか?
といったアンケート結果が時折ニュースになりますが、
成功率30%という記事もあれば、70%あったという記事もあります。
なかなか正確な情報が得られないアンケートの為、実際の数字はよくわからないというのが実情なのかもしれません。
ランサムウェア LockBitで実際に身代金を支払って復旧に成功したケースは
私の知る限りいくつもございます。
一方で身代金を支払ったにもかかわらずデータを取り戻せなかった
というご相談も多数頂戴しております。
失敗したケースの原因は様々で、
・身代金を支払ったが攻撃者が音信不通になった
・身代金を支払ったが追加費用を要求された
・復号ツールが送られてきたがウイルスだった
・復号ツールが送られてきたが復号できない
・復号ツールを使っても復号できないファイルが多数ある
などがあります。
実際に今回、被害が拡がっているランサムウェア LockBit3.0においても、
身代金支払い後に復号に失敗したケースの相談を頂戴しています。
もちろんすべてがすべて失敗するというわけではなく、
身代金の支払いによる成功例もあります。
失敗するリスクを承知の上チャレンジされるのであれば、
ご自身で身代金支払いをされるのもひとつの手段だと思います。
ただ、身代金支払いによる社会倫理上の問題や犯罪ほう助の可能性など
問題がないわけではありませんので、慎重にご検討ください。
4.結局、ランサムウェアLockBit3.0に暗号化されたデータは復元できるのか?
LockBit3.0に暗号化されたファイルでも復元できる可能性は十分ございます。
実際に当社へご相談いただいたケースでも
すでにデータ復元に成功したケースがございます。
ただ、ご相談時点での状態によって大きく精度が変わります。
失敗例として多いのが、復号したいファイルだけを別ドライブに取得して、
元のサーバーはすべて初期化してしまったという場合です。
復号作業には感染ディスク自体の解析作業が必要です。
暗号化ファイルをコピーした別媒体では著しく復旧精度が落ちてしまいます。
必要なデータが一部であったとしても、
データ復元をご希望の方はなるべく感染状態を保持し、早期にご相談ください。
LockBitランサムウェアは感染端末それぞれに暗号化キーを生成し、
そのキーをもって他のサーバーを攻撃します。
例えば10台のサーバーが感染すると、
1台のサーバーには10種類のキーが存在する可能性があります。
従いまして、複数台が感染している場合はできるだけ早くにそれぞれの感染状況を
調査させていただくのが、復旧への近道になります。
問題は許容できる復旧までの期間です。
もちろん、解析によりデータ復旧できればそれに越したことは無いのですが、
例えば明日にはシステムを復旧させないといけない!
となると、イチかバチか身代金を支払うことによって、
データを取り戻せることに賭けるしかない場合もあります。
倫理上、身代金の支払いはお勧めできるものでは無いのですが、
企業の存亡がかかっている中では、そうせざるを得ないというのも理解できます。
当社では通常のデータ復旧ももちろんおこないますが、
そういった身代金の支払いによる復旧を目指す企業様のサポートもおこなっております。
身代金の支払いによるデータ復旧を目指す場合、
どういったことをするとデータが戻り、
どういったことをやってしまうとデータが戻らないのかを判断するのは、
専門家でもない限り困難です。
特にLockBitは状況が複雑になる場合が多く、
ちょっとした判断ミスで永遠にデータを復元できなくなるリスクがあります。
当社ではこれまでの実績により、より確実に復旧できるノウハウをご提供いたします。
復旧作業以外の課題についても
・交渉の成功率
・仮想通貨の取り扱い
・倫理上、税法上の問題
など様々な課題について、解決策をご提案いたします。
どういった手法をつかってデータ復旧を目指すにしても、
まずは現状の保全をおこない、その間に方策と方針を決定します。
その判断に悩まれた場合は当社へご相談ください。
専門のコンサルタントがお応えいたします。
データ復旧クイックマンでは、ランサムウェアのデータ復旧、コンサルティングなどおこなっております。
LockBitについては、対応件数に自信があります。
緊急でのご対応も可能です。
お困りの際は下記フリーダイヤルまでご相談ください。
クイックマン(S&Eシステムズ株式会社) フリーダイヤル:0120-775-200