Deadboltランサムウェアの攻撃を受けたファイルを復旧完了
先日Deadboltランサムウェアの攻撃を受けた父の会社のサーバーのファイルを、身代金を支払って復号キーを入手することにより、復旧することができました。
気になる復旧率は、およそ95%くらいでした。
5%というのは何かと言うと、元々サーバーに保存していたファイルの中で、EaseUs Data Recoveryを使って復元しようとしても、復元できないほど破壊されたデータがあるということと、復号ツールを使用しても復号できないファイルが、僅かながらあるなど、復号ツール使用時のトラブルが避けられないことなどがあります。
復号ツールが、拡張子がdeadboltのファイルを復号する時、ファイルの拡張子を削除してしまっている場合が稀にあり、拡張子を手動でもとに戻しても開けないことがあります。ひょっとしたら、誤って復号処理が2回以上かけられたことが原因かもしれないので、その場合は、復号前のデータを取り出して復号しなおせば、解決するかもしれません。それでも、今までの検証では、本当に復号できないデータは、数えるほどしかありません。
また、サーバー内に、同じファイル名の暗号化されたデータで、deadboltという拡張子が付いているものと付いていないものが残されていた場合、復号ツールが両方を復号するので、片方のファイルは、ファイル名がそのままで拡張子が消えたファイルになって残ります。ですから、下の画像の中にあるファイルのように、ファイルの分身が結構頻繁に発生していて、中にはファイルサイズが大きい物があったりするので、ディスク容量をかさまししていて厄介です。
又、犯人が拡張子に.deadboltをつけずに暗号化したファイルがあり、それらは復元できないほど破損していることがあることも分かりました。
さらに、復号ツールを一度走らせただけだと、暗号化されたデータが残ってしまっているという事象が発生していました。ひょっとしたら犯人は、同じファイルを数度にわたって暗号化したのかもしれません。ともかく、何度か復号ツールを実行する必要があり、その処理にはとても時間がかかりました。
結論としては、上記のような問題はあるものの、業務を遂行するには申し分のない状態で、ファイルを復旧できていると思います。
今回のファイルの復旧および復号で気が付いたこととしては、サーバーに残されているファイルをWindowsのエクスプローラでコピーするだけでは、暗号化されたデータが不完全な形でコピーされることがあるらしく、復号ツールが上手く動作しない場合があることが特筆すべきです。復号ツールが、ファイルもしくはフォルダごと復元をスキップしてしまう事象が頻繁に見られました。
EaseUS Data RecoveryでNASの復元をしてから、ファイルを復元することにより、確実にファイルを外付けハードディスクドライブに移し、復号ツールでスムーズに復元することができました。
上記のように、ひと手間かけることにより、より確実にファイルを復旧することができます。EaseUS Data Recoveryは、ソフトとしては割高ですが、購入する価値はあると思います。
実は私は父の会社にリモートデスクトップで繋いで、本業の片手間にファイルの復旧作業をしています。外付けハードディスクを移動させるなどの物理的な作業が必要な時は、父の会社に出向くのですが、そうでなければ、自宅のノートパソコンからいつでも会社のPCに繋いで、サーバーの状態を見たり、作業をしたりできるので便利です。
父は、QNAPのNASを今後も社内サーバーとして使いたいということなので、あらゆるデータや情報を入手した後、私が初期化に挑戦しようと思っています。
また、バックアップの設定についても、良い方法を見つけたいと思っています。
私は、かなり昔に初級システムアドミニストレータという、現在のITパスポートのような資格を取得し、プログラマーとして企業に勤めた経験もあるのですが、今までにIT関連の記事をブログに書いたことはあまりありませんでした。
でも、今回の事件がきっかけで、システムエンジニアとしての経験についても、もっと世の中に発信しようと思うようになりました。怪我の功名とはまさにこのことです。
海外のIT情報をお届けできるシステムエンジニアを目指して、これからも尽力したいと思います。
【7/27後記】
こちらのブログを投稿後、数名の被害者の方のファイル復旧サポートをさせて頂きましたが、最近のDeadboltのバージョンからのファイルの復旧については、犯人が残したプログラムをコマンドプロンプトで実行しても、復号が途中で止まってしまうため、結局、Emsisoftの復号ツールを使わなければなりませんでした。いずれにせよ、ファイルの復旧率は99%で、僅かに復号できないデータがある程度でしたので、ご報告致します。
【ご注意】
もしあなたがこのブログをお読みになって身代金の支払いをお決めになった場合、特にビットコインの支払いに不慣れな方については、送金先のネットワークを間違えるなど、送金時に取り返しがつかないトラブルが発生する場合がございます。
その他復号の仕方など、技術的なサポートもさせて頂きますので、下記の連絡先(LINE)にご相談ください。報酬は復号成功時のみで、金額もお気持ちで構いません。
LINE ID @erikowilde
※9月8日追記
deadboltの被害者でLINEのグループをしています。特にサポートが必要がない方でも、興味がある方はお気軽にご参加ください。
ランサムウェアのDeadboltの身代金を支払いました
昨日の午後、父の会社に香川県警の警察官の方が来てくださり、被害状況や調査結果を詳しく聞いてくださいました。
結論としては、受け入れがたい事実は、身代金を支払って復号コードを入手することだけが、暗号化されたデータを復旧する方法であるということについて、合意に至りました。
そして、警察の立場としては、身代金の支払いが、犯人の今後の犯行を助長しかねないという懸念のため、当然、身代金の支払いは控えて欲しいということですが、ファイルの喪失が企業活動の存続に深刻な影響を及ぼすのであれば、身代金の支払いもやむを得ないであろうということでした。
父は、復号コードが入手できれば、大部分のファイルは復旧できるだろうという私の調査結果報告を信用して、身代金の支払いに合意しました。
警察官のお話によると、香川県で被害に会った皆さんは、ランサムウェアは、身代金を支払ったとしても、3割程度のデータしか復旧できないという、根拠のない社会通念を信じ、どなたも身代金を支払ってはいないとのことでした。
しかし、英語の掲示板などでの一般人の投稿では、身代金を支払った人の中で、ファイルを復旧ができなかったという人は、犯人が仕込んだプログラムが作動しないとか、復号キーの確認方法が分からないなどの技術的な問題を抱えた人以外には、見つかりませんでした。しかも、そのような問題を抱えた人も、ほかのエキスパートのサポートを得て、ファイルを復旧できているようでした。
私が海外のデータ復旧会社と日本のデータ復旧会社の両方の調査をしていて気づいたことととしては、海外のデータ復旧会社は、公然と身代金を支払うことを前提としたデータ復旧を行うことを前面に出してためらわないのですが、日本のデータ復旧会社は、「身代金は支払わないでください」と表記してあることが多いことがあります。
日本の文化として、ランサムウェアの身代金を支払うことは、犯罪の片棒を担ぐような真似だと受け取られる風潮があるので、実際に身代金を支払ったとしても、それを公言する日本企業はほとんどありません。
そのような空気も手伝って、身代金を支払っても、データは復旧できないという社会通念が、否定されにくなっているのだと思います。
今回のDeadboltについては、比較的に新しい種類のランサムウェアであることと、過去の記事で書いた通り、ファイルシステムの破壊力がすさまじいことなどが原因で、削除されたファイルをリカバリすることによるファイルの復旧がほぼ不可能です。そのため、身代金を支払って復号キーを入手することが、ファイルを復旧する唯一の方法になっているので、Deadboltの攻撃を受けたファイルの復旧を依頼されたデータ復旧会社は、身代金を支払わなければ、大部分のファイルを復旧することは不可能であると、私は思います。
その上で、復号キーを入手できれば、ほとんどのファイルを復旧することが可能であることを、ここに明言したいと思います。
私は、犯人が残した復号用のプログラムを使いたくないので、下のリンク先のEmsisoftのツールを使って、復号しています。
ビットコインの支払いは、前から利用している、私の個人のBinanceのアカウントで、ビットコインを購入して支払いました。私は仮想通貨への投資もしているので、その手続き自体には慣れていて、問題はありませんでした。
日本の取引所からは、トラベルルールのため、送金先を明記しなければならならず、身代金の支払いについては、送金できない場合がありますので、Binanceにしました。
(下記のリンク先からBinanceの口座を開設できます。)
Deadboltは乱暴なランサムウェアなので、サーバに2種類の暗号化されたデータを残していることがあります。それは、拡張子に.deadboltが付けられたファイルと、拡張子がそのままで暗号化されたデータです。
復号ツールはそれらの両方を復号する動作をするので、たまに同じデータが2個復旧されることがあります。すると、片方のファイルは、拡張子が削除されてエクスプローラに表示されます。これは比較的分かりやすいので、拡張子のないファイルを後で削除すれば良いです。
また、復旧後に拡張子が.deadboltのファイルを削除するようにツールで設定しているにもかかわらず、それが残ってしまう場合もあります。その場合は、復旧されたデータが開けることを確認してから、削除すれば良いです。
また、復号ツールの動作不良で、復号されずに飛ばされてしまうフォルダがたまにあるようです。その原因は、おそらく、フォルダのツリー構造が複雑さだと思われますので、フォルダを別の場所に移動して復号する必要があるようです。
私はEaseUSでファイルを復旧も行っていますが、それによって、犯人が暗号化し.deadboltという拡張子を付けたファイルを、さらに削除したものを、復旧できています。これはほんの一部のファイルなのですが、ファイルの復旧をより確実にしたいのであれば、導入する価値があると思います。
ともかく、このような事後処理に、かなりの時間と労力を要するのは否めない事実です。
こんなことになるなら、バックアップを数か月に一度でもいいので、外付けハードドライブにでも取っておけば良かったと悔やまれて仕方がありません。まあ、後悔先に立たずなので、今後の教訓にしたいと思います。
Deadboltというランサムウェアについては、上記のように、復号キーを入手すれば、ほとんどのファイルの復旧が可能であることを、こちらのブログで、身代金を支払ってでも、企業の存亡に関わるような貴重なファイルを復旧したいと望んでいる日本の皆さんにお伝えし、少しでもお役に立てたら嬉しく思います。
さらに、復旧できたファイルの中に、犯人の痕跡が残っていないかどうか、現在探していますが、私が見た限りでは、めぼしいログファイルは、やはり軒並み閲覧できないようにゼロバイトに潰されているようです。それでももう少し粘って調べてみようと思っています。
ただ、警察官もおっしゃっていましたが、犯人が調査に非協力的な国家からアクセスしてきている場合、捜査は国家レベルでシャットアウトされてしまうそうです。
犯人がどこの国の人間なのかは、大体予想がつきますが、どの国かを言うだけ野暮なので、ここでは明言を差し控えたいと思います。
【ご注意】
もしあなたがこのブログをお読みになって身代金の支払いをお決めになった場合、特にビットコインの支払いに不慣れな方については、送金先のネットワークを間違えるなど、送金時に取り返しがつかないトラブルが発生する場合がございます。
その他復号の仕方など、技術的なサポートもさせて頂きますので、下記の連絡先(LINE)をお友達追加の上ご相談ください。報酬は問題解決後で、金額もお気持ちで構いません。
又、deadboltの被害者のグループも運営しておりますので、参加ご希望の方はお友達追加をよろしくお願い致します。
LINE ID @erikowilde
ランサムウェアのDeadboltの被害状況について
Censysというインターネットセキュリティ会社のウェブページに、ランサムウェアのDeadboltに関する興味深い記事があります。
上記のウェブページには、現在Deadboltの攻撃を受けてもなお、オンラインの状態で放置されている世界中のサーバーがリアルタイムで表示されるリンクがあります。
その数はこの記事を書いている今まさに、500を超えていて、日本のサーバーも含まれています。
こちらのリンクを辿っていくと、なんと攻撃を受けたサーバーのランサムノートがすべて閲覧できる状態になっています。
管理者は気づいていないのでしょうか。それとも故意に放置しているのでしょうか。
それについては謎ですが、ともかく、このDeadboltというランサムウェアが世界中で猛威を振るっていることが一目で分かります。このリストを見ていると、当然日本にあるサーバーも含まれています。
父の会社のサーバーについては、現在のところ、訳ありで社内ではランサムノートが表示されたままにしていますが、外部からサーバーにはアクセスできないようになっています。そのような状況のサーバーも世界中にはたくさんあるだろうと思われます。
上記のCensysの検索ページからは、父の会社のグローバルIPアドレスも検索でき、開放されているポートや、ログインページのリンクまで見えることを先日知って、驚きました。万一ログインIDとパスワードが漏洩したら、すぐログインできるのです。
Deadboltのランサムノートを復旧する方法と身代金の受け渡しプロセス
身代金要求をしくじった誘拐犯
前回の記事で、ランサムウェアのDeadboltの攻撃を受けたQNAPのNASについて、ランサムノートが見れない状況だったことを書きました。
下記のリンク先のQNAPのウェブページに記載された方法で、ランサムノートの復旧を試みましたが、真っ白けのページが表示されるだけでした。
QNAPにも問い合わせをして、ヘルプデスクから復旧を依頼しましたが、対応が遅いので、自分でも色々試したところ、奇跡的に復旧できました。
その方法について、多少小難しいですが、記載しておきます。
犯人がファイルを暗号化した時間から判断すると、犯人は、ファイルを暗号化する前に、まずこのランサムノートをサーバーに作成しようとしたものと思われます。
ただ、父の会社のサーバーの場合、おそらく、犯人がランサムノートを作成するために必要なコマンドがインストールされていなかったために、ランサムノートが生成されなかったのであろうと考えられます。
というのは、犯人は、ランサムノートを生成するために、先ず攻撃対象のハードディスク内の下記のフォルダに、SDDPd.binというファイルを保存します。
/mnt/HDA_ROOT/update_pkg/SDDPd.bin
このファイルを実行すると、ランサムノートが生成され、NASに他のPCからブラウザでアクセスした際に表示されるトップページである、下記の場所の既存のホームページが改ざんされます。
/home/httpd/index.html
そして、もとのindex.htmlは、index.html.bakというファイルに書き換えられます。
ただ、このランサムノートを生成するために上記のファイルを実行した時、NASにインストールされていることが必要なコマンドがありました。それは、chattrという、ファイルの属性を変更するコマンドでした。SH接続したコマンドプロンプトでSDDPd.binを実行すると、下記のようなエラーが返されました。
SDDPd.bin: line 6: chattr: command not found
私は、ほぼ思い付きで、このコマンドを、Windows 10にインストールしたubuntuというLinux系ソフトからコピーして、NASにWinSCPというSH接続でNASのハードディスク上のファイルを管理できるソフトを使って、取ってつけたかのようにアップロードしました。
するとそれが功を奏したようで、先に一歩進み、エラーの種類が変わりました。思いついたらやってみるものですね。
SDDPd.bin: line 6: /bin/chattr: Permission denied
今度は上記のようなchattrのパーミッションがないというエラーが出たので、再びWinSCPでchattrのパーミッションを777に設定しました。
すると今度は、下記のようなエラーが出ました。
chattr: symbol lookup error: chattr: undefined symbol: fsetproject
これも、どうやらLinuxのコマンドのインストールが上手くいっていない時に出るエラーのようでした。本来のLinuxなら、e2fsprogsというコマンドで再インストールできるはずなのですが、QNAPのNASではできませんでした。そこで、NASに様々なコマンド関係のパッケージをインストールしてみました。Qnap Clubを下記のリンク先のように追加し、QOptware-NGと、Entware-stdをインストールしました。
また、下記のリンク先の、QNAPのウェブサイトから、QDKというアプリのパッケージを検索してダウンロードして、インストールしました。
実際、ランサムノートは、私がSDDPd.binと格闘している間に、NASに繋いでいたブラウザに、突然表示されていたので、上記のアプリのどれが良かったのかが分からないので、全て列挙しましたので、何卒ご了承ください。
とにかく、何度も下記のフォルダ内で下記のコマンドを実行しました。
cd /mnt/HDA_ROOT/update_pkg
sh SDDPd.bin
すると、突如としてランサムノートがNASに繋げていたブラウザに表示されるようになりました。
結局、上記のfsetprojectのエラーは未解決のままで、SDDPd.binが実行できたということです。
ランサムノートには、指定のビットコインアドレスに0.03BTC(現在約8万円相当)を送金すると、ファイルを復旧するために必要な復号キーの返答があるので、それを入力すると、ファイルが復号されるようになっているという趣旨の文言が書かれています。
また、Deadboltの最大の特徴としては、被害者に直接身代金を要求するとともに、このサーバーの製造業者であるQNAPに対し、身代金の支払いを要求していることがあります。QNAPが5BTCを支払えば、脆弱性についての情報が提供され、50BTCを支払えば、さらに全ての被害者がファイルを復号できるコードが与えられると書いてはいますが、本当にそんなことが可能であるかどうかについては不透明であるとのことです。
もっとも、この0.03BTCを支払い、復号コードを入力しても、このランサムノートのフォームがうまく働かない場合があるそうですが、これについては、復号キーを持っている被害者が、ファイルを復旧できるツールを、Emsisoftという会社が配布しているので、大丈夫なようです。(下記のリンク先)
身代金を支払った後、上のランサムノートの画像の該当箇所に、返答された復号キーを入力してボタンを押すと、共有フォルダのファイルが復号される仕組みになっています。つまり、攻撃を受けたサーバー内に、復号用のプログラムが犯人によって既に仕組まれているということです。その際に復号を行うために使われると思われるファイルが、下記のパスにあるファイルです。
このファイルは、おそらく、犯人がサーバー上のファイルを暗号化する時にも使用したものであろうと思われます。
/mnt/HDA_ROOT/#####(4桁~5桁の数字からなるファイルでサイズの小さい方)
また、復号コードを入手している場合は、犯人がサーバー上に残した上記のファイル名が数字のファイルを下記のリンク先のように実行して、復号することも可能です。
つまり、上記のSDDPd.binのファイルと、こちらの数字のファイルの2個のファイルが、犯人がNASに残す最大の痕跡だということです。
身代金を支払うべきか
実際、身代金を支払ってファイルを復号するかどうかは、とても難しい判断だと思います。現在のところ、被害者全体の中で身代金を支払った人は8%程度だそうです。
ランサムノートについている復号キーを入力して復号するボタンは、攻撃を受けたサーバーの共有フォルダ内のデータのみを復号するようになっています。
しかし、犯人は、共有フォルダの中のデータのみを暗号化した訳ではありません。
犯人は、サーバーのあらゆる設定ファイルやログファイルも、証拠隠滅のために暗号化していっています。しかも、その暗号化したファイルを削除もするという念の入れようです。これらのファイルは、削除されても復旧が不可能になるほどの損傷を受けていないようなので、復号すれば内容を確認できる可能性が高いのです。ひょっとしたら犯人の身元や場所などに関するなんらかの手がかりが見つかるかもしれません。
父の会社のサーバーには、どうやらPasoLog Managerという監視ソフトがセキュリティ管理会社によってインスト―ルされていたらしいのですが、そのログがDeadboltによって暗号化され、さらにどうやらフォルダ毎削除されているようなのです。
幸い、これらのデータは、共有フォルダで削除された元データとは違い、復元が可能な状態で削除されています。暗号化されたファイルをそこまで破壊することが、犯人にとっても難しかったのかもしれません。
現在EaseUS Data Recoveyを使って、とりあえず削除された暗号化ファイルを復元しようとしています。この復元のためのファイルの検索に、かなり長時間かかるため、検索が終了するまで待機中です。
世界中での身代金の支払い状況
犯人が指定するビットコインアドレスに身代金の支払いがあると同時に、犯人の別のウォレットから、自動的にブロックチェーン上に文字列を刻むことができるOP_RETURNという機能を利用したプログラムが作動し、復号コードが、ネット上で誰もが閲覧できるように公開されます。
その様子が、下記のリンク先から確認できます。
ビットコインの金額が犯人の指定する金額に満たない場合は、そのプログラムが作動しないようになっているようです。
この履歴をたどっていくと、この犯人の別のウォレットの残高が枯渇しないように、時折また別の犯人のウォレットから、ビットコインが補充されていることが分かります。この補充用のビットコインアドレスは、毎回違うアドレスを使っているようです。
また、犯人は、支払われた身代金にはまったく手を付けず、支払われたビットコインは、今のところ、数多くの犯人のウォレットの中にそのまま手つかずで放置されている状態のようです。
ファイルを確実に復旧できると謳う業者
ネットを検索すると、Deadboltの攻撃を受けたファイルを確実に復旧できると言っている業者が見つかりますが、そのような業者は、決して公にはしないでしょうが、身代金を支払って復号コードを入手してファイルを復旧するより他に手段がないであろうと思われます。今はビットコインのレートが下がっているので、身代金の8万円相当のビットコインを支払うより、業者に40万円支払う方が高額になっています。
サイバー犯罪に屈しない
このように徹底的にこのランサムウェアを調査していくにつれて、少しずつ全貌が見えてきていますが、犯人がどこかでぼろを出さないかと、虎視眈々と睨みをきかせています。非力な私ですが、どうにかして一矢報いたいという執念が今の私の原動力となっています。
【ご注意】
もしあなたがこのブログをお読みになって身代金の支払いをお決めになった場合、特にビットコインの支払いに不慣れな方については、送金先のネットワークを間違えるなど、送金時に取り返しがつかないトラブルが発生する場合がございます。
その他復号の仕方など、技術的なサポートもさせて頂きますので、下記の連絡先(LINE)をお友達追加の上ご相談ください。報酬は問題解決後で、金額もお気持ちで構いません。
又、deadboltの被害者のグループも運営しておりますので、参加ご希望の方はお友達追加をよろしくお願い致します。
LINE ID @erikowilde
ランサムウェアのDeadboltの攻撃を受けたファイルの復旧方法
攻撃のあらまし
2022年5月14日土曜日の朝、父から電話がありました。
父の会社のサーバーの共有フォルダのファイルのほとんどすべての拡張子が、deadboltに書き換えられているとのことでした。
これはDeadboltというランサムウェアで、今年世界中でQNAPやAsustorのNASというサーバーを標的とした被害が多発していることを知りました。
そして、父の会社のサーバーは、QNAP NASという台湾製のものだと判明しました。
休日なので、サーバーとセキュリティーの外注先の会社と連絡が取れないので、父は私に応急措置ができないか尋ねましたが、父の会社のサーバーの管理は私は携わっていなかったので、責任の外注先の対応を待つべきだと返答しました。
父はサーバーのLANケーブルを抜いて、週明けを待ちました。
数日後、外注先の会社の人が父の会社に来たので、話を聞くために私も出向きました。なんでも、QNAP NASには、ファイルを保存するたびにバックアップする機能があるので、ファイルを復旧できると言われました。
父は、サーバーセキュリティの外注先にファイル復旧の見積もりを依頼しました。
見積もりには2週間くらいかかり、40万円ほどになると言われました。
父は元々サーバーやセキュリティー機器および保守に数百万円を支払っているので、ファイル復旧にそのような金額をもう支払いたくはないと断り、サーバーを取り戻しました。
そして父は、システムエンジニアの端くれの私に、ファイルの復旧を試みるように言いました。
※9月8日追記(9月16日編集)
その後の情報で、deadboltの攻撃を受けている途中で接続を切り、QNAPに調査を依頼すると、一時記録領域に犯人が残した復号キーが記載されたファイルを見つけて復号キーを知らせて貰える可能性があるという事実が判明しました。もし攻撃の途中で気付いた方がいらっしゃいましたら、QNAPのサポートに連絡すると、復号キーを知らせて貰える可能性があります。
インターネット検索での調査
私は、このランサムウェアについての英語の情報を調査し、身代金を支払わずにファイルを復旧できる方法を暗中模索しました。
そして、このランサムウェアがいかに周到で巧妙な仕掛けになっているかを思い知らされることになりました。
犯人がファイルを暗号化した方法と復号の方法
拡張子をdeadboltに書き換えられたファイルは、ただファイル名が書き換えられているわけではなく、暗号化されているので、拡張子を元に戻しても、普通は開くことができなくなっています。
「普通は」と言うのは、英語のフォーラムでの書き込みで、拡張子を元に戻すとファイルが開けたという報告をしている人がいたからです。これは、おそらく、犯人がファイルの暗号化の途中で犯行を阻止されたからだろうとのことでした。
父のサーバーについては、調べた限りでは、やはりファイルは実際にすべて暗号化されているようでした。
私が受け止めなければならない事実は、このdeadboltという拡張子を付けられて暗号化されたファイルは、32桁の復号キーがなければ、復旧は不可能であるということでした。
そして、この復号キーは、攻撃を受けたサーバーに通常残されるはずの、ランサムノート(脅迫文)に記載されたビットコインのアドレスに、指定された金額のビットコインを送金することによって初めて、公開されるとのことでした。
ただ、QNAP NASのサーバーでは、このランサムノートが見つからないという問題が、世界中で多発しています。父のサーバーについても同様です。これは、セキュリティーの脆弱性に気付いたQNAP NASの会社が、修正パッチを、ネットにつながっているすべてのQNAP NASに、今年の1月27日に強制的に当てたことにより、ランサムノートがサーバーにブラウザでアクセスしたときに表示されないようになったからであるとのことでした。ただし、ランサムノートを確認したい場合には、QNAPに問い合わせるようにとの記事が見つかりました。
私も現在問い合わせ中です。
なぜランサムノートが必要なのかについて書きます。
私は必ずしも身代金を支払おうと思ってランサムノートを求めているわけではありません。
このビットコインアドレスを手掛かりにして、上記の復号キーを入手する方法があるかも知れないので、ランサムノートを確認したいのです。
なぜそんなことが可能かと言うと、こちらの動画を見つけたからです。
この動画によると、犯人のビットコインアドレスをたどることにより、身代金を支払った人に返答された復号キーが、ウエブ上で閲覧できるとのことでした。
復号キーにはいくつかパターンがあるようで、もし自分のサーバーに使われた復号キーが、他の人に提供された復号キーと一致する場合、自分のファイルを復旧できる可能性があるとのことでした。
また、ビットコインアドレスと復号キーはセットになっているようであるという情報も入手しました。つまり、ビットコインなどの仮想通貨は、どのような取引がなされたのかがインターネットで確認できるようになっているので、ランサムノートに記載されているビットコインアドレスへの送金履歴が下記のサイトで確認でき、しかも、送金時に自動で返信される復号キーもそこに記載されているとのことでした。
つまり、ランサムノートからビットコインアドレスを知ることにより、そのビットコインアドレスへの送金履歴を検索すると、過去にそのビットコインアドレスに送金した人がいれば、自分のと一致する復号キーが分かる可能性があるとのことでした。
こちらの情報がきっかけで、ランサムノートが見たくなったという訳です。
復号キーなしでのファイル復旧作業の方法
PhotoRecを使用
上記の情報にたどり着くまでに、他の手段も試してみました。
先ず、こちらのウェブサイトに掲載されているツールを使用してみました。
こちらのツールは、ubuntuというUNIX系のプログラムを使用して、PhotoRecというソフトを使い、削除されたファイルを復旧するというものでした。
なぜ削除されたファイルなのかと言うと、Deadboltは、実は元々のファイルそのものの拡張子を置き換えるのではなく、元々のファイルからまずdeadboltという拡張子のファイルを新たに作成して暗号化し、その後元々のファイルを削除する、という手順を取っているからということでした。
つまり、その削除されたファイルを復旧できれば、ほとんどのファイルが復旧できるはずであるという発想から採った手段であるとのことでした。
ただ、このDeadboltというランサムウェアは、そのような手段を被害者が採るであろうことをもちろん知っており、その削除されたデータが保存されているディスクの領域に、新しく作成したdeadboltのファイルを上書きするように仕掛けがされており、復旧されたデータの多くが、復旧不可能になるように破壊されているということでした。
実際に、復旧されたファイルのうち、正常に開くことができるファイルは一部でした。
また、上記のツールでは、PhotoRecが元々のファイル名を復旧できず、ファイル名はデータが保存されているディスクのセクタ名になるため、復旧後に、拡張子がdeadboltに換えられたファイルと、データの大きさを比較し、同じ拡張子とファイルサイズのファイルを見つけ出して復旧するというプロセスを踏みます。その際、どうやら、拡張子がdeadboltになり暗号化される際に、元のファイルサイズと若干異なるファイルサイズになってしまうことが多く、復旧されたデータのうち、ファイル名が復旧できるファイルは僅か一握りになってしまうようでした。
その結果、PhotoRecで復旧された膨大な数のファイルは、手動で一個一個開いてみて中身を確認し、開ける場合には、元々のファイル名に直して、元々あったフォルダーに手動で振り分けるなければならないとう途方もない作業が発生することになりました。
これは非常に骨が折れる作業です。
将来の対策方法のアップデートに期待
ただ、この作業は無駄ではなかったと思います。
と言うのは、過去のランサムウェアについても、暗号化されたファイルと、元々のファイルが両方揃っている場合、その二つのファイルから、復号キーを導き出すツールが提供されているので、Deadboltについても、そのようなツールが将来的に作成され配布されるようになることが期待できるからです。
上記の理由で、deadboltに拡張子が置き換えられ暗号化されたファイルは、将来復旧できるようになる可能性があるので、削除せずに保管しておくことが推奨されます。
EaseUS Data Recoveryでのファイル復旧
上記のubuntsuでのファイル復旧作業の後、私が父に導入を頼んだソフトが、EaseUS Data Recoveryです。このソフトは、ネットワーク上につながっているNASと直に接続して、ファイルサーバー上だけでなく、ハードディスク上で削除されたすべてのデータを復旧できるという特色があります。
私がこのソフトの導入を薦めたのには下記の理由がありました。
そのきっかけは、トレンドマイクロ社のある記事についてのフォーラムでの言及でした。
Deadboltの犯人は、サーバーのファイルを暗号化するために、一度サーバーに、暗号化キーが記入された設定ファイルを保存してから、プログラムを走らせるのだとしたら、その痕跡が、サーバーに残っているのではないかという憶測が言及されていました。
藁をもすがる思いで、サーバー上に残された設定ファイルを探してみると、Tomcatというプログラミングのファルダに、なぜか拡張子がdeadboltのデータが、攻撃された5月13日の午後6時過ぎごろ、つまり共有フォルダ内のファイルの拡張子が置き換えられる前に作られていることに気が付きました。
そしてその中に、classファイルがありました。いくつかは拡張子がdeadboltに換えられていましたが、いくつかは拡張子がclassのままになっていることに興味を持ち、試しにそれらを復旧してみて、Javaで「逆コンパイル」してみましたが、どうやらこれらすべてのファイルも暗号化されているために、逆コンパイルができないことが判明しました。犯人は周到に痕跡も暗号化して行ったのだろうと思われます。
こちらについては、どこかに落ち度はないのかと、まだ調査中です。
拡張子がdeadboltに換えられていないファイルを試しにテキストエディタで開いてみると、ほとんどの内容が文字化けで判読不能なのですが、ファイルの最後の方にDEADBOLTという文字が記載されているので、それらのclassファイルもDEADBOLTによって暗号化されていることが明らかだと思われます。
EaseUSでファイルを復旧するのには、何十時間もの時間が必要なのですが、その間にNASとの接続が途切れてしまう問題に悩まされています。NASが定期的に接続を遮断しているのかも知れませんので、その対策も必要です。
EaseUSは、PhotoRecとは異なり、削除されたファイルが元々どこのフォルダにあったファイルなのかや、ファイル名も表示されるのですが、ほとんどのファイルのサイズの表示がゼロになるため、復旧が不可能になっています。これも犯人の仕業であろうと思われます。
ファームウェアのアップデートは有効か
Deadboltの攻撃に対策するために、QNAP NASのファームウェアの更新をするようにとの記事がインターネットのニュース記事に書かれていますが、実際に、この攻撃はファームウェアが最新でも、サーバーのポートが開いていて、外部からアクセスできるようになっている限り、攻撃にさらされるということです。つまり、QNAP NASの根本的な(ゼロデイといいます)脆弱性を狙った攻撃であろうということです。
古いサーバーで応急対応
現在、父は私がかなり以前に設置した古いFedora 7というLinux系のOSのサーバーを再度使用しています。2018年頃までのデータはそこに残っていたので、4年分位のデータが失われたということです。
会社のすべてのデータがなくなるよりは随分ましですし、このサーバーで今のところはなんとか会社の業務も行うことができているようです。
警察署の方に情報提供
来週、香川県警などの警察署の方が父の会社に私の話を聞きに来てくださるとのことで、現在上記のような情報を書き溜めているところです。敵は相当手ごわいので、私などで歯が立つのかどうか分かりませんが、お話しする前に、できるだけ多くの情報を仕入れておきたいと思っています。
References:
子宮腺筋症を原因とした月経困難症の食事療法について
先日、formieでファスティングコンサルタント資格を取得しました。その知識を活かしてこの記事を書いています。
子宮腺筋症の診断と治療方法
最近の数か月間、寝込んでしまうほどの酷い生理痛と経血過多で丸亀市の評判の良い産婦人科の医院に受診しました。
小さな子宮筋腫と、左側に4cm以上の卵巣嚢腫があったため、手術の必要性がある可能性があり、労災病院に紹介状を書いてくださいました。
労災病院でMRI検査を受けたところ、卵巣嚢腫は直ちに手術が必要なものではなく、月経困難症の原因は、子宮腺筋症で子宮が大きくなっているためだろうとのことでした。自分で調べたところ、卵巣嚢腫が月経困難症の原因になることは少ないそうです。
47歳で閉経が近いという理由で、月経困難症の治療としてホルモン剤やピルの処方はしないとのことでした。その代わりに、次回の月経後にミレーナを装着して頂くことになりました。
最近は月経前の数日間と月経後もしばらく下腹部痛が続くようになっていて、日常生活に支障が出ています。今のところ、市販のイブプロフェンの鎮痛薬を飲んで何とか痛みを凌いでいますが、生理中でない日にも下腹部痛がある時には、鎮痛薬を飲まないと我慢できない状況です。
イブプロフェンの長期連用の副作用が心配になって、Ask Doctorsでセカンドオピニオンを求めたところ、10日間以上服用すると長期連用になるため、胃腸障害には注意した方が良いとのことでしたが、生理日以外に服用すること自体には問題ないということでしたので、どうしても痛みが強い時だけ服用することにしました。
また、ミレーナでは腺筋症の痛みは完全には取り切れない可能性があるので、ジエノゲストという40歳を超えても飲めるホルモン剤や、生理を完全に止めるような治療を考慮してもらっても良いと、優しいお医者様にアドバイスを頂きました。
私は労災病院の先生に直談判できるような性格ではないので、ミレーナ装着後に、ホルモン剤などの治療を考慮してくださる別の病院を探そうかと企んでいます。労災病院は予約していても待ち時間が長いのもしんどいです。親身になってくれるお医者様を見つけることを諦めないようにしたいものです。
月経困難症を引き起こす子宮腺筋症の原因と対策
日本語や英語で様々な情報を確認したところ、子宮腺筋症の原因として考えられることとして、下記の事項が分かりました。
プチ断食
月経困難症になる女性の中には、ダイエットのために食事を抜かす女性が多いという研究結果が明らかにされています。「『空腹』こそ最強のクスリ」のような大人にはプチ断食が健康に良いと唱える医学博士の書籍もありますが、それは男性に限った話であるということです。私は確かにプチ断食で15キロほどのダイエットに成功しましたが、その代償として月経困難症になってしまったようです。やはり女性は大人でも子宮の健康のためには朝食を食べたほうが良いということです。私も朝食を食べることにしました。私が朝食に選んだのは、オートミールです。オートミールのお茶漬けやオートミールの雑炊は、とても簡単に調理でき、おいしくてヘルシーです。子供もおいしいと言って食べてくれるので嬉しいです。
ご飯みたいな満足感と本格味で置き換えダイエット【楽チン オートミールごはん】
カフェイン
カフェイン、特にコーヒーを一日に何杯も飲む女性は、月経困難症である割合が高いそうです。私も、カフェラテやミルクティーを一日に2、3杯飲み続けていました。紅茶はコーヒーほど悪くないという説もありますが、紅茶をたくさん飲む女性の中にも月経困難症の人が多いという研究結果もあるので、注意した方が良いようです。また、ファスティングコンサルタント資格講座を受講時に、ファスティング中のカフェインは禁忌であるとも書かれていました。カフェインの摂り過ぎは貧血の原因になるため、月経困難症を悪化させる可能性があるそうです。
緑茶はどうだろうと思って調べてみると、緑茶を飲む女性は月経困難症が少ないという研究結果があるそうなので、私もなるべく緑茶を飲むようにしたいと思います。
また、朝一番の飲み物は、カモミールティーやローズヒップティーなどのハーブティーにしようと思います。ハーブティーには、リラックス効果や抗炎症作用が期待できるそうです。
オメガ6系脂肪酸の過剰摂取
オメガ6系脂肪酸とは、多価不飽和脂肪酸の1種で、キャノーラ油やコーン油などのサラダ油や、くるみなどのナッツに多く含まれています。フライドポテトや菓子パンなどにも植物性油脂として多く含まれています。現代人はこのオメガ6系脂肪酸を過剰に摂取していると言われています。
私は「『空腹』こそ最強のクスリ」に書かれていた「ナッツはいくら食べても大丈夫」という助言を信じて、空腹時間にナッツをたくさん食べていましたが、ナッツの中でもくるみにはオメガ6系脂肪酸が多く含まれていて、摂りすぎると月経困難症の原因になりかねないということを、ファスティングコンサルタント資格講座を受講した際に知りました。
ナッツは適量であれば月経困難症の改善に良いということなので、これからは適量のナッツを食べることにしようと思っています。ナッツの中でも、アーモンド、カシューナッツ、マカデミアナッツなどは、多価不飽和脂肪酸よりも一価不飽和脂肪酸の比率が高いので、月経困難症の改善により効果的であるとのことです。ですから、くるみ以外の適量のナッツを自分でミックスして食べることにしました。
また、現代人の食生活には、オメガ3系脂肪酸が不足しているそうです。なるべく魚を食べるようにしたいものです。
こちらは参考にさせて頂いたブログ記事です。
また、脂肪酸以外に、糖質も制限するべきとのことです。人工の甘い物はなるべく控えたいと思います。
乳製品
チーズを多く食べる女性の中に、月経困難症である女性が多いという研究結果が明らかになっています。それに対して乳製品は月経困難症の改善に効果的であるという研究結果もあるので、乳製品については判断が難しいと思います。「『空腹』こそ最強のクスリ」にも空腹時には乳製品が良いと書かれていたという理由で、カフェラテに使っていた粉末ミルクに含まれる乳製品や、空腹時に食事代わりに食べていたチーズが、実は良くなかったのかも知れないとも思われるので、試しにそれらの乳製品を省いた食生活にしてみようと思っています。
乳製品やコーヒーの代わりに、「アーモンド効果」などのアーモンドミルクや、甘酒、本当は手作りが良いのですが、市販の野菜生活シリーズのスムージーなどを飲むようにしたいと思います。
どうしても紅茶が飲みたくなったら、たまにシナモンやジンジャーが入ったチャイをアーモンドミルクで作って飲むのも良いのだろうと思います。
TV、メディア掲載多数。今話題の本格マサラチャイ!【レンジdeチャイ】
運動不足
私はコロナ禍以前からほぼリモートワーク中心の生活を続けてきているので、自宅で一日中コンピューターに向かっている日が多く、どうしても運動不足になりがちです。一時期、腰痛対策のためにジムが付属されている整形外科に通院して、エクササイズマシンを使わせてもらっていたのですが、腰痛がかなり改善したので通院しなくなったため、運動量が減りました。
そこで、自宅でエアロバイクで運動を1日最低40分はしようと決めました。これを選んだ理由は、iOSアプリのヘルスケア上の歩数計とシンクすることにより、歩数を伸ばすだけで仮想通貨を貰えるという画期的なSTEPというプラットフォームを見つけたからです。普段運動のためのモチベーションの不足に悩んでいたのですが、このプラットフォームは私が大好きな仮想通貨が貰えるという素晴らしいきっかけを私に与えてくれました。貰える仮想通貨は僅かでも、期待できる健康への効果は大きいので、続けてみたいと思っています。STEPについては、報酬が入金され始めたら、また別に記事を書きたいと思っています。
ビタミンやミネラルの不足
月経困難症の緩和のためには、マグネシウム、カルシウム、ビタミンB、ビタミンD、ビタミンEなどのミネラルやビタミンが有益ということです。これらはダイエットで不足しがちなので、サプリメントで補いたいと思います。
おわりに
先日、月経困難症を理由に、数年ぶりに依頼された通訳ガイドのお仕事を断腸の思いで断りました。月経困難症は女性のQOLを著しく下げるれっきとした病気です。様々な医療情報が飛び交う今日、自分にとっての確かな情報を得ることがとても大切だと思います。上記の対策でも改善しない場合には、不妊治療の時にお世話になった漢方薬局に相談しようと思っています。保険適用外なので高価になるでしょうが、健康のためにはやむを得ないだろうと思います。漢方薬局に頼るのは切り札にしておき、目下、上記の通り、自分でできる対策はできる限り自分で試してみたいと思います。
太りやすい体質なので、しっかり食事を摂って痩せるのは至難の技なのですが、私には美しい体型よりも健康の方が大事なので、健康第一で毎日を過ごして行きたいです。
うつ病を寛解させるには
1年以上はてなブログを更新していませんでしたが、又更新を再開することにしました。
昨年の終わり頃に主治医から断薬しても良いと言われたので、少し不安でしたが思い切って断薬し始めました。
それから、多少の気分の浮き沈みはあるものの、薬に頼ることなく過ごせています。
主治医も私が「寛解」に至っていると認めてくださいました。
うつ病の治療中、私は、自分と同じような病気に苦しんでいる人を助けられるようになりたいと願い、勉強して心理カウンセラーやメンタルヘルス・スペシャリストの資格を取得しました。
そして、既にカウンセラーとしての活動を始めています。
うつ病が厄介な病気である理由の一つに、様々な症状の原因が不明瞭であることがあります。
私の場合、症状としては、かなり長年に渡り悩まされてきた耳鳴りを始めとして、睡眠障害、無気力、倦怠感、ネガティブな反芻思考、理由のない不安感、物忘れなどがありました。
また、偏頭痛、立ちくらみ、腰痛などの悩みもありました。
服薬をしていた時、私を悩ませたのは、薬の副作用に関する不安感でした。
私はうつ病による過食で、元々体重の増加傾向があったのですが、服薬を始めてから、さらに太りやすくなったようでした。
腰痛は、服薬開始後10数キロ太った結果として生じていたようでした。でも、当時私は腰痛もうつ病の症状だと思っていました。
そんな折、昨年の1月末に、中田敦彦さんのオンラインサロンPROGRESSの授業で、オートファジーが取り上げられました。1日16時間の断食で健康になるという内容でした。その授業の影響で、私もほぼ1日1食で、お腹が空いたらナッツを食べるという生活を始めました。夜7時ごろに夕食を食べた後は何も食べず、翌朝午前11時までは、ナッツ以外は食べないようにしました。うつ病にはセロトニンが大切なので、午前11時以降にバナナやチーズなどを少量食べるようにしました。また、オートファジーだけではどうしても筋肉量が減るので、近所のジムが併設されている整形外科に通い、軽い筋トレを続けました。そして1年間で、10キロ以上のダイエットに成功しました。その結果、デスクワークが苦痛に感じるほどの腰痛が、今ではほとんど完治しています。
オートファジーをすると、体の浄化作用が強くなるため、胃腸に障害があることがあるそうです。私は一時期この胃腸障害が完全に抗うつ薬の副作用なのかと勘違いしていました。少しは抗うつ薬がそれを助長していたのかもしれませんが、オートファジーが原因だったようです。しばらくの間ビオフェルミンが欠かせませんでしたが、ヨーグルトを食べるようにすると改善しました。
断薬してからは、若干太りにくくなったようにも感じますが、少し食べ過ぎるとやはり太るので、体重増加には気をつけています。そもそも、肥満はうつ病の原因の一つでもあります。そしてうつ病も肥満を招きますから、悪循環が起きる訳です。それを何とか食い止めるために、オートファジーは大きな効果があります。
さらに、生理痛も酷くなってきたので、産婦人科で診てもらうと、酷い貧血だと言われ、鉄剤を処方されました。鉄剤をしばらく飲み続けると、立ちくらみや偏頭痛がなくなったので、今思い返すとそれらはうつ病ではなく貧血が原因だったのだろうと思われます。
耳鳴りについては、蜂の子のサプリを飲み始めて数ヶ月で改善し始め、今ではほとんど気にならなくなりました。うつ病が耳鳴りを引き起こしていたと言うよりは、耳鳴りがうつ病を引き起こしていたのだと思われます。
上記のように、うつ病の症状だとか、抗うつ薬の副作用だと思っていたことが、実は別の病気が絡んでいた、ということがたくさんありました。
また、うつ病が原因となって、他の病気になってしまう、ということもありました。
抗うつ薬が原因で物忘れしやすくなると考える人もいますが、うつ病の症状自体に物忘れがあるので、抗うつ薬を飲む人が物忘れをしやすくなるのではなく、もともと物忘れをする病気にかかっているだけの話なのだろうと思います。ですから、うつ病の症状が軽くなるにつれて、徐々に物忘れも減っていっているような気がします。
太りやすさや物忘れについては、甲状腺の異常が原因で生じる場合もあるそうなので、内分泌科で検査を受ける必要もありそうです。
また、うつ病になると、歯の手入れができなくなることが多いです。歯医者に行かないといけないのに、行く気が起きなくなります。私もそうでしたが、昨年やっと通い始めることができ、根幹治療を受け、クラウンを付けてもらっています。
うつ病になると、体の様々な不調について、自分では正しい判断ができなくなってしまいます。様々な問題が全てうつ病、あるいは抗うつ薬のせいだと考えてしまい、無気力も手伝って、適切な診療科に受診することができなくなるのです。
睡眠障害については、寛解するまでは、深夜に何度も目が覚める中途覚醒が悩みでした。でも、服薬している間に、少しずつ目覚める回数が減り、長時間眠れるようになってきました。寛解してもなお、若干の早朝覚醒は続いていましたが、夜午後10時頃に就寝するため、朝5時ごろ覚醒しても一応深夜には熟睡できるようになっていたので、余り気にしないようにして過ごしていると、最近になって、いつの間にか大抵は朝6時頃の起床時間まで眠り続けることができるようになっていることに気づきました。睡眠障害については、早く目が覚めすぎることをあまり気にし過ぎないことも大切だと思います。
また、断薬してから飲酒しても良くなったのですが、服薬中に禁酒に慣れたので、1か月に1度大好きなギネスを飲むか飲まないかくらいになりました。無意識的にお酒を減らしたくなっているので、普段はノンアルコールビールで我慢できています。うつ病と診断されるまでは、まあまあ飲酒していたので、闘病後お酒の量もかなり減りました。
私は寛解した今思うのですが、何より気をつけなければならないことは、抗うつ薬に対する過剰な猜疑心だと思います。
世の中には、抗うつ薬について過剰な拒否反応を示す人々が大勢います。私はそれは感情的で非科学的な偏見だと思います。
抗うつ薬は上手に服用すればうつ病と上手に付き合っていくための頼り甲斐のある助っ人になります。
私は、抗うつ薬への猜疑心と闘いながらも、医師の指示通りに服薬し続けることができて本当に良かったと思っています。
私はうつ病経験者として、そして心理カウンセラーとしても、この事実を世の中に知らしめていきたいと思っています。