Eri Wildeの那由多ブログ

エリワイルド(Eri Wilde)のブログです。 本名は福田英里子です。東京外国語大学外国語学部英米語学科卒。英語講師、日本語講師、通訳、香川せとうち地域通訳案内士、翻訳、SE、占い師、心理カウンセラー、YouTuberをしています。二人の兄弟の母親です。音楽(ピアノやウクレレの弾き語り)、アートなど多趣味です。次男は発達障害です。 お仕事のご用命は下記のメールアドレスまで宜しくお願い致します。eriwilde0@yahoo.co.jp

ランサムウェアdeadboltの身代金の支払い方(Binanceの口座からの場合とbitFlyerを経由する場合)

ランサムウェアdeadboltの身代金の支払い方法について、お問い合わせが多いため、Binanceの口座からの支払い方について、こちらに記載したいと思います。

最初にご注意頂きたいのは、Binanceは日本では正式に取引所として認可されていないため、日本円の入金ができないということです。

日本で認可されている、日本円の入金ができる取引所からは、トラベルルールのために、ランサムウェアの身代金の支払いが難しいと思います。

ですから、まずはBinanceなどの海外の取引所の口座を開設しなければなりません。

Binanceは大抵の機能は日本語で利用できますので、英語が苦手でも問題ありません。

宜しければ下記のリンクから、口座を開設してください。

www.binance.com

ただ、Binanceでは仮想通貨のビットコインをクレジットカードで購入することになりますが、最近では、仮想通貨の購入を禁止しているクレジットカードも多いため、お手持ちのクレジットカードではお支払いができない可能性があります。

その場合には、日本で認可されている取引所の口座も開設する必要があります。

取引手数料や送金手数料、使い勝手などの様々な点を考慮すると、bitFlyerがお薦めですが、他の取引所をご利用頂いても問題ございません。

宜しければ下記のリンク先から、口座を開設してください。

bitflyer.com

なお、招待コードは下記の通りです。

招待コード
i1rsgo2n

なお、bitFlyerからBinanceへの出金方法については、下部に記載しておりますので、ご確認ください。

Binanceからの身代金の支払い方法

それでは、Binanceでの口座開設後の、ビットコインの購入および出金方法についてご説明致します。

ビットコインは送金時に、0.0002BTCの手数料を支払う必要があります。

つまり、購入時には、支払う身代金に上記の金額を上乗せしてご購入ください。

身代金が0.05BTCの場合、合計で0.0502BTCとなります。

Binanceにログインして、トップ画面の上部の右側の[ウォレット]のドロップダウンリストから、[フィアットと現物]を選択してください。

仮想通貨のリストの一番上にBTCの残高が表示されますので、その右側の[購入]を選択し、上記の金額のビットコインを購入してください。

購入できましたら、先ほどのリストから、今度は[出金]を選択してください。

 

アドレスの欄に、ランサムノートに記載のビットコインアドレスをコピーして貼り付けます。

ランサムノートのスクリーンショットからビットコインアドレスを判別する場合

もし、ランサムノート自体が失われていてはいるものの、スクリーンショットだけをお持ちの場合は、目視でビットコインアドレスをタイプすることになりますが、正しくビットコインアドレスを書き写すことができているかどうかを確認する方法があります。

それは、下のリンク先で、タイプしたビットコインアドレスを検索するという方法です。

blockstream.info

こちらのウェブページは、後で復号キーを探し出す際にも使用しますので、すぐに支払う方は、そのままブラウザに表示させておいてください。

ビットコインアドレスを検索した時、下の画像のように、取引記録がないビットコインアドレスであることが分かる表示なら、間違えずにタイプできていると考えて良いと思います。

もしビットコインアドレスが間違っていれば、下の画像のように、「No results found」と表示されます。

ビットコインアドレスの存在を確認できましたら、出金処理を始めてください。

ビットコインの出金には、購入時の説明にも書きましたが、手数料が0.0002BTC必要です。

出金額の欄に、手数料を上乗せした金額を入力します。もし出金したい金額を設定してしまうと、そこから手数料が引かれた金額しか出金されません。


上の画像のように表示されましたら、[出金]をクリックします。

次に、リスク警告が表示されますので、[OK]をクリックします。

【注記】

ここで、もし、日本の取引所から入金したビットコインを引き続き出金するならば、たとえウォレットにビットコインの残高が反映されていても、ビットコインエクスプローラーで、日本の取引所からの送金で、Confirmation (ブロックチェーンの確認)が2回以上になるまでお待ちください。そうしないと、確認が2回を超えるまで、ビットコインが凍結されてしまいます。しかし、万一凍結されても、時間がたてば出金されますので、大きな問題はありません。

Confirmationの回数は、例えば下記のサイトで確認できます。

www.blockchain.com

上部の検索欄に自分のウォレットのビットコインアドレスを入力して検索すると、赤い文字でConfirmationの数が表示されます。下の画像の場合は、UNCONFIRMEDですので、まだ一度も確認されていないことを表しています。

さて、それでは出金手続きに戻ります。最近は、仮想通貨を悪用した詐欺が増加していますので、最近、Binanceもユーザーへの注意喚起を強化しています。

出金時の確認項目が増えていますので、どれを選択すれば出金できるかをお知らせします。

まず01の項目は、本当はEなのですが、Eを選ぶとおそらく出金できませんので、Cを選択してください。

03は、本当はGなのですが、正直に選ぶとおそらく送金できないので、Aが無難です。

これらはチェックを入れて同意して提出してください。

後は、普通に出金手続きを進めてください。

電話番号とメールで認証してください。

これで出金が完了します。

この後は、上記のBlockstream Explorerで、復号キーを見つける作業に移ってください。

確認方法については、こちらの記事に記載しています。

elly-nayuta.hatenablog.jp

bitFlyerビットコインを購入してBinanceに出金する場合

もしお手持ちのクレジットカードで仮想通貨が購入できない場合、bitFlyerなどの日本の取引所で口座を開設する必要があります。

そこに日本円を振込み、ビットコインを購入してから、Binanceに送金します。

その際、 bitFlyerからBinanceへの出金手数料も上乗せして購入する必要があります。

bitFlyerからBinanceへのビットコインの出金手数料は、0.0004BTCですので、全部で0.0506BTCを購入する必要があるということです。

この際、この金額ちょうどで購入すれば問題ないですが、不安な場合は、多めに購入して頂いても良いと思います。

さて、まずは、Binanceのご自身のウォレットのアドレスを入手します。

Binanceのウォレットの画面でBTCの右側の[入金]をクリックします。

すると、下の画像のような画面になりますので、ネットワークにBTCを選択します。

すると、[アドレス]の欄にビットコインの入金用のアドレスが表示されますので、コピーしてください。

そして、bitFlyerの口座の入出金で、下の画像のように出金先ビットコインアドレスを登録してください。この際、ラベルが大文字だと登録できないバグが確認されていますので、ラベルの文字には小文字を使ってください。

この出金先を登録できましたら、0.0506BTCを出金してください。

この作業が終わりましたら、上記のBinanceからの出金手続きに移ってください。

それでは、皆さんが無事に出金作業を遂行できることを願っております。

 

【ご注意】

もしあなたがこのブログをお読みになって身代金の支払いをお決めになった場合、特にビットコインの支払いに不慣れな方については、送金先のネットワークを間違えるなど、送金時に取り返しがつかないトラブルが発生する場合がございます。

その他復号の仕方など、技術的なサポートもさせて頂きますので、下記の連絡先(LINE)をお友達追加の上ご相談ください。報酬は問題解決後で、金額もお気持ちで構いません。

又、deadboltの被害者のグループも運営しておりますので、参加ご希望の方はお友達追加をよろしくお願い致します。

LINE ID @erikowilde

ランサムウェアのDeadboltの復号キーの確認方法

こちらのブログやTwitterなどでランサムウェアのDeadboltの攻撃からの回復方法についての記事を書き始めて以来、ビットコインの支払い方法や、身代金を支払った後の復号キーの調べ方についてなど、さまざまな問題について尋ねられるようになりました。

ランサムウェアのDeadboltの身代金の支払いについては、センシティブな内容であることも手伝って、日本語での情報が少ないという理由もあると思います。

私は微力ながらも困っている人たちのお役に立てればと、少しずつ情報を発信しています。

今日は、ランサムウェアのDeadboltの身代金を支払った後、復号キーを入手する方法をお知らせいたします。

まず、ビットコインを送金した先のビットコインアドレスを用意します。

そして、ブラウザで下記のウェブサイトにアクセスします。

blockstream.info

こちらのウェブサイトで、送金先のビットコインアドレスを検索します。

たとえば私の父の会社のNASの場合、ビットコインアドレスは下記の通りでした。

bc1qaqka5c3nv7d5mgksctckt6ec988r5a705xg6lk

すると、下に[DETAILS +]のタブが2つ表示されます。

そのうち、「OP_RETURN」と白い文字が表示されている方のDETAILSのタブの「+」をクリックして展開します。

すると、下の方にOP_RETURNの欄表示されます。

復号キーは、こちらに記載されています。

SCRIPTPUBKEY (ASM)    OP_RETURN OP_PUSHBYTES_16 fda14f03a5fc0e01fbb25068e9a001b1

この、OP_RETURN OP_PUSHBYTES_16の後の文字列が、復号キーです。

つまり、父の復号キーは、「fda14f03a5fc0e01fbb25068e9a001b1」だったということです。

この情報が皆さんのお役に立ちますことを願っております。

 

【ご注意】

もしあなたがこのブログをお読みになって身代金の支払いをお決めになった場合、特にビットコインの支払いに不慣れな方については、送金先のネットワークを間違えるなど、送金時に取り返しがつかないトラブルが発生する場合がございます。

その他復号の仕方など、技術的なサポートもさせて頂きますので、下記の連絡先(LINE)をお友達追加の上ご相談ください。報酬は問題解決後で、金額もお気持ちで構いません。

又、deadboltの被害者のグループも運営しておりますので、参加ご希望の方はお友達追加をよろしくお願い致します。

LINE ID @erikowilde

9月3日のdeadboltランサムウェアの一斉攻撃についてのご報告

ランサムウェアdeadbolt3からの復旧

9月に入り、急にこのブログへのアクセスが増加し、何事かと思っていたのですが、数名の方々のお問い合わせを受け、その理由を知りました。ランサムウェアのdeadboltが、9月3日に再び一斉攻撃を仕掛けてきたのです。

これまでに、合計10名以上の被害者の方のサポートをさせて頂いています。まだ復旧できていない方もいらっしゃいますが、幸い復号キーを入手した皆さん全員が、99%以上のファイルを復旧できています。

今回の攻撃はdeadbolt3と呼ばれ、主にPhoto Stationの利用者が狙われたとのことですが、これまでと色々と異なる点がありました。

今回の攻撃からの回復で最も大変だったことは、QNAPのNASMalware Removerが、ランサムノートや、そのランサムノートを生成するプログラムまで隔離するようになったことです。

ランサムノートがQNAPに問い合わせても復旧できず、私に相談なさってきた方もいらっしゃいました。

QNAPは、どうやらサポートを務める方により、サポート方法がまちまちで、ランサムノートを復旧して貰えたり、して貰えなかったりしていましたが、しつこく食い下がると、復旧して貰える方もいらっしゃいました。

しかし、どうしてもランサムノートが復旧できない方もいらっしゃるようで、そういう場合はひょっとしたら犯人がしくじったのかもしれません。

ある方がQNAPから聞いた話では、中には立て続けに2回もdeadboltの攻撃を受けてしまった方もいらっしゃるそうで、そのような場合、1回目の攻撃でファイルが暗号化された後、2回目の攻撃でランサムノートを上書きされてしまい、復号キーの入手が絶望的になっている状態であるとのことでした。

万一これに気付かずに身代金を支払ってしまった場合、ランサムノートに復号キーを入力しても、「無効な復号キーが入力されました」というエラーが表示されることになります。そういう問題を訴えている方は、英語の掲示板であるRedditでもちらほら見かけています。私たちは不幸中の幸いだったのだとつくづく思います。

なぜこのようなことが起きるのかと言うと、おそらく、Malware Removerがランサムノートを生成するプログラムを隔離するようになったために、deadboltが攻撃前に既に攻撃を受けたNASであるかどうかの判別が誤作動を起こし、2重に攻撃を仕掛けてしまったのであろうと思われます。

本来NASを守るべきMalware Removerが、たとえファームウェアを最新の状態に保っていても、ランサムウェアの攻撃は防御できないのに、ランサムノートやプログラムだけを隔離してしまうというのは、なんとも残念な状況だなと思います。

もっとも、今回の犯人が残していった復号プログラムは改良されていて、復号されたファイルの数が表示され、しかも復号率は100%でした。

中には、犯人の復号プログラムまでも、おそらくMaltiware Removerに隔離されてしまっていた方もいらっしゃったので、やむをえずEmsisoft社の復号ソフトを使用しましたが、そちらも復号率は100%でした。

身代金を支払うことが、決して褒められた事ではないことは、誰もが承知の上です。

でも、鍵をかけられ閉じ込められた大切なお仕事のデータや、思い出の詰まった写真や動画を失うことが、命を奪われることと同等である中、そのような選択をする人を、咎める権利は誰にもないと、私は信じています。

ランサムウェアの被害者を必要以上にあげつらう傾向は、日本に限られたものではありません。英語圏でも、身代金は支払ってはいけないと主張する人を掲示板でたまに見かけます。でもそれは、子供が誘拐されて身代金を要求されているのに、身代金は払うな、諦めろと言っていることと同じことだと私は思います。そんなことを言う権利があるのは、犯人を捕まえて人質を取り戻せるスーパーヒーローだけです。

ただでさえ打ちのめされている人を、さらに叩くようなことはするべきではないと思います。

 

【重要】QNAPのNASへのランサムウェアのdeadboltの攻撃に気付いたら

9月に入り、新型のdeadboltの攻撃の報告を受けるようになりました。

deadbolt3の特徴としては、犯人が残した復号プログラムが、先月のと比較して性能が良くなっているということです。

復号キーが入手できれば、スムーズに復号できるようです。

この復号キーについてですが、新しい事実が判明しました。

QNAPに被害を報告すると、復号キーを教えて貰えたという情報が入ったのです。

tyuru.net

私がサポートさせて頂いている方の中にも、QNAPに被害を報告した方が何人かいらっしゃいますが、復号キーは見つからなかったということでした。

こちらのブロガーの方が復号キーを見つけて貰えた理由は、おそらく、被害を受けたNASをシャットダウンせずに、すぐにQNAPに報告して調査して貰ったためであろうと思われます。

と言うのは、以前私もこちらのブログに書きましたが、犯人は一時記憶領域に設定ファイルを保存して、暗号化プログラムを実行するため、この一時記憶領域に、復号キーが記された設定ファイルが残されているらしいのです。

一時記憶領域のデータは、NASを再起動すると消去されてしまいます。

多くの被害者の方はNASをシャットダウンしたり再起動したりしてしまうので、NASに残された設定ファイルは、無くなってしまう訳です。

ですから、deadboltに攻撃された方は、慌てず冷静に、NASをシャットダウンや再起動は行わず、QNAPに報告して頂きたいと思います。(※9月17日追記 攻撃の途中で気が付いた場合は、この限りではありません。下記をお読みください。)

私もこの情報をもっと早く知っておけば、もっと多くの被害者の方が身代金を支払わなければならなくなるのをもっと早く防ぐことができていたのにと、とても悔しいです。

でも、過去の失敗を惜しんでいてばかりいても仕方がありません。

今後一人でも多くの被害者の方が、このブログをお読みになり、身代金を支払わずに復号キーを入手できるようになることを切に願っております。

※9月9日追記

deadboltの攻撃に気付いた際に、暗号化されたファイルの復号を望むのであれば、ファームウェアのアップデートは、復号が完了まで控えることをお薦め致します。その理由は、最近のアップデートでは、ランサムノートがMalware Removerによって削除されるだけでなく、そのランサムノートを生成するためのプログラムファイル(SDDPd.bin)も削除されてしまうようになっているため、ランサムノートが復旧できなくなり、送金先の犯人のビットコインアドレスが分からなくなってしまう可能性が高いからです。また復号が完了するまでは、Malware Removerを停止しておくことをお薦め致します。

※9月17日追記

その後の情報で、復号キーをQNAPから教えて貰えた理由として、攻撃後に再起動しなかったからと言うよりはむしろ、攻撃の途中で攻撃を中断させたことが大きな要因であることが判明しましたので、追記致します。暗号化の途中でNASをシャットダウンした後に報告し、QNAPに復号キーを見つけてもらえたという報告を受けました。ですから、もし暗号化の途中で気が付いた場合、NASをシャットダウンするのは、攻撃を止める手段として有効な方法かと思われます。おそらく、犯人は暗号化がすべて終了するまで待つことができないため、攻撃のコマンドを仕掛けた後、NASを放置するからだろうと思われます。それでも。攻撃終了後にNASを再起動すると、一時記憶領域が消えてしまうため、復号キーを見つけることができなくなる可能性もあると思われます。状況により、冷静で的確な判断が必要とされるということです。

 

【ご注意】

もしあなたがこのブログをお読みになって身代金の支払いをお決めになった場合、特にビットコインの支払いに不慣れな方については、送金先のネットワークを間違えるなど、送金時に取り返しがつかないトラブルが発生する場合がございます。

その他復号の仕方など、技術的なサポートもさせて頂きますので、下記の連絡先(LINE)をお友達追加の上ご相談ください。報酬は問題解決後で、金額もお気持ちで構いません。

又、deadboltの被害者のグループも運営しておりますので、参加ご希望の方はお友達追加をよろしくお願い致します。

LINE ID @erikowilde

ランサムウェアの攻撃からQNAPのNASを守るために

QNAPのNASのゼロディ脆弱性への対策方法

こちらのブログにランサムウェアのDeadboltからの回復方法を書き始めてから、被害者の方のサポートを遠隔操作でさせて頂く機会がありました。

その結果、QNAPのNASは、使っているルーターの設定によっては、購入後そのままLANケーブルを繋げただけで、HTTPポートが自動的に開放され、世界中にWebサーバーとして公開されてしまうことがあるという、恐ろしい事実が判明しました。

というのは、父の会社のサーバーは、リモートワークを可能にするために、意図的にポートを開放していたので、そのことが原因だったと私は思っていたのですが、実は問題はもっと深刻であることが分かったのです。

現在これほどまでにDeadboltの攻撃の被害が増加しているのは、QNAPのNASUPnPの初期設定が、有効になっていることが主な原因であることが分かりました。

通常、HTTPポートを開放しただけでは、公開されるフォルダのパスが違うため、ファイルサーバーの中身を見ることはできないはずです。しかし、QNAPのNASは、UPnPが初期設定のまま有効になっていると、ハッカーがHTTPポートから侵入し、SHなどの他のポートも開放させ、権限昇格して、本来外部からは入れないはずのフォルダにプログラムを保存したり、ファイルサーバーのファイルを暗号化したりできるようになるのです。

これがいわゆる「ゼロデイ脆弱性」です。

私がサポートしたお二人の被害者の方はお二人とも、サーバーがWebサーバーとして世界のネットワークに公開されていたことを認識していませんでした。

恐らく、日本には、まだまだこのようなユーザーはたくさんいらっしゃるのではないかと推察します。

私は、被害者をサポートするよりも先ず、これ以上被害者が出ないように、情報を提供することが大切だと思いましたので、この記事を書くことにしました。

QNAPのNASに保存されたファイルをランサムウェアの攻撃から保護するために、これだけは確認して欲しい設定について、こちらでお知らせしたいと思います。

QNAPは、Deadboltランサムウェアの被害が拡大する中、ユーザーにファームウェアの更新を呼びかけていますが、たとえファームウェアが最新の状態でも、こちらに記す初期設定が修正されない限り、攻撃のターゲットになるリスクは依然として高いままであるということを、特に強調してお知らせしたいと思います。

ランサムウェアの被害に遭われた方も、そうでない方も、下記の設定のご変更を強く推奨いたします。

システムのUPnPを無効化する

1.ブラウザでNASの管理画面にアクセスし、[コントロールパネル]をクリックし、左側の欄の[ネットワークサービスとファイルサービス]をクリックします。

2.[サービス検出]をクリックし、「UPnPサービスを有効にする」をオフにして[適用]をクリックします。

MyQNAPcloudのUPnPを無効化する(MyQNAPcloudがインストールされている場合)

1.MyQNAPcloudのアプリを開き、[自動ルータ構成]をクリックします。

2.「UPnPポート転送を有効化」をオフにして[適用]をクリックします。

システムポートを変更する

1.ブラウザでNASの管理画面にアクセスし、[コントロールパネル]をクリックし、システムの[全般設定]をクリックしてください。

2.システムポートを、8080以外の数字に設定してください(8181など)。

 

※9月8日追記

上記の他に、比較的新しい型式のNASを使っている場合、ルーターUPnPを有効にしていると、NASのダウンロードセンターのBTというプロトコルがポート6881で解放されてしまいますので、NAS側でBTの接続設定の4つのチェックを外した方が良いかと思われます。BTというのは、ファイルシェアリングソフトのBitTorrentプロトコルです。NASをLANに繋いだだけで、NASBitTorrentが起動してしまうというイメージです。余り気持ちの良いものではないですね。

 

Deadboltランサムウェアからの回復後にするべきこと

さらに、Deadboltの攻撃を受けたファイルを復旧後、NASのハードディスクドライブを入れ替えたり、初期化したりしない場合、最新のファームウェアをインストールしてNASを再起動した後、下記のアプリに関する操作をお薦めいたします。

Deadboltはどうやら、NASのApp Center、特に、Helpdeskのアプリを破壊し、新しいアプリのインストールを妨害するようです。ですから、まずはHelpdeskのアプリを再インストールしてください。

Helpdesk アプリを再インストールする

1.App Centerから、Helpdeskのアプリを削除してください。

2.NASの管理画面トップの左上の三本線のドロップダウンリストから、ヘルプセンターを選択すると、ヘルプデスクが右端に表示されますので、[インストール]をクリックしてください。

Malware Removerをインストールしてスキャンする

上記を行った後しばらくすると、Malware RemoverがApp Centerで検索できるようになるはずですので、インストールしてください。デフォルトで1日に一度スキャンが行われるようになります。

NASのバージョンによっては、Security Counselorというアプリがインストールできますので、できる場合はインストールをお薦め致します。

上記の設定やアプリのインストールを行うことで、ランサムウェアの攻撃を回避することが期待できます。

日本でのQNAPのNASへのランサムウェアの被害が少しでも減ることを願いつつ、この記事をアップしたいと思います。

ランサムウェアのDeadboltの復号方法

今日は、Deadboltの攻撃を受けたサーバーのデータを、外付けハードディスクドライブにコピーする作業が一段落したので、犯人がサーバーに残した復号プログラムを試してみようと思い、実行しました。

すると、Emsisoftの復号ツールで発生していた種々のエラーが、犯人の復号プログラムではほとんど全く発生しないことが分かりました。

ただ、ランサムノートに復号キーを記入すると使えるようになる復号用のボタンを押しただけでは、おそらくQNAPのセキュリティの機能が働くせいか、復号が全く行われないまま、「復号が完了しました」という表示に切り替わってしまいました。

 

 

これは想定内だったので、下のリンク先のQNAPの指示の通り、犯人が残した復号プログラムを手動で実行し、復号してみました。

www.qnap.com

 

すると、サーバーのフォルダ内のファイルの復号が始まり、Emsisoftのツールよりもスピーディに、全てのファイルの復号が完了しました。

 

 

又、Emsisoftのツールを使用したときにできてしまう拡張子のないファイルの分身や、復号されないファイルは、まったくと言っていいほど見当たらないようです。

EaseUS Data Recoveryで「削除されたファイル」に入っていた、拡張子がdeadboltのファイルについても、どうやら復旧されているようです。

さらに、暗号化されながらも拡張子がdeadboltに変えられていなかったデータについても、どうやら元通りになっているみたいです。

これで99%のファイルは復号できたと言えるでしょうが、何分私は暗号化される前のサーバーの状態を知らないので、失われたファイルがあるかどうか判断しかねるという意味で、100%とは言い切れないということです。

QNAP NASのサーバーを一度初期化する予定なので、サーバーのファイルを再度外付けハードディスクドライブにコピーする作業を行います。

本当に何度も色々試しましたが、結局このファイルが一番使い勝手がよさそうです。ただ、EaseUS Data Recoveryで復旧したデータの中に、失われたファイルが入っている可能性もあるので、大切にとっておこうと思います。

他にも、犯人が残した痕跡が見つかりそうなデータを、WinSCPで取り込む作業を行いましたが、私が見る限りでは、やはり見つかっていません。

ひょっと取りこぼしていたら惜しいという気持ちもありますが、仕方がないので、ある程度で打ち切って、サーバーの初期化のために気持ちを切り替えたいと思います。

 

【ご注意】

もしあなたがこのブログをお読みになって身代金の支払いをお決めになった場合、特にビットコインの支払いに不慣れな方については、送金先のネットワークを間違えるなど、送金時に取り返しがつかないトラブルが発生する場合がございます。

その他復号の仕方など、技術的なサポートもさせて頂きますので、下記の連絡先(LINE)をお友達追加の上ご相談ください。報酬は問題解決後で、金額もお気持ちで構いません。

又、deadboltの被害者のグループも運営しておりますので、参加ご希望の方はお友達追加をよろしくお願い致します。

LINE ID @erikowilde

Deadboltランサムウェアの攻撃を受けたファイルを復旧完了

先日Deadboltランサムウェアの攻撃を受けた父の会社のサーバーのファイルを、身代金を支払って復号キーを入手することにより、復旧することができました。

気になる復旧率は、およそ95%くらいでした。

5%というのは何かと言うと、元々サーバーに保存していたファイルの中で、EaseUs Data Recoveryを使って復元しようとしても、復元できないほど破壊されたデータがあるということと、復号ツールを使用しても復号できないファイルが、僅かながらあるなど、復号ツール使用時のトラブルが避けられないことなどがあります。

復号ツールが、拡張子がdeadboltのファイルを復号する時、ファイルの拡張子を削除してしまっている場合が稀にあり、拡張子を手動でもとに戻しても開けないことがあります。ひょっとしたら、誤って復号処理が2回以上かけられたことが原因かもしれないので、その場合は、復号前のデータを取り出して復号しなおせば、解決するかもしれません。それでも、今までの検証では、本当に復号できないデータは、数えるほどしかありません。

また、サーバー内に、同じファイル名の暗号化されたデータで、deadboltという拡張子が付いているものと付いていないものが残されていた場合、復号ツールが両方を復号するので、片方のファイルは、ファイル名がそのままで拡張子が消えたファイルになって残ります。ですから、下の画像の中にあるファイルのように、ファイルの分身が結構頻繁に発生していて、中にはファイルサイズが大きい物があったりするので、ディスク容量をかさまししていて厄介です。

 

又、犯人が拡張子に.deadboltをつけずに暗号化したファイルがあり、それらは復元できないほど破損していることがあることも分かりました。

さらに、復号ツールを一度走らせただけだと、暗号化されたデータが残ってしまっているという事象が発生していました。ひょっとしたら犯人は、同じファイルを数度にわたって暗号化したのかもしれません。ともかく、何度か復号ツールを実行する必要があり、その処理にはとても時間がかかりました。

結論としては、上記のような問題はあるものの、業務を遂行するには申し分のない状態で、ファイルを復旧できていると思います。

今回のファイルの復旧および復号で気が付いたこととしては、サーバーに残されているファイルをWindowsエクスプローラでコピーするだけでは、暗号化されたデータが不完全な形でコピーされることがあるらしく、復号ツールが上手く動作しない場合があることが特筆すべきです。復号ツールが、ファイルもしくはフォルダごと復元をスキップしてしまう事象が頻繁に見られました。

EaseUS Data RecoveryでNASの復元をしてから、ファイルを復元することにより、確実にファイルを外付けハードディスクドライブに移し、復号ツールでスムーズに復元することができました。

上記のように、ひと手間かけることにより、より確実にファイルを復旧することができます。EaseUS Data Recoveryは、ソフトとしては割高ですが、購入する価値はあると思います。

jp.easeus.com

実は私は父の会社にリモートデスクトップで繋いで、本業の片手間にファイルの復旧作業をしています。外付けハードディスクを移動させるなどの物理的な作業が必要な時は、父の会社に出向くのですが、そうでなければ、自宅のノートパソコンからいつでも会社のPCに繋いで、サーバーの状態を見たり、作業をしたりできるので便利です。

父は、QNAPのNASを今後も社内サーバーとして使いたいということなので、あらゆるデータや情報を入手した後、私が初期化に挑戦しようと思っています。

また、バックアップの設定についても、良い方法を見つけたいと思っています。

私は、かなり昔に初級システムアドミニストレータという、現在のITパスポートのような資格を取得し、プログラマーとして企業に勤めた経験もあるのですが、今までにIT関連の記事をブログに書いたことはあまりありませんでした。

でも、今回の事件がきっかけで、システムエンジニアとしての経験についても、もっと世の中に発信しようと思うようになりました。怪我の功名とはまさにこのことです。

海外のIT情報をお届けできるシステムエンジニアを目指して、これからも尽力したいと思います。

【7/27後記】

こちらのブログを投稿後、数名の被害者の方のファイル復旧サポートをさせて頂きましたが、最近のDeadboltのバージョンからのファイルの復旧については、犯人が残したプログラムをコマンドプロンプトで実行しても、復号が途中で止まってしまうため、結局、Emsisoftの復号ツールを使わなければなりませんでした。いずれにせよ、ファイルの復旧率は99%で、僅かに復号できないデータがある程度でしたので、ご報告致します。

【ご注意】

もしあなたがこのブログをお読みになって身代金の支払いをお決めになった場合、特にビットコインの支払いに不慣れな方については、送金先のネットワークを間違えるなど、送金時に取り返しがつかないトラブルが発生する場合がございます。

その他復号の仕方など、技術的なサポートもさせて頂きますので、下記の連絡先(LINE)にご相談ください。報酬は復号成功時のみで、金額もお気持ちで構いません。

LINE ID @erikowilde

※9月8日追記

deadboltの被害者でLINEのグループをしています。特にサポートが必要がない方でも、興味がある方はお気軽にご参加ください。