ランサムウェアdeadboltの身代金の支払い方法について、お問い合わせが多いため、Binanceの口座からの支払い方について、こちらに記載したいと思います。

最初にご注意頂きたいのは、Binanceは日本では正式に取引所として認可されていないため、日本円の入金ができないということです。

日本で認可されている、日本円の入金ができる取引所からは、トラベルルールのために、ランサムウェアの身代金の支払いが難しいと思います。

ですから、まずはBinanceなどの海外の取引所の口座を開設しなければなりません。

Binanceは大抵の機能は日本語で利用できますので、英語が苦手でも問題ありません。

宜しければ下記のリンクから、口座を開設してください。

www.binance.com

ただ、Binanceでは仮想通貨のビットコインをクレジットカードで購入することになりますが、最近では、仮想通貨の購入を禁止しているクレジットカードも多いため、お手持ちのクレジットカードではお支払いができない可能性があります。

その場合には、日本で認可されている取引所の口座も開設する必要があります。

取引手数料や送金手数料、使い勝手などの様々な点を考慮すると、bitFlyerがお薦めですが、他の取引所をご利用頂いても問題ございません。

宜しければ下記のリンク先から、口座を開設してください。

bitflyer.com

なお、招待コードは下記の通りです。

招待コード
i1rsgo2n

なお、bitFlyerからBinanceへの出金方法については、下部に記載しておりますので、ご確認ください。

Binanceからの身代金の支払い方法

それでは、Binanceでの口座開設後の、ビットコインの購入および出金方法についてご説明致します。

ビットコインは送金時に、0.0002BTCの手数料を支払う必要があります。

つまり、購入時には、支払う身代金に上記の金額を上乗せしてご購入ください。

身代金が0.05BTCの場合、合計で0.0502BTCとなります。

Binanceにログインして、トップ画面の上部の右側の[ウォレット]のドロップダウンリストから、[フィアットと現物]を選択してください。

仮想通貨のリストの一番上にBTCの残高が表示されますので、その右側の[購入]を選択し、上記の金額のビットコインを購入してください。

購入できましたら、先ほどのリストから、今度は[出金]を選択してください。

アドレスの欄に、ランサムノートに記載のビットコインアドレスをコピーして貼り付けます。

ランサムノートのスクリーンショットからビットコインアドレスを判別する場合

もし、ランサムノート自体が失われていてはいるものの、スクリーンショットだけをお持ちの場合は、目視でビットコインアドレスをタイプすることになりますが、正しくビットコインアドレスを書き写すことができているかどうかを確認する方法があります。

それは、下のリンク先で、タイプしたビットコインアドレスを検索するという方法です。

blockstream.info

こちらのウェブページは、後で復号キーを探し出す際にも使用しますので、すぐに支払う方は、そのままブラウザに表示させておいてください。

ビットコインアドレスを検索した時、下の画像のように、取引記録がないビットコインアドレスであることが分かる表示なら、間違えずにタイプできていると考えて良いと思います。

もしビットコインアドレスが間違っていれば、下の画像のように、「No results found」と表示されます。

ビットコインアドレスの存在を確認できましたら、出金処理を始めてください。

ビットコインの出金には、購入時の説明にも書きましたが、手数料が0.0002BTC必要です。

出金額の欄に、手数料を上乗せした金額を入力します。もし出金したい金額を設定してしまうと、そこから手数料が引かれた金額しか出金されません。

上の画像のように表示されましたら、[出金]をクリックします。

次に、リスク警告が表示されますので、[OK]をクリックします。

【注記】

ここで、もし、日本の取引所から入金したビットコインを引き続き出金するならば、たとえウォレットにビットコインの残高が反映されていても、ビットコインエクスプローラーで、日本の取引所からの送金で、Confirmation （ブロックチェーンの確認）が2回以上になるまでお待ちください。そうしないと、確認が2回を超えるまで、ビットコインが凍結されてしまいます。しかし、万一凍結されても、時間がたてば出金されますので、大きな問題はありません。

Confirmationの回数は、例えば下記のサイトで確認できます。

www.blockchain.com

上部の検索欄に自分のウォレットのビットコインアドレスを入力して検索すると、赤い文字でConfirmationの数が表示されます。下の画像の場合は、UNCONFIRMEDですので、まだ一度も確認されていないことを表しています。

さて、それでは出金手続きに戻ります。最近は、仮想通貨を悪用した詐欺が増加していますので、最近、Binanceもユーザーへの注意喚起を強化しています。

出金時の確認項目が増えていますので、どれを選択すれば出金できるかをお知らせします。

まず01の項目は、本当はEなのですが、Eを選ぶとおそらく出金できませんので、Cを選択してください。

03は、本当はGなのですが、正直に選ぶとおそらく送金できないので、Aが無難です。

これらはチェックを入れて同意して提出してください。

後は、普通に出金手続きを進めてください。

電話番号とメールで認証してください。

これで出金が完了します。

この後は、上記のBlockstream Explorerで、復号キーを見つける作業に移ってください。

確認方法については、こちらの記事に記載しています。

elly-nayuta.hatenablog.jp

bitFlyerでビットコインを購入してBinanceに出金する場合

もしお手持ちのクレジットカードで仮想通貨が購入できない場合、bitFlyerなどの日本の取引所で口座を開設する必要があります。

そこに日本円を振込み、ビットコインを購入してから、Binanceに送金します。

その際、 bitFlyerからBinanceへの出金手数料も上乗せして購入する必要があります。

bitFlyerからBinanceへのビットコインの出金手数料は、0.0004BTCですので、全部で0.0506BTCを購入する必要があるということです。

この際、この金額ちょうどで購入すれば問題ないですが、不安な場合は、多めに購入して頂いても良いと思います。

さて、まずは、Binanceのご自身のウォレットのアドレスを入手します。

Binanceのウォレットの画面でBTCの右側の[入金]をクリックします。

すると、下の画像のような画面になりますので、ネットワークにBTCを選択します。

すると、[アドレス]の欄にビットコインの入金用のアドレスが表示されますので、コピーしてください。

そして、bitFlyerの口座の入出金で、下の画像のように出金先ビットコインアドレスを登録してください。この際、ラベルが大文字だと登録できないバグが確認されていますので、ラベルの文字には小文字を使ってください。

この出金先を登録できましたら、0.0506BTCを出金してください。

この作業が終わりましたら、上記のBinanceからの出金手続きに移ってください。

それでは、皆さんが無事に出金作業を遂行できることを願っております。

【ご注意】

もしあなたがこのブログをお読みになって身代金の支払いをお決めになった場合、特にビットコインの支払いに不慣れな方については、送金先のネットワークを間違えるなど、送金時に取り返しがつかないトラブルが発生する場合がございます。

その他復号の仕方など、技術的なサポートもさせて頂きますので、下記の連絡先(LINE)をお友達追加の上ご相談ください。報酬は問題解決後で、金額もお気持ちで構いません。

又、deadboltの被害者のグループも運営しておりますので、参加ご希望の方はお友達追加をよろしくお願い致します。

LINE ID @erikowilde

ランサムウェアdeadbolt3からの復旧

9月に入り、急にこのブログへのアクセスが増加し、何事かと思っていたのですが、数名の方々のお問い合わせを受け、その理由を知りました。ランサムウェアのdeadboltが、9月3日に再び一斉攻撃を仕掛けてきたのです。

これまでに、合計10名以上の被害者の方のサポートをさせて頂いています。まだ復旧できていない方もいらっしゃいますが、幸い復号キーを入手した皆さん全員が、99%以上のファイルを復旧できています。

今回の攻撃はdeadbolt3と呼ばれ、主にPhoto Stationの利用者が狙われたとのことですが、これまでと色々と異なる点がありました。

今回の攻撃からの回復で最も大変だったことは、QNAPのNASのMalware Removerが、ランサムノートや、そのランサムノートを生成するプログラムまで隔離するようになったことです。

ランサムノートがQNAPに問い合わせても復旧できず、私に相談なさってきた方もいらっしゃいました。

QNAPは、どうやらサポートを務める方により、サポート方法がまちまちで、ランサムノートを復旧して貰えたり、して貰えなかったりしていましたが、しつこく食い下がると、復旧して貰える方もいらっしゃいました。

しかし、どうしてもランサムノートが復旧できない方もいらっしゃるようで、そういう場合はひょっとしたら犯人がしくじったのかもしれません。

ある方がQNAPから聞いた話では、中には立て続けに２回もdeadboltの攻撃を受けてしまった方もいらっしゃるそうで、そのような場合、１回目の攻撃でファイルが暗号化された後、２回目の攻撃でランサムノートを上書きされてしまい、復号キーの入手が絶望的になっている状態であるとのことでした。

万一これに気付かずに身代金を支払ってしまった場合、ランサムノートに復号キーを入力しても、「無効な復号キーが入力されました」というエラーが表示されることになります。そういう問題を訴えている方は、英語の掲示板であるRedditでもちらほら見かけています。私たちは不幸中の幸いだったのだとつくづく思います。

なぜこのようなことが起きるのかと言うと、おそらく、Malware Removerがランサムノートを生成するプログラムを隔離するようになったために、deadboltが攻撃前に既に攻撃を受けたNASであるかどうかの判別が誤作動を起こし、２重に攻撃を仕掛けてしまったのであろうと思われます。

本来NASを守るべきMalware Removerが、たとえファームウェアを最新の状態に保っていても、ランサムウェアの攻撃は防御できないのに、ランサムノートやプログラムだけを隔離してしまうというのは、なんとも残念な状況だなと思います。

もっとも、今回の犯人が残していった復号プログラムは改良されていて、復号されたファイルの数が表示され、しかも復号率は100%でした。

中には、犯人の復号プログラムまでも、おそらくMaltiware Removerに隔離されてしまっていた方もいらっしゃったので、やむをえずEmsisoft社の復号ソフトを使用しましたが、そちらも復号率は100%でした。

身代金を支払うことが、決して褒められた事ではないことは、誰もが承知の上です。

でも、鍵をかけられ閉じ込められた大切なお仕事のデータや、思い出の詰まった写真や動画を失うことが、命を奪われることと同等である中、そのような選択をする人を、咎める権利は誰にもないと、私は信じています。

ランサムウェアの被害者を必要以上にあげつらう傾向は、日本に限られたものではありません。英語圏でも、身代金は支払ってはいけないと主張する人を掲示板でたまに見かけます。でもそれは、子供が誘拐されて身代金を要求されているのに、身代金は払うな、諦めろと言っていることと同じことだと私は思います。そんなことを言う権利があるのは、犯人を捕まえて人質を取り戻せるスーパーヒーローだけです。

ただでさえ打ちのめされている人を、さらに叩くようなことはするべきではないと思います。

QNAPのNASのゼロディ脆弱性への対策方法

こちらのブログにランサムウェアのDeadboltからの回復方法を書き始めてから、被害者の方のサポートを遠隔操作でさせて頂く機会がありました。

その結果、QNAPのNASは、使っているルーターの設定によっては、購入後そのままLANケーブルを繋げただけで、HTTPポートが自動的に開放され、世界中にWebサーバーとして公開されてしまうことがあるという、恐ろしい事実が判明しました。

というのは、父の会社のサーバーは、リモートワークを可能にするために、意図的にポートを開放していたので、そのことが原因だったと私は思っていたのですが、実は問題はもっと深刻であることが分かったのです。

現在これほどまでにDeadboltの攻撃の被害が増加しているのは、QNAPのNASのUPnPの初期設定が、有効になっていることが主な原因であることが分かりました。

通常、HTTPポートを開放しただけでは、公開されるフォルダのパスが違うため、ファイルサーバーの中身を見ることはできないはずです。しかし、QNAPのNASは、UPnPが初期設定のまま有効になっていると、ハッカーがHTTPポートから侵入し、SHなどの他のポートも開放させ、権限昇格して、本来外部からは入れないはずのフォルダにプログラムを保存したり、ファイルサーバーのファイルを暗号化したりできるようになるのです。

これがいわゆる「ゼロデイ脆弱性」です。

私がサポートしたお二人の被害者の方はお二人とも、サーバーがWebサーバーとして世界のネットワークに公開されていたことを認識していませんでした。

恐らく、日本には、まだまだこのようなユーザーはたくさんいらっしゃるのではないかと推察します。

私は、被害者をサポートするよりも先ず、これ以上被害者が出ないように、情報を提供することが大切だと思いましたので、この記事を書くことにしました。

QNAPのNASに保存されたファイルをランサムウェアの攻撃から保護するために、これだけは確認して欲しい設定について、こちらでお知らせしたいと思います。

QNAPは、Deadboltランサムウェアの被害が拡大する中、ユーザーにファームウェアの更新を呼びかけていますが、たとえファームウェアが最新の状態でも、こちらに記す初期設定が修正されない限り、攻撃のターゲットになるリスクは依然として高いままであるということを、特に強調してお知らせしたいと思います。

ランサムウェアの被害に遭われた方も、そうでない方も、下記の設定のご変更を強く推奨いたします。

システムのUPnPを無効化する

１．ブラウザでNASの管理画面にアクセスし、[コントロールパネル]をクリックし、左側の欄の[ネットワークサービスとファイルサービス]をクリックします。

２．[サービス検出]をクリックし、「UPnPサービスを有効にする」をオフにして[適用]をクリックします。

MyQNAPcloudのUPnPを無効化する（MyQNAPcloudがインストールされている場合)

１．MyQNAPcloudのアプリを開き、[自動ルータ構成]をクリックします。

２．「UPnPポート転送を有効化」をオフにして[適用]をクリックします。

システムポートを変更する

１．ブラウザでNASの管理画面にアクセスし、[コントロールパネル]をクリックし、システムの[全般設定]をクリックしてください。

２．システムポートを、8080以外の数字に設定してください（8181など）。

※9月8日追記

上記の他に、比較的新しい型式のNASを使っている場合、ルーターのUPnPを有効にしていると、NASのダウンロードセンターのBTというプロトコルがポート6881で解放されてしまいますので、NAS側でBTの接続設定の４つのチェックを外した方が良いかと思われます。BTというのは、ファイルシェアリングソフトのBitTorrentのプロトコルです。NASをLANに繋いだだけで、NASでBitTorrentが起動してしまうというイメージです。余り気持ちの良いものではないですね。

Deadboltランサムウェアからの回復後にするべきこと

さらに、Deadboltの攻撃を受けたファイルを復旧後、NASのハードディスクドライブを入れ替えたり、初期化したりしない場合、最新のファームウェアをインストールしてNASを再起動した後、下記のアプリに関する操作をお薦めいたします。

Deadboltはどうやら、NASのApp Center、特に、Helpdeskのアプリを破壊し、新しいアプリのインストールを妨害するようです。ですから、まずはHelpdeskのアプリを再インストールしてください。

Helpdesk アプリを再インストールする

１．App Centerから、Helpdeskのアプリを削除してください。

２．NASの管理画面トップの左上の三本線のドロップダウンリストから、ヘルプセンターを選択すると、ヘルプデスクが右端に表示されますので、[インストール]をクリックしてください。

Malware Removerをインストールしてスキャンする

上記を行った後しばらくすると、Malware RemoverがApp Centerで検索できるようになるはずですので、インストールしてください。デフォルトで１日に一度スキャンが行われるようになります。

NASのバージョンによっては、Security Counselorというアプリがインストールできますので、できる場合はインストールをお薦め致します。

上記の設定やアプリのインストールを行うことで、ランサムウェアの攻撃を回避することが期待できます。

日本でのQNAPのNASへのランサムウェアの被害が少しでも減ることを願いつつ、この記事をアップしたいと思います。