Eri Wildeの那由多ブログ

エリワイルド(Eri Wilde)のブログです。 本名は福田英里子です。東京外国語大学外国語学部英米語学科卒。英語講師、日本語講師、通訳、香川せとうち地域通訳案内士、翻訳、SE、占い師、心理カウンセラー、YouTuberをしています。二人の兄弟の母親です。音楽(ピアノやウクレレの弾き語り)、アートなど多趣味です。次男は発達障害です。 お仕事のご用命は下記のメールアドレスまで宜しくお願い致します。eriwilde0@yahoo.co.jp

Deadboltのランサムノートを復旧する方法と身代金の受け渡しプロセス

身代金要求をしくじった誘拐犯

前回の記事で、ランサムウェアのDeadboltの攻撃を受けたQNAPのNASについて、ランサムノートが見れない状況だったことを書きました。

下記のリンク先のQNAPのウェブページに記載された方法で、ランサムノートの復旧を試みましたが、真っ白けのページが表示されるだけでした。

www.qnap.com

QNAPにも問い合わせをして、ヘルプデスクから復旧を依頼しましたが、対応が遅いので、自分でも色々試したところ、奇跡的に復旧できました。

その方法について、多少小難しいですが、記載しておきます。

犯人がファイルを暗号化した時間から判断すると、犯人は、ファイルを暗号化する前に、まずこのランサムノートをサーバーに作成しようとしたものと思われます。

ただ、父の会社のサーバーの場合、おそらく、犯人がランサムノートを作成するために必要なコマンドがインストールされていなかったために、ランサムノートが生成されなかったのであろうと考えられます。

というのは、犯人は、ランサムノートを生成するために、先ず攻撃対象のハードディスク内の下記のフォルダに、SDDPd.binというファイルを保存します。

/mnt/HDA_ROOT/update_pkg/SDDPd.bin

このファイルを実行すると、ランサムノートが生成され、NASに他のPCからブラウザでアクセスした際に表示されるトップページである、下記の場所の既存のホームページが改ざんされます。

/home/httpd/index.html

そして、もとのindex.htmlは、index.html.bakというファイルに書き換えられます。

ただ、このランサムノートを生成するために上記のファイルを実行した時、NASにインストールされていることが必要なコマンドがありました。それは、chattrという、ファイルの属性を変更するコマンドでした。SH接続したコマンドプロンプトでSDDPd.binを実行すると、下記のようなエラーが返されました。

SDDPd.bin: line 6: chattr: command not found

私は、ほぼ思い付きで、このコマンドを、Windows 10にインストールしたubuntuというLinux系ソフトからコピーして、NASWinSCPというSH接続でNASのハードディスク上のファイルを管理できるソフトを使って、取ってつけたかのようにアップロードしました。

するとそれが功を奏したようで、先に一歩進み、エラーの種類が変わりました。思いついたらやってみるものですね。

SDDPd.bin: line 6: /bin/chattr: Permission denied

今度は上記のようなchattrのパーミッションがないというエラーが出たので、再びWinSCPでchattrのパーミッションを777に設定しました。

すると今度は、下記のようなエラーが出ました。

chattr: symbol lookup error: chattr: undefined symbol: fsetproject

これも、どうやらLinuxのコマンドのインストールが上手くいっていない時に出るエラーのようでした。本来のLinuxなら、e2fsprogsというコマンドで再インストールできるはずなのですが、QNAPのNASではできませんでした。そこで、NASに様々なコマンド関係のパッケージをインストールしてみました。Qnap Clubを下記のリンク先のように追加し、QOptware-NGと、Entware-stdをインストールしました。

phantomcryptomining.com

また、下記のリンク先の、QNAPのウェブサイトから、QDKというアプリのパッケージを検索してダウンロードして、インストールしました。

www.qnap.com

実際、ランサムノートは、私がSDDPd.binと格闘している間に、NASに繋いでいたブラウザに、突然表示されていたので、上記のアプリのどれが良かったのかが分からないので、全て列挙しましたので、何卒ご了承ください。

とにかく、何度も下記のフォルダ内で下記のコマンドを実行しました。

cd /mnt/HDA_ROOT/update_pkg

sh SDDPd.bin

すると、突如としてランサムノートがNASに繋げていたブラウザに表示されるようになりました。

結局、上記のfsetprojectのエラーは未解決のままで、SDDPd.binが実行できたということです。

ランサムノートには、指定のビットコインアドレスに0.03BTC(現在約8万円相当)を送金すると、ファイルを復旧するために必要な復号キーの返答があるので、それを入力すると、ファイルが復号されるようになっているという趣旨の文言が書かれています。

また、Deadboltの最大の特徴としては、被害者に直接身代金を要求するとともに、このサーバーの製造業者であるQNAPに対し、身代金の支払いを要求していることがあります。QNAPが5BTCを支払えば、脆弱性についての情報が提供され、50BTCを支払えば、さらに全ての被害者がファイルを復号できるコードが与えられると書いてはいますが、本当にそんなことが可能であるかどうかについては不透明であるとのことです。

もっとも、この0.03BTCを支払い、復号コードを入力しても、このランサムノートのフォームがうまく働かない場合があるそうですが、これについては、復号キーを持っている被害者が、ファイルを復旧できるツールを、Emsisoftという会社が配布しているので、大丈夫なようです。(下記のリンク先)

www.emsisoft.com

身代金を支払った後、上のランサムノートの画像の該当箇所に、返答された復号キーを入力してボタンを押すと、共有フォルダのファイルが復号される仕組みになっています。つまり、攻撃を受けたサーバー内に、復号用のプログラムが犯人によって既に仕組まれているということです。その際に復号を行うために使われると思われるファイルが、下記のパスにあるファイルです。

このファイルは、おそらく、犯人がサーバー上のファイルを暗号化する時にも使用したものであろうと思われます。

/mnt/HDA_ROOT/#####(4桁~5桁の数字からなるファイルでサイズの小さい方)

また、復号コードを入手している場合は、犯人がサーバー上に残した上記のファイル名が数字のファイルを下記のリンク先のように実行して、復号することも可能です。

www.qnap.com

つまり、上記のSDDPd.binのファイルと、こちらの数字のファイルの2個のファイルが、犯人がNASに残す最大の痕跡だということです。

身代金を支払うべきか

実際、身代金を支払ってファイルを復号するかどうかは、とても難しい判断だと思います。現在のところ、被害者全体の中で身代金を支払った人は8%程度だそうです。

ランサムノートについている復号キーを入力して復号するボタンは、攻撃を受けたサーバーの共有フォルダ内のデータのみを復号するようになっています。

しかし、犯人は、共有フォルダの中のデータのみを暗号化した訳ではありません。

犯人は、サーバーのあらゆる設定ファイルやログファイルも、証拠隠滅のために暗号化していっています。しかも、その暗号化したファイルを削除もするという念の入れようです。これらのファイルは、削除されても復旧が不可能になるほどの損傷を受けていないようなので、復号すれば内容を確認できる可能性が高いのです。ひょっとしたら犯人の身元や場所などに関するなんらかの手がかりが見つかるかもしれません。

父の会社のサーバーには、どうやらPasoLog Managerという監視ソフトがセキュリティ管理会社によってインスト―ルされていたらしいのですが、そのログがDeadboltによって暗号化され、さらにどうやらフォルダ毎削除されているようなのです。

幸い、これらのデータは、共有フォルダで削除された元データとは違い、復元が可能な状態で削除されています。暗号化されたファイルをそこまで破壊することが、犯人にとっても難しかったのかもしれません。

現在EaseUS Data Recoveyを使って、とりあえず削除された暗号化ファイルを復元しようとしています。この復元のためのファイルの検索に、かなり長時間かかるため、検索が終了するまで待機中です。

世界中での身代金の支払い状況

犯人が指定するビットコインアドレスに身代金の支払いがあると同時に、犯人の別のウォレットから、自動的にブロックチェーン上に文字列を刻むことができるOP_RETURNという機能を利用したプログラムが作動し、復号コードが、ネット上で誰もが閲覧できるように公開されます。

その様子が、下記のリンク先から確認できます。

explorer.btc.com

ビットコインの金額が犯人の指定する金額に満たない場合は、そのプログラムが作動しないようになっているようです。

この履歴をたどっていくと、この犯人の別のウォレットの残高が枯渇しないように、時折また別の犯人のウォレットから、ビットコインが補充されていることが分かります。この補充用のビットコインアドレスは、毎回違うアドレスを使っているようです。

また、犯人は、支払われた身代金にはまったく手を付けず、支払われたビットコインは、今のところ、数多くの犯人のウォレットの中にそのまま手つかずで放置されている状態のようです。

ファイルを確実に復旧できると謳う業者

ネットを検索すると、Deadboltの攻撃を受けたファイルを確実に復旧できると言っている業者が見つかりますが、そのような業者は、決して公にはしないでしょうが、身代金を支払って復号コードを入手してファイルを復旧するより他に手段がないであろうと思われます。今はビットコインのレートが下がっているので、身代金の8万円相当のビットコインを支払うより、業者に40万円支払う方が高額になっています。

サイバー犯罪に屈しない

このように徹底的にこのランサムウェアを調査していくにつれて、少しずつ全貌が見えてきていますが、犯人がどこかでぼろを出さないかと、虎視眈々と睨みをきかせています。非力な私ですが、どうにかして一矢報いたいという執念が今の私の原動力となっています。

 

【ご注意】

もしあなたがこのブログをお読みになって身代金の支払いをお決めになった場合、特にビットコインの支払いに不慣れな方については、送金先のネットワークを間違えるなど、送金時に取り返しがつかないトラブルが発生する場合がございます。

その他復号の仕方など、技術的なサポートもさせて頂きますので、下記の連絡先(LINE)をお友達追加の上ご相談ください。報酬は問題解決後で、金額もお気持ちで構いません。

又、deadboltの被害者のグループも運営しておりますので、参加ご希望の方はお友達追加をよろしくお願い致します。

LINE ID @erikowilde