昨日の午後、父の会社に香川県警の警察官の方が来てくださり、被害状況や調査結果を詳しく聞いてくださいました。
結論としては、受け入れがたい事実は、身代金を支払って復号コードを入手することだけが、暗号化されたデータを復旧する方法であるということについて、合意に至りました。
そして、警察の立場としては、身代金の支払いが、犯人の今後の犯行を助長しかねないという懸念のため、当然、身代金の支払いは控えて欲しいということですが、ファイルの喪失が企業活動の存続に深刻な影響を及ぼすのであれば、身代金の支払いもやむを得ないであろうということでした。
父は、復号コードが入手できれば、大部分のファイルは復旧できるだろうという私の調査結果報告を信用して、身代金の支払いに合意しました。
警察官のお話によると、香川県で被害に会った皆さんは、ランサムウェアは、身代金を支払ったとしても、3割程度のデータしか復旧できないという、根拠のない社会通念を信じ、どなたも身代金を支払ってはいないとのことでした。
しかし、英語の掲示板などでの一般人の投稿では、身代金を支払った人の中で、ファイルを復旧ができなかったという人は、犯人が仕込んだプログラムが作動しないとか、復号キーの確認方法が分からないなどの技術的な問題を抱えた人以外には、見つかりませんでした。しかも、そのような問題を抱えた人も、ほかのエキスパートのサポートを得て、ファイルを復旧できているようでした。
私が海外のデータ復旧会社と日本のデータ復旧会社の両方の調査をしていて気づいたことととしては、海外のデータ復旧会社は、公然と身代金を支払うことを前提としたデータ復旧を行うことを前面に出してためらわないのですが、日本のデータ復旧会社は、「身代金は支払わないでください」と表記してあることが多いことがあります。
日本の文化として、ランサムウェアの身代金を支払うことは、犯罪の片棒を担ぐような真似だと受け取られる風潮があるので、実際に身代金を支払ったとしても、それを公言する日本企業はほとんどありません。
そのような空気も手伝って、身代金を支払っても、データは復旧できないという社会通念が、否定されにくなっているのだと思います。
今回のDeadboltについては、比較的に新しい種類のランサムウェアであることと、過去の記事で書いた通り、ファイルシステムの破壊力がすさまじいことなどが原因で、削除されたファイルをリカバリすることによるファイルの復旧がほぼ不可能です。そのため、身代金を支払って復号キーを入手することが、ファイルを復旧する唯一の方法になっているので、Deadboltの攻撃を受けたファイルの復旧を依頼されたデータ復旧会社は、身代金を支払わなければ、大部分のファイルを復旧することは不可能であると、私は思います。
その上で、復号キーを入手できれば、ほとんどのファイルを復旧することが可能であることを、ここに明言したいと思います。
私は、犯人が残した復号用のプログラムを使いたくないので、下のリンク先のEmsisoftのツールを使って、復号しています。
ビットコインの支払いは、前から利用している、私の個人のBinanceのアカウントで、ビットコインを購入して支払いました。私は仮想通貨への投資もしているので、その手続き自体には慣れていて、問題はありませんでした。
日本の取引所からは、トラベルルールのため、送金先を明記しなければならならず、身代金の支払いについては、送金できない場合がありますので、Binanceにしました。
(下記のリンク先からBinanceの口座を開設できます。)
Deadboltは乱暴なランサムウェアなので、サーバに2種類の暗号化されたデータを残していることがあります。それは、拡張子に.deadboltが付けられたファイルと、拡張子がそのままで暗号化されたデータです。
復号ツールはそれらの両方を復号する動作をするので、たまに同じデータが2個復旧されることがあります。すると、片方のファイルは、拡張子が削除されてエクスプローラに表示されます。これは比較的分かりやすいので、拡張子のないファイルを後で削除すれば良いです。
また、復旧後に拡張子が.deadboltのファイルを削除するようにツールで設定しているにもかかわらず、それが残ってしまう場合もあります。その場合は、復旧されたデータが開けることを確認してから、削除すれば良いです。
また、復号ツールの動作不良で、復号されずに飛ばされてしまうフォルダがたまにあるようです。その原因は、おそらく、フォルダのツリー構造が複雑さだと思われますので、フォルダを別の場所に移動して復号する必要があるようです。
私はEaseUSでファイルを復旧も行っていますが、それによって、犯人が暗号化し.deadboltという拡張子を付けたファイルを、さらに削除したものを、復旧できています。これはほんの一部のファイルなのですが、ファイルの復旧をより確実にしたいのであれば、導入する価値があると思います。
ともかく、このような事後処理に、かなりの時間と労力を要するのは否めない事実です。
こんなことになるなら、バックアップを数か月に一度でもいいので、外付けハードドライブにでも取っておけば良かったと悔やまれて仕方がありません。まあ、後悔先に立たずなので、今後の教訓にしたいと思います。
Deadboltというランサムウェアについては、上記のように、復号キーを入手すれば、ほとんどのファイルの復旧が可能であることを、こちらのブログで、身代金を支払ってでも、企業の存亡に関わるような貴重なファイルを復旧したいと望んでいる日本の皆さんにお伝えし、少しでもお役に立てたら嬉しく思います。
さらに、復旧できたファイルの中に、犯人の痕跡が残っていないかどうか、現在探していますが、私が見た限りでは、めぼしいログファイルは、やはり軒並み閲覧できないようにゼロバイトに潰されているようです。それでももう少し粘って調べてみようと思っています。
ただ、警察官もおっしゃっていましたが、犯人が調査に非協力的な国家からアクセスしてきている場合、捜査は国家レベルでシャットアウトされてしまうそうです。
犯人がどこの国の人間なのかは、大体予想がつきますが、どの国かを言うだけ野暮なので、ここでは明言を差し控えたいと思います。
【ご注意】
もしあなたがこのブログをお読みになって身代金の支払いをお決めになった場合、特にビットコインの支払いに不慣れな方については、送金先のネットワークを間違えるなど、送金時に取り返しがつかないトラブルが発生する場合がございます。
その他復号の仕方など、技術的なサポートもさせて頂きますので、下記の連絡先(LINE)をお友達追加の上ご相談ください。報酬は問題解決後で、金額もお気持ちで構いません。
又、deadboltの被害者のグループも運営しておりますので、参加ご希望の方はお友達追加をよろしくお願い致します。
LINE ID @erikowilde
