Eri Wildeの那由多ブログ

エリワイルド(Eri Wilde)のブログです。 本名は福田英里子です。東京外国語大学外国語学部英米語学科卒。英語講師、日本語講師、通訳、香川せとうち地域通訳案内士、翻訳、SE、占い師、心理カウンセラー、YouTuberをしています。二人の兄弟の母親です。音楽(ピアノやウクレレの弾き語り)、アートなど多趣味です。次男は発達障害です。 お仕事のご用命は下記のメールアドレスまで宜しくお願い致します。eriwilde0@yahoo.co.jp

Deadboltランサムウェアの攻撃を受けたファイルを復旧完了

IT Deadbolt

先日Deadboltランサムウェアの攻撃を受けた父の会社のサーバーのファイルを、身代金を支払って復号キーを入手することにより、復旧することができました。

気になる復旧率は、およそ95%くらいでした。

5%というのは何かと言うと、元々サーバーに保存していたファイルの中で、EaseUs Data Recoveryを使って復元しようとしても、復元できないほど破壊されたデータがあるということと、復号ツールを使用しても復号できないファイルが、僅かながらあるなど、復号ツール使用時のトラブルが避けられないことなどがあります。

復号ツールが、拡張子がdeadboltのファイルを復号する時、ファイルの拡張子を削除してしまっている場合が稀にあり、拡張子を手動でもとに戻しても開けないことがあります。ひょっとしたら、誤って復号処理が2回以上かけられたことが原因かもしれないので、その場合は、復号前のデータを取り出して復号しなおせば、解決するかもしれません。それでも、今までの検証では、本当に復号できないデータは、数えるほどしかありません。

また、サーバー内に、同じファイル名の暗号化されたデータで、deadboltという拡張子が付いているものと付いていないものが残されていた場合、復号ツールが両方を復号するので、片方のファイルは、ファイル名がそのままで拡張子が消えたファイルになって残ります。ですから、下の画像の中にあるファイルのように、ファイルの分身が結構頻繁に発生していて、中にはファイルサイズが大きい物があったりするので、ディスク容量をかさまししていて厄介です。

 

又、犯人が拡張子に.deadboltをつけずに暗号化したファイルがあり、それらは復元できないほど破損していることがあることも分かりました。

さらに、復号ツールを一度走らせただけだと、暗号化されたデータが残ってしまっているという事象が発生していました。ひょっとしたら犯人は、同じファイルを数度にわたって暗号化したのかもしれません。ともかく、何度か復号ツールを実行する必要があり、その処理にはとても時間がかかりました。

結論としては、上記のような問題はあるものの、業務を遂行するには申し分のない状態で、ファイルを復旧できていると思います。

今回のファイルの復旧および復号で気が付いたこととしては、サーバーに残されているファイルをWindowsエクスプローラでコピーするだけでは、暗号化されたデータが不完全な形でコピーされることがあるらしく、復号ツールが上手く動作しない場合があることが特筆すべきです。復号ツールが、ファイルもしくはフォルダごと復元をスキップしてしまう事象が頻繁に見られました。

EaseUS Data RecoveryでNASの復元をしてから、ファイルを復元することにより、確実にファイルを外付けハードディスクドライブに移し、復号ツールでスムーズに復元することができました。

上記のように、ひと手間かけることにより、より確実にファイルを復旧することができます。EaseUS Data Recoveryは、ソフトとしては割高ですが、購入する価値はあると思います。

jp.easeus.com

実は私は父の会社にリモートデスクトップで繋いで、本業の片手間にファイルの復旧作業をしています。外付けハードディスクを移動させるなどの物理的な作業が必要な時は、父の会社に出向くのですが、そうでなければ、自宅のノートパソコンからいつでも会社のPCに繋いで、サーバーの状態を見たり、作業をしたりできるので便利です。

父は、QNAPのNASを今後も社内サーバーとして使いたいということなので、あらゆるデータや情報を入手した後、私が初期化に挑戦しようと思っています。

また、バックアップの設定についても、良い方法を見つけたいと思っています。

私は、かなり昔に初級システムアドミニストレータという、現在のITパスポートのような資格を取得し、プログラマーとして企業に勤めた経験もあるのですが、今までにIT関連の記事をブログに書いたことはあまりありませんでした。

でも、今回の事件がきっかけで、システムエンジニアとしての経験についても、もっと世の中に発信しようと思うようになりました。怪我の功名とはまさにこのことです。

海外のIT情報をお届けできるシステムエンジニアを目指して、これからも尽力したいと思います。

【7/27後記】

こちらのブログを投稿後、数名の被害者の方のファイル復旧サポートをさせて頂きましたが、最近のDeadboltのバージョンからのファイルの復旧については、犯人が残したプログラムをコマンドプロンプトで実行しても、復号が途中で止まってしまうため、結局、Emsisoftの復号ツールを使わなければなりませんでした。いずれにせよ、ファイルの復旧率は99%で、僅かに復号できないデータがある程度でしたので、ご報告致します。

【ご注意】

もしあなたがこのブログをお読みになって身代金の支払いをお決めになった場合、特にビットコインの支払いに不慣れな方については、送金先のネットワークを間違えるなど、送金時に取り返しがつかないトラブルが発生する場合がございます。

その他復号の仕方など、技術的なサポートもさせて頂きますので、下記の連絡先(LINE)にご相談ください。報酬は復号成功時のみで、金額もお気持ちで構いません。

LINE ID @erikowilde

※9月8日追記

deadboltの被害者でLINEのグループをしています。特にサポートが必要がない方でも、興味がある方はお気軽にご参加ください。