Eri Wildeの那由多ブログ

エリワイルド(Eri Wilde)のブログです。 本名は福田英里子です。東京外国語大学外国語学部英米語学科卒。英語講師、日本語講師、通訳、香川せとうち地域通訳案内士、翻訳、SE、占い師、心理カウンセラー、YouTuberをしています。二人の兄弟の母親です。音楽(ピアノやウクレレの弾き語り)、アートなど多趣味です。次男は発達障害です。 お仕事のご用命は下記のメールアドレスまで宜しくお願い致します。eriwilde0@yahoo.co.jp

ランサムウェアのDeadboltの復号方法

今日は、Deadboltの攻撃を受けたサーバーのデータを、外付けハードディスクドライブにコピーする作業が一段落したので、犯人がサーバーに残した復号プログラムを試してみようと思い、実行しました。

すると、Emsisoftの復号ツールで発生していた種々のエラーが、犯人の復号プログラムではほとんど全く発生しないことが分かりました。

ただ、ランサムノートに復号キーを記入すると使えるようになる復号用のボタンを押しただけでは、おそらくQNAPのセキュリティの機能が働くせいか、復号が全く行われないまま、「復号が完了しました」という表示に切り替わってしまいました。

 

 

これは想定内だったので、下のリンク先のQNAPの指示の通り、犯人が残した復号プログラムを手動で実行し、復号してみました。

www.qnap.com

 

すると、サーバーのフォルダ内のファイルの復号が始まり、Emsisoftのツールよりもスピーディに、全てのファイルの復号が完了しました。

 

 

又、Emsisoftのツールを使用したときにできてしまう拡張子のないファイルの分身や、復号されないファイルは、まったくと言っていいほど見当たらないようです。

EaseUS Data Recoveryで「削除されたファイル」に入っていた、拡張子がdeadboltのファイルについても、どうやら復旧されているようです。

さらに、暗号化されながらも拡張子がdeadboltに変えられていなかったデータについても、どうやら元通りになっているみたいです。

これで99%のファイルは復号できたと言えるでしょうが、何分私は暗号化される前のサーバーの状態を知らないので、失われたファイルがあるかどうか判断しかねるという意味で、100%とは言い切れないということです。

QNAP NASのサーバーを一度初期化する予定なので、サーバーのファイルを再度外付けハードディスクドライブにコピーする作業を行います。

本当に何度も色々試しましたが、結局このファイルが一番使い勝手がよさそうです。ただ、EaseUS Data Recoveryで復旧したデータの中に、失われたファイルが入っている可能性もあるので、大切にとっておこうと思います。

他にも、犯人が残した痕跡が見つかりそうなデータを、WinSCPで取り込む作業を行いましたが、私が見る限りでは、やはり見つかっていません。

ひょっと取りこぼしていたら惜しいという気持ちもありますが、仕方がないので、ある程度で打ち切って、サーバーの初期化のために気持ちを切り替えたいと思います。

 

【ご注意】

もしあなたがこのブログをお読みになって身代金の支払いをお決めになった場合、特にビットコインの支払いに不慣れな方については、送金先のネットワークを間違えるなど、送金時に取り返しがつかないトラブルが発生する場合がございます。

その他復号の仕方など、技術的なサポートもさせて頂きますので、下記の連絡先(LINE)をお友達追加の上ご相談ください。報酬は問題解決後で、金額もお気持ちで構いません。

又、deadboltの被害者のグループも運営しておりますので、参加ご希望の方はお友達追加をよろしくお願い致します。

LINE ID @erikowilde