9月に入り、新型のdeadboltの攻撃の報告を受けるようになりました。
deadbolt3の特徴としては、犯人が残した復号プログラムが、先月のと比較して性能が良くなっているということです。
復号キーが入手できれば、スムーズに復号できるようです。
この復号キーについてですが、新しい事実が判明しました。
QNAPに被害を報告すると、復号キーを教えて貰えたという情報が入ったのです。
私がサポートさせて頂いている方の中にも、QNAPに被害を報告した方が何人かいらっしゃいますが、復号キーは見つからなかったということでした。
こちらのブロガーの方が復号キーを見つけて貰えた理由は、おそらく、被害を受けたNASをシャットダウンせずに、すぐにQNAPに報告して調査して貰ったためであろうと思われます。
と言うのは、以前私もこちらのブログに書きましたが、犯人は一時記憶領域に設定ファイルを保存して、暗号化プログラムを実行するため、この一時記憶領域に、復号キーが記された設定ファイルが残されているらしいのです。
一時記憶領域のデータは、NASを再起動すると消去されてしまいます。
多くの被害者の方はNASをシャットダウンしたり再起動したりしてしまうので、NASに残された設定ファイルは、無くなってしまう訳です。
ですから、deadboltに攻撃された方は、慌てず冷静に、NASをシャットダウンや再起動は行わず、QNAPに報告して頂きたいと思います。(※9月17日追記 攻撃の途中で気が付いた場合は、この限りではありません。下記をお読みください。)
私もこの情報をもっと早く知っておけば、もっと多くの被害者の方が身代金を支払わなければならなくなるのをもっと早く防ぐことができていたのにと、とても悔しいです。
でも、過去の失敗を惜しんでいてばかりいても仕方がありません。
今後一人でも多くの被害者の方が、このブログをお読みになり、身代金を支払わずに復号キーを入手できるようになることを切に願っております。
※9月9日追記
deadboltの攻撃に気付いた際に、暗号化されたファイルの復号を望むのであれば、ファームウェアのアップデートは、復号が完了まで控えることをお薦め致します。その理由は、最近のアップデートでは、ランサムノートがMalware Removerによって削除されるだけでなく、そのランサムノートを生成するためのプログラムファイル(SDDPd.bin)も削除されてしまうようになっているため、ランサムノートが復旧できなくなり、送金先の犯人のビットコインアドレスが分からなくなってしまう可能性が高いからです。また復号が完了するまでは、Malware Removerを停止しておくことをお薦め致します。
※9月17日追記
その後の情報で、復号キーをQNAPから教えて貰えた理由として、攻撃後に再起動しなかったからと言うよりはむしろ、攻撃の途中で攻撃を中断させたことが大きな要因であることが判明しましたので、追記致します。暗号化の途中でNASをシャットダウンした後に報告し、QNAPに復号キーを見つけてもらえたという報告を受けました。ですから、もし暗号化の途中で気が付いた場合、NASをシャットダウンするのは、攻撃を止める手段として有効な方法かと思われます。おそらく、犯人は暗号化がすべて終了するまで待つことができないため、攻撃のコマンドを仕掛けた後、NASを放置するからだろうと思われます。それでも。攻撃終了後にNASを再起動すると、一時記憶領域が消えてしまうため、復号キーを見つけることができなくなる可能性もあると思われます。状況により、冷静で的確な判断が必要とされるということです。
【ご注意】
もしあなたがこのブログをお読みになって身代金の支払いをお決めになった場合、特にビットコインの支払いに不慣れな方については、送金先のネットワークを間違えるなど、送金時に取り返しがつかないトラブルが発生する場合がございます。
その他復号の仕方など、技術的なサポートもさせて頂きますので、下記の連絡先(LINE)をお友達追加の上ご相談ください。報酬は問題解決後で、金額もお気持ちで構いません。
又、deadboltの被害者のグループも運営しておりますので、参加ご希望の方はお友達追加をよろしくお願い致します。
LINE ID @erikowilde
