ランサムウェアdeadbolt3からの復旧

9月に入り、急にこのブログへのアクセスが増加し、何事かと思っていたのですが、数名の方々のお問い合わせを受け、その理由を知りました。ランサムウェアのdeadboltが、9月3日に再び一斉攻撃を仕掛けてきたのです。

これまでに、合計10名以上の被害者の方のサポートをさせて頂いています。まだ復旧できていない方もいらっしゃいますが、幸い復号キーを入手した皆さん全員が、99%以上のファイルを復旧できています。

今回の攻撃はdeadbolt3と呼ばれ、主にPhoto Stationの利用者が狙われたとのことですが、これまでと色々と異なる点がありました。

今回の攻撃からの回復で最も大変だったことは、QNAPのNASのMalware Removerが、ランサムノートや、そのランサムノートを生成するプログラムまで隔離するようになったことです。

ランサムノートがQNAPに問い合わせても復旧できず、私に相談なさってきた方もいらっしゃいました。

QNAPは、どうやらサポートを務める方により、サポート方法がまちまちで、ランサムノートを復旧して貰えたり、して貰えなかったりしていましたが、しつこく食い下がると、復旧して貰える方もいらっしゃいました。

しかし、どうしてもランサムノートが復旧できない方もいらっしゃるようで、そういう場合はひょっとしたら犯人がしくじったのかもしれません。

ある方がQNAPから聞いた話では、中には立て続けに２回もdeadboltの攻撃を受けてしまった方もいらっしゃるそうで、そのような場合、１回目の攻撃でファイルが暗号化された後、２回目の攻撃でランサムノートを上書きされてしまい、復号キーの入手が絶望的になっている状態であるとのことでした。

万一これに気付かずに身代金を支払ってしまった場合、ランサムノートに復号キーを入力しても、「無効な復号キーが入力されました」というエラーが表示されることになります。そういう問題を訴えている方は、英語の掲示板であるRedditでもちらほら見かけています。私たちは不幸中の幸いだったのだとつくづく思います。

なぜこのようなことが起きるのかと言うと、おそらく、Malware Removerがランサムノートを生成するプログラムを隔離するようになったために、deadboltが攻撃前に既に攻撃を受けたNASであるかどうかの判別が誤作動を起こし、２重に攻撃を仕掛けてしまったのであろうと思われます。

本来NASを守るべきMalware Removerが、たとえファームウェアを最新の状態に保っていても、ランサムウェアの攻撃は防御できないのに、ランサムノートやプログラムだけを隔離してしまうというのは、なんとも残念な状況だなと思います。

もっとも、今回の犯人が残していった復号プログラムは改良されていて、復号されたファイルの数が表示され、しかも復号率は100%でした。

中には、犯人の復号プログラムまでも、おそらくMaltiware Removerに隔離されてしまっていた方もいらっしゃったので、やむをえずEmsisoft社の復号ソフトを使用しましたが、そちらも復号率は100%でした。

身代金を支払うことが、決して褒められた事ではないことは、誰もが承知の上です。

でも、鍵をかけられ閉じ込められた大切なお仕事のデータや、思い出の詰まった写真や動画を失うことが、命を奪われることと同等である中、そのような選択をする人を、咎める権利は誰にもないと、私は信じています。

ランサムウェアの被害者を必要以上にあげつらう傾向は、日本に限られたものではありません。英語圏でも、身代金は支払ってはいけないと主張する人を掲示板でたまに見かけます。でもそれは、子供が誘拐されて身代金を要求されているのに、身代金は払うな、諦めろと言っていることと同じことだと私は思います。そんなことを言う権利があるのは、犯人を捕まえて人質を取り戻せるスーパーヒーローだけです。

ただでさえ打ちのめされている人を、さらに叩くようなことはするべきではないと思います。