私は、YouTubeに今回のランサムウェアのdeadboltの攻撃からの回復について英語で話している動画を公開しているのですが、そのコメント欄に、たくさんの書き込みがなされていました。
今はブロックしてしまっていますが、そのほとんどが、ファイルの復旧を請け負うハッカーの広告のボットの投稿でした。
このdeadboltの攻撃を受けたNASは、ファームウェアが最新の状態でも被害に遭い、しかも、Malware Removerが暗号化は防げないのにランサムノートだけ隔離するという状況です。
運が良ければ、QNAPにサポートを依頼すれば、ランサムノートを復旧してもらえるのですが、対応がまちまちで、中にはランサムノートを復旧して貰えない被害者もいるようです。本当に復旧できないのか、それとも、手抜きサポートなのかは、真実は闇に包まれていますが、QNAPに復旧できないと言われた方で、私が復旧できた場合もあり、手抜きサポートの場合もあります。一度サポートを依頼して復旧してもらえなくても、QNAPにしつこくランサムノートの復元を要求した方が良いかと思われます。
被害者をサポートする私も、ランサムノートが表示されられない被害者の方を救済したいと願う気持ちが募り、上記のボット広告のハッカーに、藁をもすがる思いで相談してみました。
3人のハッカーに問い合わせてみましたが、手数料は全員揃えたように同じで500ドルでした。
1人目は、復号キーをどうやって入手するのか尋ねたところ、NASの内部を調べて復号キーを探し出すとのことでした。このハッカーのボット広告が一番多かったのが印象的でした。
2人目は、deadboltがブロックチェーン上でOP_RETURNの機能を使って復号キーを公開するのと同じ方法で、安価に復号キーを生成するということでした。
3人目は、2人目に騙された後に聞いた話では、ダークウェブから入手するということでした。
今となってはどのハッカーも信用できないですが、私は、2人目の手段が一番信憑性が高いと思い、詳しく話を聞くことにしました。
ただ、どうしても腑に落ちない点がありました。
それは、ランサムノートがない、つまりビットコインアドレスが分からない状態で、どうやって復号キーをOP_RETURNに書き出すことができるのか、ということでした。
各々のNASに割り振られたビットコインアドレスと復号キーは、1対1でセットになっているので、ビットインアドレスが不明であれば、復号キーを識別するのは不可能であるというのが、私の理解だったからです。
私は何度も彼にそのことを聞き返したのですが、彼は、ビットコインアドレスが分からなくても、復号キーを提供できると言い張りました。
また、その復号キーは、身代金を支払う時と同じように、OP_RETURNをブロックチェーンに出力させて入手するが、それを身代金より安く出力させられると騙りました。
さらには、その復号キーは、どのビットコインアドレスに対しても使用できる復号キーであるが、一度使うと他のビットコインアドレス用には使えなくなるという仕様をでっち上げました。
又、私がハッカーの嘘を信じてしまった根拠がありました。それは、被害者の中に、身代金を支払ったものの、入手した復号キーが無効で復号できない人が何人かいたことです。
私は、その原因が、ハッカーの主張を鵜呑みにして、第三者がその復号キーを使ったから、復号キーが無効になってしまったからだと思い込んでしまいました。
実は、その原因は別にありました。
同じNASが2回攻撃されたため、ランサムノートが上書きされてしまい、最初の攻撃で暗号化に使われた復号キーを入手するためのランサムノートが上書きされてしまったため、2回攻撃されたことに気づかずに2回目の攻撃時のランサムノートのビットコインアドレスに身代金を支払って復号キーを入手しても、肝心のファイルは復号できないというのが事実でした。
冷静な判断力があれば、この事実に気づくことできていたのでしょうが、ハッカーに相談していた時は必死になり過ぎていて、落ち着いて深く考えることができていませんでした。
そして、彼は復号キーに500ドル分のビットコインを請求してきました。
私がまんまと騙されて支払うと、わざわざ私が寝静まっている間に復号キーを生成し、下の画像を送ってきました。
今となっては、これはEmsisoft社製の復号ソフトのインターフェースのコラージュを悪用したもの、つまり最低のクソコラであることが判別できるのですが、必死になっていたので、信じてしまいました。
翌日の夜にこれを使って相談者の方のファイルを復号しようとすると、「入力されたキーは無効なフォーマットです」というエラーメッセージが表示され、当然ですが、下のように表示され、復号できませんでした。
これを連絡すると、ハッカーは、下のような、Emsisoft社製のランサムウェアの無料の復号ツールのインターフェースのクソコラを送りつけてきて、「復号キーを使用するのが遅かった。復号キーが第三者に使用されたので無効になった。再度復号キーを生成するには、バイパスピンを購入するので、さらに200ドル相当のビットコインを送れ。」と言ってきました。
その時私は、気が動転していたので、冷静な判断力を失っていたため、ランサムノートに表示されたエラーメッセージが、おかしいことに気づいていませんでした。
そもそも、ハッカーが最初に復号キーだと言って送ってきた文字列は、実は復号キーでもなく、ただの文字列だったのです。もし、それが復号キーであれば、「無効な復号キーが入力されました」と表示されるはずなのです。
1回目の時にそれに気づいていれば、被害を減らせていたのでしょうが、後悔先に立たず。
2回目に復号キーを使用する際には、ハッカーと私と被害者の3人の予定をしっかり合わせて、2個目の復号キーを生成してもらいました。下の画像が送られてきました。
ハッカーは、2つ目の復号キーで復号できなければ、ビットコインを全額返金すると言いました。
いざ復号キーを入力してみましたが、無論、下の画像の通り、エラーが表示され、復号はできませんでした。
ただ、私が最初の文字列がそもそも復号キーのフォーマットではなかったことを指摘していたため、2つ目の文字列を入力した時のメッセージは、「無効な復号キーが入力されました」になってはいましたが。ただ、2回目はハッカーが復号キーを送ってきてすぐに入力したため、使うのが遅過ぎて第三者に使用されたという言い逃れは、流石にハッカーもできないようでした。
ハッカーは謝罪をしながらも、返金をするすると言いながら、現在まで一向にその兆しはありません。
ハッカーにも、もし返金に応じなければ、アカウントを晒すと申し渡していますので、こちらにInstagramのアカウントのスクショを貼り付けます。アカウントIDは、mouse_codesです。
恐らく、彼のような偽物ハッカーは、世の中にごまんといるのでしょう。私が彼の悪事を暴いたとしても、世の中のブラックハッカーを根絶することはできません。しかし、だからといって、もうこれ以上泣き寝入りはしてはいけないと、私も覚悟を決めました。
彼のようにネット上のニュース記事やブログや動画などのコメントに、ボット広告を書き込むハッカーはたくさん存在します。そのような書き込みを安易に信用すると、この記事のような羽目に陥りかねません。
幸い、今回この偽物ハッカーに相談することになったきっかけになった相談者の方のランサムノートは、後日QNAPによって復旧されましたので、現在私が相談を受けている方の中で、送金先のビットコインアドレスが不明である方はいなくなったので、身代金を支払いさえすれば、ファイルの復旧は十分に期待できるため、その意味では少し気が楽になりました。
ただ、ネット上にはランサムノートがどうしても復旧できないし、スクショも撮れていないという被害者がちらほら存在するので、そのような方が、このような手口の詐欺に引っ掛かる可能性があることが危惧されます。
私はこれまでに、詐欺的な投資関連のツールやポンジスキームなどにいくつも騙されてきたので、それらをこうして世の中の明るみに出し、問題提起して闘わなければならないと、決意しました。
ですから、この件についても、さまざまな方法で世の中に訴えかけていこうと思っています。
この偽物ハッカーは、Binanceの口座への支払いを求めてきたので、Binanceに通報できるのがせめてもの救いです。
ですから、この記事の内容を英語で書いて、近日中にまずはBinanceに報告しようと思っています。
この世の正義がまだ存在することを、証明したいと望んでいます。