パソコン修理・データ復旧事例紹介CASE STUDY

『Spora』ランサムウェアの駆除とデータ復元

$img['alt']
このエントリーをはてなブックマークに追加

 

ランサムウェア『Spora』の出張診断

 

Spora Ransomwareとは今年の1月からロシアを中心に広まったウイルスで日本国内では2月になって増えてきたランサムウェア(身代金ウイルス)です。

Sporaに感染したお客様からお電話を頂戴し、駆除とデータ復旧などのご相談を頂戴しました。

今回、6台のパソコンが感染した、このままでは仕事ができないので急ぎ何とかしたいとのことです。

1台の感染でしたら、お持込み頂いたり郵送頂いて当社内で診断する場合が多いのですが、流石に6台感染では現地調査する必要がありますので、19時ご相談のお電話→翌朝9時半にご訪問させて頂きました。

まずは感染した経緯などのヒアリングをおこなった後、実際に感染したPCの診断を開始しました。

PCを起動後にでてきたウインドウが上の写真です。

このウインドウはSporaウイルスによってプログラムのスタートアップに追加されたhtmlファイルによって表示されます。

このウインドウ内にはPC内のファイルがRSA-1024で暗号化されたこと、支払いをすることによってファイルを取り戻せることなどが記載されています。

 

次に実際にPCに保存されているファイルですが、症状がいくつかあります。

 

症状①:

ファイル名や拡張子はそのまま(元のまま)ですが、そのファイルを開こうとすると『ファイルが破損している可能性があります。』といったメッセージがでます。

症状②:

開くことができないファイルは .xls、.xlsx、.doc、.docx、.pdf、.zip、.rar、.7z、.jpg、.jpeg、.backup、.rtf、.dwg、.cdr、.cd、.mdb、.1cd、.odp、.psd、.dbf、.sqlite、.accdb、.tiff の23種類が確認されております。

症状③:

暗号化中に開いていたファイルは暗号化されずに残ります。

症状④:

フォルダがショートカットに化けます。そのショートカットをクリックすると特定のファイルが起動されます。

症状⑤:

フォルダに入っていたファイルの配置が変わります。

症状⑥:

ログインユーザーの名前やアイコンが変わります。

症状⑦:

ネットワークで共有されていたファイルも暗号化されます。

 

以上が確認されているSporaウイルスの症状です。

今回の会社様も同じような症状がでておりました。

 

ご訪問させて頂いた会社様には9台のパソコンがあり、内1台はネットワークに繋がっておりませんので、

残り9台を検査させて頂きましたところ、Sporaウイルスに感染していたPCは4台でした。

これほど多数のパソコンにランサムウェアが感染した事例は少ないです。

更に他のパソコンにもランサムウェアではありませんが、スパイウェアやトロイなど多数のマルウェア、ウイルスがみつかりました。

お話をお聞きするとメールの添付ファイルには気をつけていたとのことですが、adobe製品が最新になっていない、javaのアップデートがなされていない、ウイルス対策ソフトの期限が切れている、WindowsXPのPCがあるなどかなり危険な状態で運営されておりましたので、原因となりえる要因は多数あり、きっかけとなった原因を特定することは難しいと思われます。

 

Spora 駆除

 

ランサムウェア データ復旧クイックマン

●ランサムウェア データ復旧クイックマン●
大阪市中央区南船場2-12-10ダイゼンビル4F
https://www.quickman-security.com/

 

Sporaウイルスの駆除

 

Sporaの駆除自体はいくつかのウイルス対策ソフトで可能ですが、普通にWindowsを起動した状態からでは駆除しきれません。

セーフモードなどを使ってウイルスを駆除していきます。

上記写真は実際に検出されたRansom.Sporaです。

最終的には同じものがいくつも出てくることが多いです。

今回、8台の駆除をおこないましたのでかなり時間がかかりましたが、駆除自体は問題なく完了しました。

ただ、暗号化されたファイルなどはそのまま残ります。

 

SPORA 要求画面

Sporaはランサムウェア(身代金ウイルス)

 

Sporaはランサムウェア=身代金ウイルスですので、ファイルを取り戻したければお金を支払えと身代金を要求してきます。

要求画面を開いてみると、日本語ではありませんが非常にユーザーインターフェースに優れた、通販サイトのカートシステムのようなページになっています。

ページ内を見てみると、、、2ファイルまでならお試しで復旧可能、1ファイルだけなら40ドル、全ファイルなら190ドルとこれまでに比べ要求が被害者側のニーズに合わせて細分化されています。

最近のランサムウェアの要求額はかなり高騰していましたので、比較的良心的?といってはいけませんが、低めの要求額に抑えられています。

ただし、PCごとに支払う必要がありますので、4台全部となるとそれなりの金額になります。

更には4台中1台は要求額が190ドルではなく380ドルと倍額になっておりました。となると全部で10万円ぐらいでしょうか。

支払い方法については、これまではビットコイン換算での要求が常でしたが、ドル換算で要求しています。(実際の取引はビットコインです。)

他にもユーザーサポートのようにチャットで犯罪者側とやり取りできるチャットがあります。かなり頻繁に更新されていますが、もしかして世界のどこかにサポートセンターのような施設があるのでしょうか、、、

1点気をつけないといけないのは、期限が設けられていることです、今回は6日とでていますが、グラフをみると既に数日経過しているような表示です。

もともとは更に多い日数だったかもしれません。その日数を過ぎるとどうなるのかも記載されています。

今回の例では約1.5倍程度に要求額が増額されるようです。

ちなみに実際の支払い画面などもこの先にありますが、支払いはビットコインでの支払いになりますのでビットコインを扱える口座などが必要になります。

ただし、重要なのは支払いをおこなってもデータが戻ってくる保証はどこにもないということです。

最悪お金を騙し取られてデータも戻ってこないという可能性があります。

更には犯罪者へお金を渡すということがいいのか?という倫理的な問題もございます。

今回お客様からデータの復元作業はおこなわなくても良いとのことでしたので、作業としては駆除作業のみさせていただきました。

ただ、今後の対策などは必要ですので、バックアップ手法、運用方法、セキュリティ対策など、比較的安易なところからできる対策をご提案させて頂くこととなりました。

 

これまではウイルスにはそうそう感染しない、感染しても駆除すれば大丈夫という認識の方が多かった(実際にそうだった)わけですが、最近では本当に普通の一般企業様がある日突然感染するようになりました。

今回のSporaについてはこのご相談を受けた翌日にも駆除とデータ復旧のご依頼を頂戴いたしました。

ランサムウェア全体ではほぼ毎日ご相談を頂戴しております。

お急ぎの場合は出張でのご相談も承っておりますので、同じような症状でお悩みの方はお気軽にご相談ください。

 

ランサムウェア データ復旧クイックマン

●ランサムウェア データ復旧クイックマン●
大阪市中央区南船場2-12-10ダイゼンビル4F
https://www.quickman-security.com/

データ復旧クイックマン

データ復旧クイックマン
大阪市中央区南船場2-12-10ダイゼンビル4F
https://www.quickman-pc.com/rescue/

 

 

クイックマンなら失った大事なデータを取り戻せます!
お気軽にご相談ください。チャットなら随時ご質問受付中。

不明点や疑問点がございましたら、お気軽にご相談・お問い合わせください。