パソコン修理・データ復旧事例紹介CASE STUDY

ダルマランサムウェア.walletのターゲットはWindowsサーバー その①

$img['alt']
このエントリーをはてなブックマークに追加

今年の密かな流行。。。ダルマランサムウェア.wallet

 

ダルマランサムウェアは今年に入り相談が増えたランサムウェアのひとつですが、今でも毎月10件~20件のご相談を受けております。

他のランサムウェアとダルマランサムウェアの大きな違いは、ダルマランサムウェアがサーバーのみをターゲットにしたウイルスであるというところです。

昨年、Locky系をはじめ多種のランサムウェアが登場しましたが、サーバーのみをターゲットにしたランサムウェアはダルマランサムウェア.walletが最初です。

ただ、よくわからなかったのがその感染経路です。

相談をうけるほぼすべてのお客様が感染経路に心当たりがない、ひどい場合は誰も出社していない正月に感染し、暗号化されていた。という例もあります。

調べてみるとサーバーに接続されるクライアントマシンはどれも感染していません。

唯一サーバー機だけが感染、発症しています。

しかしながら相談事例の蓄積とともにその傾向と恐らくこれが感染経路であろうというものが見えてきました。

 

ダルマランサムウェア.walletの特徴

 

それではダルマランサムウェア.walletの特徴をまとめてみましょう。

1.感染するのはWindowsサーバー。NASとして使われているWindows ストレージサーバーも感染します。

2.クライアントマシンに感染の痕跡はない。

3.暗号化されるファイルの拡張子は1,000種以上

4.暗号化されると拡張子が.walletになる。

5.ファイル名の末尾にハッカーの<メールアドレス>が追加される。

6.ハッカーとの交渉は基本的にメール。相手国はロシア?

7.感染するとreadmeといったファイルがポップアップ表示される。

 

以上はいずれの場合も共通していてすぐにわかる特徴でした。

ただ、これとは別に感染経路にかかわる隠れた特徴がありました。

 

つづく。。。

 

ランサムウェア データ復旧クイックマン

●ランサムウェア データ復旧クイックマン●
大阪市中央区南船場2-12-10ダイゼンビル4F
https://www.quickman-security.com/

クイックマンなら失った大事なデータを取り戻せます!
お気軽にご相談ください。チャットなら随時ご質問受付中。

不明点や疑問点がございましたら、お気軽にご相談・お問い合わせください。