今年の密かな流行。。。ダルマランサムウェア.wallet

 

ダルマランサムウェアは今年に入り相談が増えたランサムウェアのひとつですが、今でも毎月10件～20件のご相談を受けております。

他のランサムウェアとダルマランサムウェアの大きな違いは、ダルマランサムウェアがサーバーのみをターゲットにしたウイルスであるというところです。

昨年、Locky系をはじめ多種のランサムウェアが登場しましたが、サーバーのみをターゲットにしたランサムウェアはダルマランサムウェア.walletが最初です。

ただ、よくわからなかったのがその感染経路です。

相談をうけるほぼすべてのお客様が感染経路に心当たりがない、ひどい場合は誰も出社していない正月に感染し、暗号化されていた。という例もあります。

調べてみるとサーバーに接続されるクライアントマシンはどれも感染していません。

唯一サーバー機だけが感染、発症しています。

しかしながら相談事例の蓄積とともにその傾向と恐らくこれが感染経路であろうというものが見えてきました。

 

ダルマランサムウェア.walletの特徴

 

それではダルマランサムウェア.walletの特徴をまとめてみましょう。

１．感染するのはWindowsサーバー。NASとして使われているWindows ストレージサーバーも感染します。

２．クライアントマシンに感染の痕跡はない。

３．暗号化されるファイルの拡張子は1,000種以上

４．暗号化されると拡張子が.walletになる。

５．ファイル名の末尾にハッカーの<メールアドレス>が追加される。

６．ハッカーとの交渉は基本的にメール。相手国はロシア？

７．感染するとreadmeといったファイルがポップアップ表示される。

 

以上はいずれの場合も共通していてすぐにわかる特徴でした。

ただ、これとは別に感染経路にかかわる隠れた特徴がありました。

 

つづく。。。