ランサムウェアDEADBOLT（デッドボルト）はデータ復元できるのか？【QNAP(アレクソン)】

 

関連記事：ランサムウェア 身代金を支払うとデータを取り戻せるのか？【成功率を公開！？】

 

2022年5月13日19時頃より、アレクソン製NAS（QNAP）でランサムウェアの被害が多発しました。

当社にも翌14日より多数のご相談を頂戴し、20日までの1週間でご相談件数は40件に到達しました。

今回の記事では当社が実際に対応した実績から、

 

1. DEADBOLTとは何なのか？

2. 感染した場合の対処方法は？

3. 身代金を支払えばデータは取り戻せるのか？

4. 結局、DEADBOLTに暗号化されたデータは復元できるのか？

 

などをお伝えいたします。

記事の最後には、

【DEADBOLTからのデータ復元に絶対に必要なこと】をお伝えいたします。

DEADBOLTからのデータの復元を希望される方は是非ともお読みください。

 

１．DEADBOLTとはなんなのか？

 

DEADBOLTは昨年流行したQlockerという同じくQNAPをターゲットにしたランサムウェアの亜種です。

QNAPだけでなくSynologyやAsusterなども一部被害がでております。

特に今年の1月～2月に多数の攻撃がみられましたが、

この5月13日に全国で再び一斉攻撃がおこなわれました。

今回被害が多く発生したのはQNAPをOEM元としているアレクソンのNAS製品です。

 

DEADBOLTにはQlockerと同じく以下の特徴があります。

 

①QNAP内のほぼすべての保存データを暗号化する

②拡張子がすべて書き換わる。（DEADBOLTだと.deadblotになる。）

③管理コンソールにログインしようとすると脅迫文が表示される

DEADBOLTが他のランサムウェアと違うところは、

攻撃者への連絡手段がないことです。

多くのランサムウェアは攻撃者に連絡し、身代金額の交渉などを経て、

実際の支払いやキーの受け渡しなどをおこなうことを前提としていますが、

DEADBOLTの場合、身代金の支払い方法、金額などは脅迫画面上に表示されています。

また、復元方法も記載されています。

つまり、攻撃者側からすると余計なやり取りをせず、全自動で支払いから復号までをおこなう仕組みです。

攻撃者にとって、感染後の交渉などのプロセスを自動化したことは、

余計なリスクと手間を無くすことができるため、

身代金額を他のランサムウェアの平均よりも安い、

15万円～30万円程度としているケースが目立ちます。

 

ただ、一方で暗号化ツールの不備も多く、

正常に動かないケースが多発しています。

実際にご相談を受けたケースの中にも、

ご自身で身代金を支払ったが、データを復元することができず困っている。

というご相談が少なくありません。

 

どういったことをするとデータが戻り、

どういったことをやってしまうとデータが戻らないのかを判断するのは、

専門家でもない限り困難です。

特にDEADBOLTではその傾向が強く、

ちょっとした判断ミスで永遠にデータを復元できなくなるリスクがあります。

そうなった場合に攻撃者への連絡手段がないDEADBOLTでは打つ手がなく、

泣き寝入りすることになりますので安易な判断は厳禁です。

 

ちなみにどうでもいいことですが、、、

DEADVOLTではなくDEADBOLTです。

『死んだネジ』？？？良くわからないですね。。。

 

２．感染した場合の対処方法は？

 

ご相談いただいた皆様にそれぞれヒアリングをおこない、

ヒアリング結果をまとめました。

その結果、以下の７つの対応を実際におこなっていたことがわかってきました。

 

①メーカーや購入元に対応方法を確認する

②再起動してみる

③電源を切る

④LANケーブルを抜く

⑤復元ソフトを試す

⑥拡張子を書き換えてみる

⑦身代金を支払った

⑧データ復旧業者に相談する

順番に見ていきましょう

 

①メーカーや購入元に対応方法を確認する

こちらは一番回答の多い対応でした。

メーカーや購入元に相談し、対応方法を相談するケースです。

機種と設定によってはスナップショットを設定している場合があります。

この場合は元の状態へ復元できる可能性があります。

スナップショットがない場合、メーカーや購入元ではデータを復元することはできず、

できることとしては今後の対策のため、

ファームウェアのアップデートや設定の変更、初期化などを勧められることになります。

メーカーの対応としては正しいのですが、

データを復元したいエンドユーザーにとっては、

データ復元の可能性を狭めることになりますので、

スナップショットが無いことを確認された場合は、

調査などの対応を止めていただくのが良いでしょう。

 

②再起動してみる

通常のランサムウェアですと問題ありませんがDEADBOLTの場合、

再起動をおこなうことは致命傷になる可能性があります。

再起動により常駐のマルウェアリムーバーが再起動し、

脅迫文や感染の痕跡を消してしまいます。

再起動はおこなわないようご注意ください。

 

ただ、電源を入れっぱなしにすることには抵抗があるかと思います。

その場合は感染が拡大しないようLANケーブルを抜いて頂くか、

電源を切る場合は電源を再度ONにしないようにしてください。

 

③電源を切る

これはＯＫです。

ただ、電源を再度ONにすることは避けてください。

 

④LANケーブルを抜く

これもＯＫです。

他の端末に感染を防ぐには最善の方法です。

ただし、DEADBOLTの暗号化ツールには不備が多数あり、

長期間の放置をおこなった場合になんらかの不具合がでる可能性はありますので、

できるだけ早めに対応方法を決定されることをお勧めいたします。

 

⑤復元ソフトを試す

これは意味がありません。

逆にHDDを取り出したりしますと状況を悪化させる可能性がありますので、

絶対にやらないでください。

 

⑥拡張子を書き換えてみる

これも意味がありません。

拡張子を書き換えても元通りに開くことはできません。

 

⑦身代金を支払った

身代金の支払い後に当社へご相談頂いたケースが複数ございます。

身代金支払い後に脅迫文の指示通りデータを復元しようとしたのですが、

うまくいかない、失敗してしまった。というようなケースです。

こういった場合にはできるだけ現状を保全していただき、

なるべく早く当社へご相談ください。

そういった場合でも復元できる場合があります。

 

⑧データ復旧業者に相談する

ランサムウェアの復元をおこなう業者は国内にいくつかありますが、

技術レベルが不明でよくわからない会社が多いです。

私どもがいうのもなんですが、

業者への相談は慎重におこなってください。

 

では、結局どうしたらいいのか？ですが、

以下の手順での対応をお勧めいたします。

 

【DEADBOLT感染時の対応方法】

①感染拡大の防止

　LANケーブルを抜き、感染の拡大を防止してください。

②感染範囲の確認

　社内の他の端末で感染や暗号化が無いかを確認してください。

③感染種別の確認

　暗号化されたファイルの拡張子や脅迫画面などでランサムウェアの種類を確認してください。

④脅迫画面の確認

　管理画面へのログイン時に脅迫画面が表示される場合は画面キャプチャ（または写真）をとってください。

⑤必要ファイルの確認

　暗号化されたファイルの重要度を確認してください。

⑥現状の保全

　電源を切り、そのまま保管してください。

⑦データ復元の要不要の決定

　データの重要度からデータ復元の要不要を判断してください。

　データ復元をおこなう場合、いくつかのアプローチがあるかと思いますが、

　できるだけ安易に判断しないようにご注意ください。

 

３．身代金を支払えばデータは取り戻せるのか？

 

身代金を支払うことによる復旧成功率をアンケート調査した記事が時折でますが、

成功率30%という記事もあれば、70%あったという記事もあります。

その時その時で成功率の高いランサムウェアとそうでないランサムウェアがあるからかもしれません。

 

今回のDEADBOLTでも実際に身代金を支払って復旧に成功したケースがございます。

一方で失敗したケースもございます。

失敗したケースの原因は様々で、

・身代金を支払おうとしたが送金先が表示されない
・身代金支払い後、復号キーが送らて来ない
・身代金支払い後、復号キーを画面に入力したがフリーズした
・復号キーを入力しようとしたら画面が表示されない
・復号キーを入力後待ってみたが、ファイルが破損していた

などがあります。

実際に今回でも身代金支払い後に復号に失敗したケースの相談を頂戴しています。

一方で身代金の支払いによる成功例もあります。

失敗するリスクをご承知いただけるのであれば、

ご自身で身代金支払いをされるのもひとつの手段だと思います。

ただ、身代金支払いによる社会倫理上の問題や犯罪ほう助の可能性など

問題がないわけではありませんので、慎重にご検討ください。

４．結局、DEADBOLTに暗号化されたデータは復元できるのか？

 

DEADBOLTに暗号化されたファイルを復元できる可能性は十分ございます。

実際に当社へご相談いただいたケースでも

多くの場合でデータ復元に成功いたしました。

 

ただ、ご相談時点での状態によって大きく精度が変わります。

まったく復元できないというケースはほぼないと思われますが、

完全な状態で復元できるケース、

一部のデータのみ復元できるケースなど

実際の結果に差が出ております。

データ復元をご希望の方はなるべく早期にご相談ください。

 

最後に【DEADBOLTからのデータ復元に絶対に必要なこと】といたしまして、

1点お願いがございます。

現時点において管理画面へのログイン時に脅迫文が表示されている場合は、

脅迫画面の写真か脅迫画面キャプチャの取得をお願いいたします。

この画面は再起動などにより表示されなくなります。

画面のキャプチャが無いことによりまったく復元ができないということではありませんが、

復元精度が落ちますので是非とも写真を1枚とっておいてください。

ただし、現在電源を切っていらっしゃる場合は、

電源をいれての確認はしないようご注意ください。

 

データ復旧クイックマンでは、ランサムウェアのデータ復旧、コンサルティングなどおこなっております。

DEADBOLTについては、おそらく国内でもっとも対応実績の多い会社だと自負しております。
緊急でのご対応も可能です。
お困りの際は下記フリーダイヤルまでご相談ください。

 

クイックマン（S&Eシステムズ株式会社） フリーダイヤル：0120-775-200