拡張子がencryptになるランサムウェアはデータ復元できるのか？【eCh0raix】

 

関連記事：ランサムウェア 身代金を支払うとデータを取り戻せるのか？【成功率を公開！？】

 

ここのところNASのランサムウェア被害はDEADBOLTが多数を占めていますが、

少ないながらも継続的にご相談いただくのが

拡張子がencryptになるランサムウェア【eCh0raix】です。

こちらもqnapなどのNAS機器をターゲットに攻撃するランサムウェアの一種で、

ここ数年、継続的に被害が発生しています。

中には、eCh0raixとDEADBOLTの両方に感染している事例もありますが、

今回はそのeCh0raixについて解説したいと思います。

 

 

などをお伝えいたします。

拡張子がencryptになったデータの復元を希望される方は是非ともご一読ください。

 

１．eCh0raix（.encrypt）とはなんなのか？

 

eCh0raix（.encrypt）は2019年頃より定期的に被害の報告と注意喚起がなされていましたが、

ここのところは年間を通して被害が発生しているランサムウェアです。

主にqnapで使われるQTSというOSをターゲットにしたランサムウェアの新種です。

感染するとNAS内に収納されたデータのほとんどを暗号化してしまいます。

 

 

eCh0raix（.encrypt）には以下の特徴があります。

 

①qnapなどのNAS機器に感染する

②保存データのファイル名が[.encrypt]に書き換わる

③README_FOR_DECRYPT.txttファイルが各フォルダに作成される

④ファイルのアイコンがすべて真っ白になる

⑤夜間や休日に感染する

 

eCh0raix（.encrypt）の怖いところは、qnapは個人～小規模企業が販売ターゲットなため、

これまであまりNASのセキュリティを意識してこなかった一般消費者にその被害が拡がったことです。

また、感染し、潜伏したウイルスは休日や夜間など人のいない時間帯を選び、

暗号化を開始します。

特に操作していないのにアクセスランプが点滅を続けていたため、

気になってファイルを確認したらデータの拡張子がすべて.encryptになっていた！

というような事例もお伺いします。

 

被害にあった方は突然すべてのデータを失うという危機的状況に遭遇します。

個人の方なら撮りためた写真や動画

フリーランスの方なら制作物や納品物

企業なら経理情報や顧客情報

といった無くてはならないデータを失う状況は、

あまりに突然で信じることができず、

じわじわと実感になって恐怖へと変わっていきます。

 

２．感染した場合の対処方法は？

 

ご相談いただいた皆様に感染した後に実施した対応をお伺いしました。

その結果、以下の９つの対応を実際におこなっていたことがわかってきました。

 

①qnapに対応方法を確認する

②感染ファイルの範囲を確認する

③電源を切る（再起動する）

④LANケーブルを抜く

⑤インターネットで情報を探す

⑥バックアップを探す

⑦拡張子を書き換えてみる

⑧知人に相談する

⑨データ復旧業者に相談する

 

順番に見ていきましょう

 

①qnapに対応方法を確認する

 

こちらは一番回答の多い対応でした。

NASのメーカーであるqnapに対応方法を相談するケースです。

qnapからは感染時の対応法などがセキュリティアラートとして掲示されているケースもあり、

それらにデータを取り戻すヒントが無いかお探しになるようです。

ただ、残念ながらqnapからは暗号化されたデータを復元する方法ではなく、

qnapを初期化して使えるようにする方法が案内されるため、

言われるまま対応すると、

暗号化されたデータごと消えてしまう可能性があります。

qnapなどのメーカーへ相談される場合は、

その作業によってデータが消えることが無いか？を十分確認してから作業をおこなってください。

 

②感染ファイルの範囲を確認する

ランサムウェア eCh0raix（.encrypt）は感染後、潜伏し、発見されにくい時間帯を狙って活動します。

NASに直接つながっている外付けHDDについては、

NAS内のデータ同様暗号化されてしまいますが、

そのNASと直接繋がっていないLAN内のPCや別のNASなどへ攻撃が拡がるケースは稀です。

 

ただし、感染元がLAN内のPCという可能性は十分ありますので、

LAN内の各PCの検疫作業は重要です。

 

③電源を切る（再起動する）

ランサムウェア eCh0raix（.encrypt）の場合、再起動などをおこなったとしても何も状況は変わりません。

今現在暗号化が進行中の場合を除き電源を切るメリットは少ないです。

 

④LANケーブルを抜く

感染の拡大を防ぐためには必要な対応ですが、

NAS外へ感染が拡がるケースは稀なため、NAS内の暗号化が完了している場合はそれほど意味はありません。

とはいえ、脆弱性を抱えたNASをネットワークに繋いだままにすると重複感染の可能性もありますので、

必要時以外はLANケーブルを抜いてことをお勧めいたします。

⑤インターネットで情報を探す

残念ながらeCh0raix（.encrypt）のデータ復旧つながる情報はほとんどありません。

逆にガセネタも多いため、困惑される方が多いかと思います。

ランサムウェアに感染後の対応するために、何を信じ、何を選ぶかは最も判断の難しいところです。

⑥バックアップを探す

一時的なバックアップをオフラインで取得し、残しているケースがあります。

例えばサーバー入れ替え時の旧サーバーのデータなどです。

過去、一時保管したHDDなどがある場合は、バックアップデータが無いかご確認ください。

また、よくよく探してみると必要なデータが予想外のところにあった！

というケースもありますので、まずは関係者全員から情報を集めるのが重要です。

 

⑦拡張子を書き換えてみる

ランサムウェア eCh0raix（.encrypt）に暗号化されたファイルは、

拡張子を戻してみても元のように開くことはできません。

ファイルが破損する可能性もありますので、

試してみるにしてもコピーして元のファイルを残すようにしてください。

 

⑧知人に相談する

お知り合いにパソコン関係に詳しい方がいらっしゃる場合、

その方に対応方法を聞く、

普段お付き合いのあるOA機器の納入元に相談する

といった方法をとられるようです。

ただ、ランサムウェアの知見を持ち合わせる方は皆無ですので、

お互いに業者を探した結果、お互いに当社へ辿り着くといったケースが散見されます。

⑨データ復旧業者に相談する

ランサムウェアの復元をおこなう業者は国内にいくつかありますが、

技術レベルが不明でよくわからない会社が多いです。

私どもがいうのもなんですが、

業者への相談は慎重におこなってください。

 

では、結局どうしたらいいのか？ですが、

以下の手順での対応をお勧めいたします。

 

 

【ランサムウェアeCh0raix（.encrypt）感染時の対応方法】

 

①感染拡大の防止

　感染端末のLANケーブルを抜き、感染の拡大や再感染を防止してください。

②感染範囲の確認

　NAS内の感染ファイルと未感染ファイルの範囲を確認してください。

　また、LAN内の各PCの検疫を実施してください。

③感染種別の確認

　暗号化されたファイルの拡張子や脅迫画面などでランサムウェアの種類を確認してください。

④脅迫画面の確認

　デスクトップなどに脅迫画面が表示される場合は画面キャプチャ（または写真）をとってください。

⑤必要ファイルの確認

　暗号化されたファイルの重要度・緊急度を確認してください。

⑥現状の保全

　感染端末の電源を切り、そのまま保管してください。

⑦データ漏洩の対応

　データ漏洩により対応が必要になるケースの洗い出し

⑧データ復元の要不要の決定

　データの重要度からデータ復元の要不要を判断してください。

　データ復元をおこなう場合、いくつかのアプローチがあるかと思いますが、

　できるだけ安易に判断しないようにご注意ください。

 

３．ランサムウェアeCh0raix（.encrypt）は身代金を支払えばデータを取り戻せるのか？

 

ご相談いただいた方からもっとも多い質問のひとつが、

実際に身代金を支払えばデータを取り戻せるのかどうか？ということです。

 

ネット記事などで

身代金の支払いに応じたかどうか？

それによりデータが取り戻せたか？

といったアンケート結果が時折ニュースになりますが、

成功率30%という記事もあれば、70%あったという記事もあります。

なかなか正確な情報が得られないアンケートの為、実際の数字はよくわからないというのが実情なのかもしれません。

 

ランサムウェア eCh0raix（.encrypt）で実際に身代金を支払って復旧に成功したケースは

私の知る限りいくつもございます。

一方で身代金を支払ったにもかかわらずデータを取り戻せなかった

というご相談も多数頂戴しております。

 

失敗したケースの原因は様々で、

・身代金を支払ったが復元できないまま音信不通になった

・身代金を支払ったが追加費用を要求された

・復号ツールが送られてきたがウイルスだった

・復号ツールが送られてきたが復号できない

・復号ツールを使っても復号できないファイルが多数ある

などがあります。

実際に今回、被害が拡がっているランサムウェア eCh0raix（拡張子encrypt）においても、

身代金支払い後に復号に失敗したケースの相談を頂戴しています。

 

もちろんすべてがすべて失敗するというわけではなく、

身代金の支払いによる成功例もあります。

 

失敗するリスクを承知の上チャレンジされるのであれば、

ご自身で身代金支払いをされるのもひとつの手段だと思います。

ただ、身代金支払いによる社会倫理上の問題や犯罪ほう助の可能性など

問題がないわけではありませんので、慎重にご検討ください。

 

４．結局、ランサムウェアeCh0raix(.encrypt）に暗号化されたデータは復元できるのか？

 

eCh0raix（.encrypt）に暗号化されたファイルでも復元できる可能性は十分ございます。

実際に当社へご相談いただいたケースでも

すでにデータ復元に成功したケースがございます。

 

ただ、ご相談時点での状態によって大きく精度が変わります。

失敗例として多いのが、復号したいファイルだけを別ドライブに取得して、

元のNASはすべて初期化してしまったという場合です。

 

復号作業には感染ディスク自体の解析作業が必要です。

暗号化ファイルをコピーした別媒体では著しく復元精度が落ちてしまいます。

必要なデータが一部であったとしても、

データ復元をご希望の方はなるべく感染状態を保持し、早期にご相談ください。

 

最大の問題は復旧までに許容できる時間的猶予です。

もちろん、解析によりデータ復旧できればそれに越したことは無いのですが、

例えば明日にはシステムを復旧させないといけない！

となると、イチかバチか身代金を支払うことによって、

データを取り戻せることに賭けるしかない場合もあります。

 

倫理上、身代金の支払いはお勧めできるものでは無いのですが、

企業の存亡がかかっている中では、そうせざるを得ないというのも理解できます。

 

当社では通常のデータ復旧ももちろんおこないますが、

そういった身代金の支払いによる復旧を目指す企業様のサポートもおこなっております。

 

身代金の支払いによるデータ復旧を目指す場合、

どういったことをするとデータが戻り、

どういったことをやってしまうとデータが戻らないのかを判断するのは、

専門家でもない限り困難です。

特にeCh0raix（.encrypt）は重複感染などの可能性もあり、

判断ミスするとデータを復元できなくなるリスクがあります。

当社ではこれまでの実績により、より確実に復旧できるノウハウをご提供いたします。

 

復旧作業以外の課題についても

・交渉の成功率

・仮想通貨の取り扱い

・倫理上、税法上の問題

など様々な課題について、解決策をご提案いたします。

 

どういった手法をつかってデータ復旧を目指すにしても、

まずは現状の保全をおこない、その間に方策と方針を決定します。

 

その判断に悩まれた場合は当社へご相談ください。

専門のコンサルタントがお応えいたします。

 

データ復旧クイックマンでは、ランサムウェアのデータ復旧、コンサルティングなどおこなっております。

eCh0raix（.encrypt）については、対応件数に自信があります。

緊急でのご対応も可能です。

お困りの際は下記フリーダイヤルまでご相談ください。

 

クイックマン（S&Eシステムズ株式会社） フリーダイヤル：0120-775-200