関連記事：拡張子がencryptになるランサムウェアはデータ復元できるのか？【eCh0raix】

 

共有フォルダのファイル拡張子がすべてencryptになる症状

 

ある日の朝、サーバー内のデータを見ると、

すべてのファイルアイコンが真っ白！

よくよく見るとファイルの拡張子がすべてencryptになっていた。

というご相談を毎月10件程度頂戴します。

 

この症状はランサムウェア eCh0raixの可能性が高いです。

この記事では実際に相談頂いた実例を基にその特徴や対処法についてご説明いたします。

 

 

eCh0raixランサムウェアとは？

 

eCh0raixには以下の特徴があります。

 

・拡張性がすべて.encryptになる

・アイコンが真っ白になる

・機種はqnapかsynologyが多い

・README_FOR_DECRYPT.txttといったファイルが各フォルダに置かれている

 

これらに該当する場合はまず間違いなくeCh0raixかと思われます。

拡張子を元に戻してももちろんファイルを開くことはできません。

ただ、暗号化が途中で終わっているというケースはありますので、

生き残っているファイルが無いかはご確認頂くのが良いかと思います。

 

拡張子が.encryptになるランサムウェアeCh0raix自体は4年前から存在します。

主にqnapやsynologyなどNASキットといわれる機種に被害が集中しています。

他のランサムウェアが一時期に集中して被害が発生するのにくらべ、

eCh0raixは継続して一定数の被害が出続けているランサムウェアです。

 

身代金の要求額自体は0.05BTC前後で、

日本円に換算すると10万円～40万円と、

ランサムウェアにしては比較的少額の要求額ですが、

交渉を自動化することにより件数を稼ぐことを目指しているようです。

 

 

eCh0raixが昨年10月再び活性化

 

発生当初に比べ、しばらく低調に推移していたeCh0raixのご相談件数が、

昨年10月頃に急激に増加しました。

1ヶ月で10件程度だったものが1日で10件ご相談を頂戴する日もありました。

症状は変わらず拡張子がencryptになる症状で、感染機種も同じqnapとsynologyが中心でした。

 

 

身代金を支払ったのに！

 

ただ、今回、これまでと違ったのが、

『身代金を支払ったのにデータが戻ってこない！なんとかできないでしょうか？』

というご相談を多数頂戴したことです。

これまでeCh0raixで身代金を支払い、データを取り戻せた事例を多数報告頂いておりましたが、

身代金支払い後にデータを返してもらえなかったという相談はこれまでほとんどありませんでした。

この10月以降のご相談ケースでは、

身代金支払い後はハッカーの音信が途絶え、もちろん身代金を取り戻すこともできません。

支払った身代金は諦めるしか無いのが実情です。

 

昨年10月以降に身代金支払い後データを返してくれなかったというご相談に共通しているのが、

ハッカーが同じサーバーを利用しているということでした。

 

ハッカーとのやり取りは、

onion拡張子がついた秘匿性の高いWebサイトにておこないますが、

このWebサイトがすべて同じアドレスでした。

 

今後変更される可能性もあるかと思いますが、

同じアドレスの場合は支払い損になるとみて間違いないかと思われます。

 

 

データ復旧できるのか？

 

では、身代金を支払わずに復元することはできるのでしょうか？

感染された方がもっとも気になる点はそこかと思います。

結論から申し上げますと、残念ながらまだ復号方法は確立されておりません。

ただ、可能性が無いわけではなく、試せることはいくつかございますので、

お困りの場合は一度ご相談ください。

症状確認ののち、選択可能な手段をご提示いたします。

 

 

情報漏洩の可能性と感染ルートの確認方法はあるか？

 

攻撃されたNASに取引先の情報や個人情報などがある場合、

情報漏洩の可能性が問題となります。

eCh0raixの場合、これまでの実績ではデータ持ち出しの可能性は低いのですが、

『今回、漏洩は無かった！』と言い切ることはまず難しいです。

取引先からは報告を求められますが、

報告には専門性と客観性が必要ですので、

フォレンジック調査を専門企業へ依頼することになります。

フォレンジック調査では漏洩の可能性のみにとどまらず、

感染ルートの調査などもおこないます。

総合的に調査をおこなうことにより、原因の究明と関係取引先への報告や今後の対策へと結びつきます。

 

ただ、フォレンジック調査は相当高額です。

1台の調査費用の相場は100万円～300万円と開きがありますが、

安ければいいというものでもありませんので、

しっかりと知見のある会社へ依頼する必要があります。

 

依頼先にお困りの際は、当社でご紹介もできますのでご相談ください。

特にマージンなどは頂いておりませんのでお気軽にどうぞ。

 

 

再発防止策はどうすればいい？

 

感染された方が皆さん気になるのが、

再び感染する可能性があるのではないか？

再発を防止するためにはどうすればいいか？という対策です。

 

全体的には

・今回感染した原因と思われる部分の対策

・網羅的なセキュリティレベルのアップ

・万が一感染した場合のリスク検証とその対策

という流れになりますが、

セキュリティ製品やサービスは様々で

なにをどれだけ導入すればいいのか決めるのは難しいです。

 

当社ではご依頼頂いた企業が抱える

セキュリティの弱点を網羅的に調査するサービスを提供しています。

ネットワークに接続された機器をサーチし、それら機器に侵入可能な脆弱性が無いかを

疑似的に攻撃することにより可視化いたします。

そのレポートをご確認頂くことにより、対策の優先順位が見えてくるかと思われます。

 

疑似サイバー攻撃によるセキュリティ調査サービスについてはまた改めてご説明いたします。

 

 

今回は、昨年10月より悪質化したeCh0raixについてご説明いたしました。

万が一感染してしまった！という方は、絶対に身代金をお支払いにならないようご注意ください。

ランサムウェアに感染してお困りの際は当社へご相談頂ければ総合的にお答えいたします。

お気軽にご相談ください。

 

 

 

 

ランサムウェア感染によるインシデント対応は会社の存続を左右しかねないかと思います。

当社ではこれまでの1000件を超えるご相談実績から中小企業に特化したコンサルティングをおこなっております。

ランサムウェアのご対応にお困りの場合は一度ご相談ください。

 

 

 

 

データ復旧クイックマンでは、ランサムウェアのデータ復旧、コンサルティングなどおこなっております。

緊急でのご対応も可能です。

お困りの際は下記フリーダイヤルまでご相談ください。

 

クイックマン　 フリーダイヤル：0120-775-200