業務用ファイルサーバ内に保存しているファイルがランサムウェア感染により暗号化される被害が発生したと多摩都市モノレール株式会社は平成30年7月13日に発表しました。
経緯
平成30年7月9日(月)23時頃、一般業務系ファイルサーバに格納されたファイルの異常を認知
平成30年7月10日(火)未明、サーバに格納された全ファイルへのアクセスが不能になっていることが判明
被害の範囲
一般業務系ファイルサーバ内の全ファイルが暗号化
輸送システムや営業システム、ホームページは別系統での管理となる為、運航等の業務への支障はないとのこと
ランサムウェアとは
ランサムウェアに感染したお客様から、お問い合わせを頂きインシデントレスポンス対応を行いました。そこでランサムウェアの検体も一緒に引き上げてきたので弊社ラボ内の仮想環境にて検証を行ったのでレポートを致します。
*ランサムウェアはPC内のファイルが暗号化され、身代金を支払う様に要求される非常に危険なマルウェアです。この検証は弊社内のマルウェア・ウイルス解析用の特別な環境で行っている為、真似をしない様にしてください。
①テストフォルダの中に検体を入れました。
②検体フォルダの中に入っているので開きます。
③お見積書依株式会社anexe.pdfというファイルがランサムウェアです。
*拡張子がpdfになっていますが、実際の拡張子はexeですので実行ファイルです。RLOという手法で拡張子を怪しまれない様にしていますが、種類の欄はアプリケーションになっています。(検体のファイル名は変更しております。)
④ダブルクリックすると英語表記の画面が現れました。
⑤英語表記の画面を×で消すと日本語表記の画面が現れました。ファイルが開けないのは正しい状態なのでcerver dycrypterを購入することで復号化できると記載されています。
⑥支払い方法を指示しています。
*ネットとは繋がっていない状態で検証したので、このURLはクリックしていません。
⑦この画面を×で消して元の画面に戻るとワード、エクセル、パワーポイントのファイル名が変更されていました。ダブルクリックしても一切開けません。デスクトップの壁紙も変更されて、画面にあるhtaのファイルが生成されていました。
*怖いことに感染後は丁寧に日本語音声で説明のアナウンスが流れ続けていました。
音声のアナウンスが怖いです
ランサムウェアはかなりの種類の亜種が誕生している為、ウイルス対策ソフトの対応が間に合っていないケースが多いです。OSやサードパーティ製品のアップデートはもちろん、PCやサーバ等のエンドポイントセキュリティ、UTMやファイアウォール等のネットワークセキュリティ、と三重四重のセキュリティ対策が必要になります。こちらのお客様は幸いにも定期的に取得しているNASの過去のスナップショットからデータを復元することができました。本当に復元できるかどうかも分からない指示に従って支払いをすることなく解決できました。万が一バックアップも暗号化されて、スナップショットも無い状態だったらと考えるとゾッとすると仰っていました。
ランサムウェアの事前対策がお済みでない場合は情報セキュリティ対策サービスへご相談ください。
また、万が一データを暗号化された場合は情報セキュリティ110番へご相談ください。関連リンク
ランサムウェア感染 新潟大学