週明けののどかな朝のひと時、「ウィルスに感染したかもー」と連絡が。
感染したのは...なんと、 役員 ...。
ナニーーー!しかも流行のランサムウェア...
何度も不審なメールは開かないようにと、注意喚起をしていたのですが 、「変なメールの添付ファイルは開いてないし!!」と頑なに譲らないところを見ると、どうもメールからの感染ではなく、Webページからの感染のようです。
Webページからの感染は怖くてですね、その改ざんされたサイトを見るだけで感染する場合があります。
IPA(情報処理推進機構)の「2016年1月の呼びかけ」(URL: https://www.ipa.go.jp/security/txt/2016/01outline.html )にもWebページを見ただけで感染したという報告があったという内容が記載されています。
当然、不審なメールの添付ファイルは開かない、Webページを開いた時に勝手に出てくるダウンロードやインストールを促すダイアログを無視するなど、完璧に対策していても、さすがにこの「見るだけで」感染する場合はどうにもならないです。
しょうがないので、感染したPCで暗号化されてしまったファイルを復旧しよう...と頑張ってみたわけですが、先に結果を書いておきましょう。
できませんでした。 ガーーン。 (゜Д゜;)
ただ、うちの場合はできませんでしたが、種類によっては暗号化されたファイルを復旧できる可能性がありますので、私が参考にした復旧ツールについて記録しておきたいと思います。
まずはトレンドマイクロで
こちらのトレンドマイクロ、ウィルスバスターのページ(URL: https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx )に、ランサムウェアの暗号化を復元するツール(サポート対象外)が2種類あります。
ランサムウェアは結構儲かってるからでしょう、亜種がたくさん出ています。
このページには、その種類もたくさん載っています。
ちなみに、うちの会社で使用しているアンチウィルスソフトで検出されたのがCryptXXXという名前だったことと、暗号化されたファイルの拡張子が変わっていなかったので、おそらくCryptXXXのいずれかのバージョンかTeslaCrypt(バージョン4)であろうと考えられます。
このページの下の方に、暗号化の復号ツールがあり、念のため2種類とも試しましたが、暗号化されてしまったファイルの復号はできませんでした。
次はカスペルスキーより
同様の復号ツールはカペルススキーからも配布されています。ダウンロードはこちらの公式ブログ(URL: https://blog.kaspersky.co.jp/cryptxxx-ransomware/11181/ )から可能です。
一応こちらもダメもとで試しはしましたが、やっぱり駄目でした。
ランサムウェア恐るべし
この一連の経験から学んだこと
この一連の経験から学んだことは、
- アンチウィルスソフトを入れていても感染するときは感染する
- 感染してファイルが暗号化された場合、復号するのは難しい
じゃぁ、何もしないでびくびくするしかないのか!?
そんなことはありません。
とは言っても、感染経路が人的操作に依るところが大きいため、すべての社員を監視するのは難しい。
なので、 感染するということを前提とした対策 を立てることにしました。
「防ぐ」以外のランサムウェアへの対策は
バックアップを取る!!
...初歩的ですね。
そうなんです。初歩的ですが、これが一番効果があると思います。
きちんとしたバックアップ体制で臨めばランサムウェアなんて怖くありません。
また、差分バックアップを取っていると、ランサムウェアに感染した時はその差分バックアップがぐっと増えるので、感染に気付くこともできるでしょう。
大事なファイルはファイルサーバに保存してもらい、万が一ローカルデータが暗号化されても復旧できるようにしました。
で、サーバデータは、以下のようなツールを用いてバックアップする。
Arcserve UDP
ツールを使う理由は、ランサムウェアに感染した場合、 感染PCからアクセス可能なサーバのデータも暗号化されてしまうから です。つまりファイルサーバなどの普通に感染PCがアクセスできる場所へのバックアップは危ない。
ただ、個人の場合は、適当なスパンで外付けのHDDにバックアップを取り、バックアップ後は取り外して保管すれば良いと思います。念のため、可能であれば2個くらいで交互にバックアップするとさらに安心です。
感染を防ぐ方ももちろん重要ですが、このウィルスの性質上、 完全に感染を防ぐのは不可能です 。
たとえ感染しても、会社の重要データをオシャカにして損害を出さないためにも、念には念を入れて対策をしましょう。
本日も最後まで読んでいただき、ありがとうございました。
ブログランキングに参加しています。
もしよろしければ応援よろしくお願いします。
にほんブログ村
おまけ
このブログを書いているときに、ランサムウェアのことをしらべていたら、ウィルスバスターのプレスリリースのページにランサムウェアへの対策機能を強化したという記事を見つけました。
事前にファイルをバックアップし、万が一ランサムウェアがファイルを暗号化した場合でも、バックアップファイルを用いて自動的にファイルを復旧する機能を新たに搭載します
っつーことです。今のところ、以下のエディションのみということです。
・ ウィルスバスターコーポレートエディション 11.0 ServicePack1
・ ウィルスバスタービジネスセキュリティサービス 5.9
・ ウィルスバスタービジネスセキュリティ 9.0 ServicePack3
金額面で気にしなくて良ければ、これが一番楽かもですね!
【このカテゴリーの最新記事】
- no image