2016年04月20日

ランサムウェア再び (Lockyウイルス)

朝、いつも依頼を頂く公益法人のお客様から
電話がかかって来ました。



開口一番、
「ウイルスに感染したみたいなんです。」
「ネットワークドライブのデータが
どんどん文字化けしていくんです」
とおっしゃいました。



私は電話越しに
「すぐにLANケーブルを抜いてくださいっっ」
と伝えました。


おそらくランサムウェアではないか。
であれば、全て暗号化される前に、
ネットワークドライブを隔離しなければ、
と思いました。



昨年、別のお客様から
ランサムウェアに感染したパソコンと
外付けハードディスクを
落ち込まれ、対応をしました。



その対応があったおかげで、
すぐに気づく事ができたのです。


その後、訪問してウイルス検索をしましたが、
ウイルスとしては検出はされませんでした。



また、目視でチェックをしようとしましたが、
タスクマネージャーがエラーで閲覧できない状態でした。
おそらく乗っ取られているのでしょう。



そして暗号化されていたファイルの拡張子が
Lockyとなっていたので、調べてみると
そのままLockyという名のランサムウェアでした。



話をうかがうと、感染経路は
メールの添付ファイルを開いた事のようです。
あたかも取り引き先を装ったタイトルだったようで、
開いてしまったようです。



被害はネットワークドライブの20%程を
暗号化されてしまったようですが、
80%があれば、業務にそれほど支障は
出ないとのことでした。



それにしても、
高価なUTMを導入されていたのですが・・・



今回、被害が少ないという事で、
複号の作業は試みませんでしたが、
念のため調べてみました。



色々なサイトで複号を試みられておりましたが、
複号できたという報告は見つかりませんでした。



未確認で複号できる可能性のある
ソフトウェアのサイトリンクを貼られている
ページもありましたが、未検証でした。



簡単に複号できる暗号化であれば、
ランサムウェアとしての機能を
満たしていない事になりますので、望み薄でしょう。



複号できるかどうかは、
犯人の持っている秘密鍵を保存している
サーバーが押収されたかどうか、という事になります。



残念ながら、今の所、
犯人が捕まったというニュースはありません。




posted by エコ8 at 18:51| ランサムウェア
人気記事
●プリンタ付格安純正インクで年賀状を安く印刷できる裏技
●高い純正インクを本当に使うべきか。それとも互換インクで良いのか。
●ランサムウェアCrypt0L0ckerへ感染したパソコンからデータが復旧できるのか
●ランサムウェアCrypt0L0ckerについての再考 (ダメもとで色々試しました)




カテゴリアーカイブ
最新記事
リンク集


プロフィール