アフィリエイト広告を利用しています
検索
新会社でも作れる法人ETCカード
カテゴリーアーカイブ
最新記事
フレッツ光 or 光コラボキャンペーン!王道の光回線「フレッツ光」か高額キャッシュバック「光コラボ」か、あなたならどちらを選ぶ?
<< 2016年08月 >>
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      
タグクラウド
プロフィール
naekさんの画像
naek
SEをやっているにもかかわらず、IT業界の進化が早すぎてついていけないかもしれない自分に鞭打つため始めました。 最新技術やそれを使った利用方法など調べたり考えたりして、それを記事にすることで自分自身の勉強と、ついでにたくさんの人にその技術をうまく活用してもらいたいと願っています。 文章力はありませんので、説明がよくわからんとかこういわれたらわかりやすいなどいろいろコメントいただけましたらうれしく思います。 IT情報に特化せずその周辺情報などもいろいろと書いてゆきたいと思います。 皆様よろしくお願いいたします。
プロフィール
ファン

広告

この広告は30日以上更新がないブログに表示されております。
新規記事の投稿を行うことで、非表示にすることが可能です。
posted by fanblog

2016年08月06日

社員がランサムウェアに感染しました (T T) いろいろ試してみたもののデータの復号はできませんでした その一部始終

kansen.png

週明けののどかな朝のひと時、「ウィルスに感染したかもー」と連絡が。
感染したのは...なんと、役員...。
ナニーーー!しかも流行のランサムウェア...

何度も不審なメールは開かないようにと、注意喚起をしていたのですが、「変なメールの添付ファイルは開いてないし!!」と頑なに譲らないところを見ると、どうもメールからの感染ではなく、Webページからの感染のようです。


Webページからの感染は怖くてですね、その改ざんされたサイトを見るだけで感染する場合があります。
IPA(情報処理推進機構)の「2016年1月の呼びかけ」(URL:https://www.ipa.go.jp/security/txt/2016/01outline.html)にもWebページを見ただけで感染したという報告があったという内容が記載されています。

当然、不審なメールの添付ファイルは開かない、Webページを開いた時に勝手に出てくるダウンロードやインストールを促すダイアログを無視するなど、完璧に対策していても、さすがにこの「見るだけで」感染する場合はどうにもならないです。

しょうがないので、感染したPCで暗号化されてしまったファイルを復旧しよう...と頑張ってみたわけですが、先に結果を書いておきましょう。

できませんでした。ガーーン。 (゜Д゜;)


ただ、うちの場合はできませんでしたが、種類によっては暗号化されたファイルを復旧できる可能性がありますので、私が参考にした復旧ツールについて記録しておきたいと思います。






まずはトレンドマイクロで

こちらのトレンドマイクロ、ウィルスバスターのページ(URL:https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx)に、ランサムウェアの暗号化を復元するツール(サポート対象外)が2種類あります。

ランサムウェアは結構儲かってるからでしょう、亜種がたくさん出ています。
このページには、その種類もたくさん載っています。

ちなみに、うちの会社で使用しているアンチウィルスソフトで検出されたのがCryptXXXという名前だったことと、暗号化されたファイルの拡張子が変わっていなかったので、おそらくCryptXXXのいずれかのバージョンかTeslaCrypt(バージョン4)であろうと考えられます。

このページの下の方に、暗号化の復号ツールがあり、念のため2種類とも試しましたが、暗号化されてしまったファイルの復号はできませんでした。


次はカスペルスキーより

同様の復号ツールはカペルススキーからも配布されています。ダウンロードはこちらの公式ブログ(URL:https://blog.kaspersky.co.jp/cryptxxx-ransomware/11181/)から可能です。

一応こちらもダメもとで試しはしましたが、やっぱり駄目でした。

ランサムウェア恐るべし

この一連の経験から学んだこと

この一連の経験から学んだことは、
  1. アンチウィルスソフトを入れていても感染するときは感染する
  2. 感染してファイルが暗号化された場合、復号するのは難しい


じゃぁ、何もしないでびくびくするしかないのか!?

そんなことはありません。

とは言っても、感染経路が人的操作に依るところが大きいため、すべての社員を監視するのは難しい。
なので、感染するということを前提とした対策を立てることにしました。

「防ぐ」以外のランサムウェアへの対策は

バックアップを取る!!

...初歩的ですね。

そうなんです。初歩的ですが、これが一番効果があると思います。
きちんとしたバックアップ体制で臨めばランサムウェアなんて怖くありません。

また、差分バックアップを取っていると、ランサムウェアに感染した時はその差分バックアップがぐっと増えるので、感染に気付くこともできるでしょう。

大事なファイルはファイルサーバに保存してもらい、万が一ローカルデータが暗号化されても復旧できるようにしました。
で、サーバデータは、以下のようなツールを用いてバックアップする。

Arcserve UDP

ツールを使う理由は、ランサムウェアに感染した場合、感染PCからアクセス可能なサーバのデータも暗号化されてしまうからです。つまりファイルサーバなどの普通に感染PCがアクセスできる場所へのバックアップは危ない。

ただ、個人の場合は、適当なスパンで外付けのHDDにバックアップを取り、バックアップ後は取り外して保管すれば良いと思います。念のため、可能であれば2個くらいで交互にバックアップするとさらに安心です。


感染を防ぐ方ももちろん重要ですが、このウィルスの性質上、完全に感染を防ぐのは不可能です
たとえ感染しても、会社の重要データをオシャカにして損害を出さないためにも、念には念を入れて対策をしましょう。

本日も最後まで読んでいただき、ありがとうございました。


ブログランキングに参加しています。
もしよろしければ応援よろしくお願いします。
ブログランキング・にほんブログ村へにほんブログ村






おまけ

このブログを書いているときに、ランサムウェアのことをしらべていたら、ウィルスバスターのプレスリリースのページにランサムウェアへの対策機能を強化したという記事を見つけました。
事前にファイルをバックアップし、万が一ランサムウェアがファイルを暗号化した場合でも、バックアップファイルを用いて自動的にファイルを復旧する機能を新たに搭載します

っつーことです。今のところ、以下のエディションのみということです。
・ ウィルスバスターコーポレートエディション 11.0 ServicePack1
・ ウィルスバスタービジネスセキュリティサービス 5.9
・ ウィルスバスタービジネスセキュリティ 9.0 ServicePack3

金額面で気にしなくて良ければ、これが一番楽かもですね!
posted by naek at 12:08 | Comment(0) | TrackBack(0) | パソコン
×

この広告は30日以上新しい記事の更新がないブログに表示されております。