やられました。CryptoLockerの亜種のようですね。
サーバーの一部のファイルとユーザーのパソコン一台が主な被害。
どうやら社員の一人が怪しさ抜群なメール本文中のリンクを踏み抜いてくれたようで、
本人には現時点では厳重注意という程度の処分ですが、後々追加の処分が出るかもしれません。
会社全体に怪しいメールを開かない、むやみに添付ファイルを開かない等、注意喚起をして今後のセキュリティ対策を練り直すことになりそうです。
基本的にはCryptoLockerと同じ物と考えていいようです。なので、対策などもCryptoLockerと同じになります。
今回の被害が広がった原因、採った解決法、予定される現時点での対策案などは以下のとおり。
原因1、怪しいメールのリンクを踏んだことが感染源。
原因2、金曜日にオイラが休みで発覚が遅れたこと。
原因3、感染したPCの電源が切られていなかったことで週末をまたいで被害が拡大し続けたこと。幸い、感染源のPCがアクセスできるサーバーのフォルダは制限されていたので比較的、被害は少なく済んだ。
解決策1、サーバーの隔離、ネットワークからの遮断、感染源のPCの特定。
解決策2、全PCのスキャン(今回は最新版のComboFixを使いました)
解決策3、サーバーのバックアップから被害のあったファイルの復元。
解決策4、感染源のPCの破棄。
このPCの破棄というのはもともと近々入れ替えを予定していたPCだったので、予定を少し前倒しにしただけです。破棄できないパソコンなら、駆除、そして感染したファイルの破棄、そしてバックアップからの復元という流れになります。CryptoLockerに暗号化されたファイルはまず暗号解除できません。要求される金額を払えばちゃんと暗号化解除のキーを送ってくるようですが。OSの再インストールする場合ですが、マスターブートレコードも感染している可能性もあるので、先に駆除しておく方がいいでしょう。暗号化されるファイルはワード、エクセル、PDF、JPG等、なくなると困る、業務に支障が出そうなものに集中している感じです。逆に言えばOS関連のファイルは暗号化されていませんので普通に起動できるようです。起動出来るだけですが。
対策案1、バックアップ、バックアップ、そしてバックアップ。
対策案2、全PC、サーバーのソフト、ドライバーなどを最新に更新。
対策案3、全社員に注意喚起を呼びかけ、セキュリティ意識を高める。
対策案4、メールサーバーの迷惑メールやウィルスメールの感度の再確認、再設定。
対策案5、サーバーのフォルダ構成等の見直し、そしてそれに対するアクセス権の細分化と厳重化。
とにかく、被害を受けたファイルは暗号解除できない以上使えません。バックアップがなければ諦めて破棄して作りなおすか、要求される金額を振り込むしかないようです。とにかく、日頃のバックアップが肝心ですね!
