Cryptwall 2

日本でも第4世代のものが出てきて猛威を振るっていたりするみたいですね。
最新のものは暗号化と同時にファイルの拡張子をvvvやkvk等にするみたいです。

検索でこの死にかけのブログに来てる人もいるみたいなので
ここ2ヶ月位で2件ほどサポートしたので軽く触れておきます。

まず、2件ともバックアップのない環境でした。
1件目はノートパソコン、メールからの感染です。
写真や、動画、仕事用のファイルが全滅、ネットワークドライブにマウントしてあるサーバーのファイルも被害を受けていました。
サーバー側はバックアップがあるので復旧できましたが、ノートの中にあるファイルは全滅。ウィルスを駆除したとしても被害を受けたファイルは暗号化されたままです。
基本的に、感染したPCがまず暗号化されて、そこからネットワークドライブや外付けディスクの暗号化が始まるようです。
バックアップ用のHDDなどを繋げっぱなしにしておくとそちらも最終的には暗号化されてしまうようです。バックアップ時以外はケーブルを抜くなどして対策を打つべきですね。無線や有線で繋いでる常時接続型のNASなどはこういったウィルスに対してバックアップの効果がほぼないと同じですので、ただバックアップするだけでなくて、その運用や多重化、分散化を考えて、外部へのアップロード、または、テープやBDなど交換型の記録装置を使うなどしたほうが被害の範囲を抑えることができますね。

ファイルの復旧に今回はじめて支払いをしたのでその顛末を。
全体の取引などでほぼまるまる48時間くらいかかりましたので、制限時間ぎりぎりまで待ってしまうと、間に合わない可能性があります。制限時間を過ぎると要求金額が倍になってしまうようなので、払うと決めたなら少し余裕を持って取引をするべきです。
支払いはBitCoinのみでの受付。まずBitCoinを扱えるようにアカウントを作成。
BitCoinは通貨と同様にレートが変化して行きますので要求された額がUSD500だとしてもBitCoinをUSD500ドル分買えばいいというわけではない部分が最初の注意点。
身代金支払いの画面にこのレートならBitCoin何個分、という表示が出ているので、その数分のBitCoinを購入します。今回の要求額は500ドル。感染時点でのレートで1.64BitCoinでした。BitCoin購入ですが、売ってくれる人を探すことが必要になります。アカウントを作ったサイトで探せると思いますが、色々条件があったりしてめんどくさい事この上ない。一番安いレートで取引できるとは思わないほうがいいですね。そういうレートの人は過去の取引がいくら以上、のような条件をつけています。
そこそこの相手が見つかり、取引出来たわけですが、総額で560ドルほど支払う結果になりました。レートと手数料の関係なのでしょうがないですが。
取引が完了したらアカウントに購入した分のBitCoinが入金（？）されていますので、これを送金します。送金先のIDに1.64BitCoinを送り、TransactionID（領収ID）を受け取ります。
身代金要求ページに行き、TransactionIDを入力して送金完了となります。
数時間後に暗号化を解除するソフトがダウンロードできるようになり、それを使って暗号化を解除する流れになります。
この部分もかなり時間がかかります。
不本意ながら支払いをしてしまったわけですが、絶対に取り戻したい思い出の写真や会社のファイルなど500ドル払ってもお釣りが来るくらい価値のあることもあるわけです。
暗号化のアルゴリズム次第ですが、消してしまったデータ復旧ソフトで回復できる場合もあるようです。ただし、幾つかのフォーラムに、復旧ソフトと使うことでその後の暗号解除が失敗するという件も報告されていたので、リスクを取れない状況であるなら支払い一択ですね。

2件目は以前働いていた職場の話ですが。ある日の昼頃に元同僚から「これ、ウィルス？」とファイルが破損にしている旨のエラーメッセージのスクリーンショットとともにメールが届きました。それを見た瞬間にCryptwallと判断、電話をかけて即、サーバーのネットワーク遮断を指示。その時の管理者は新人の派遣で状況が飲み込めていないようでした。とりあえず幾つか指示を出し、確認事項を伝えておきました。まあ、すでに退社した外部の人間ですからあまりごちゃごちゃ言えないわけですが、結局、感染したPCの特定から何から連絡を取り続け、最終的にサーバーのファイルが一部、暗号化されてしまったところまでは確認しました。ただ、被害は最小限に留められたと思っています。復旧の指示も出しましたが、驚くことにバックアップが最後に正常に終了したのは2ヶ月前とのこと。この部分はオイラの後任がほったらかしていた可能性が非常に高いです。幸い、暗号化されたファイルの数は多くなく、さほど重要なものではなさそうだったので、破棄。もし、必要な物があれば過去のバックアップから、ということに。幾つか業務にどうしても必要なファイルは、作りなおしました。残念ながら派遣くんは責任を取らされたか、契約打ち切りになってしまったようです。

ここでも重要なのはバックアップ。きちんと正常な状態のバックアップ。サーバーやPCから切り離された状態で保存されたバックアップ。緊急事態にちゃんと使えるバックアップ。もう、ほんとにバックアップ。
バックアップがないとわかった時点でストレスのレベルが跳ね上がりますからね。健康な精神状態で復旧作業ができるように、常にバックアップと安全な運用を心がけましょう。
アンチウィルスなどをインストールして安心というわけには行きません。誰でも失敗はしますし、対策にも限界があります。たった一人、ちょっとした気の迷いで、ダブルクリックしただけで、想像以上の被害が出ますから。特に、最新のCryptwallはホームページの広告を表示しただけで感染するものも出てきたようですし、もしも、まさかの時のための準備を怠らないようにしておきたいですね。

インターネットにだけつながらない、というノーパソ。

久しぶりに、面白い症状のパソコンが来た。
症状はインターネットに繋がらない。タスクバーのネットワークアイコンにビックリマークが出たり消えたりする。社内LAN内のものにはアクセスできる。

IPのチェック。おっけ。DSNのチェック。おっけ。無線LANアダプタ不良の可能性もあるから有線LANでもチェック。全く同じ症状。うーん。
怪しいソフトもなし。念のためマルウェアもチェック。おっけ。ウィルスもチェック。おっけ。IEのプロクシやらの設定もチェック。おっけ。うーーん。
たまたま水曜日だったので、もしかしたら火曜日のウィンドウズアップデートがなんかしたかな、と思って履歴のチェック。何もなし。おっけ。うーーーん。
とりあえず、IPとDNSを取り直してみる。おっけ。変化なし。キャッシュのクリアもしてみる。おっけ。変化なし。Google Public DNSやOpenDSNを入れてみる。おっけ。変化なし。うーーーーん。
インターネットにつながってると表示されるのにホームページが表示されない、という変な状態。PINGやらTRACERTやら打ってみる。DSNが解決されてない様子。おっけ。その辺を集中的に見てみても、変な部分はなし。NSLOOKUPも当然ダメ。うーーーーーん。
色々設定の初期化とかしてみる。おっけ。変化なし。外付けUSB無線LANを試してみたかったけど、手元になかったし、有線LANでも同じ症状だから望み薄っぽいし。うーーーーーーん。
Google先生に聞いてみても今まで試したものがずらずら出てくるだけ、かと思いきや、それらしい症例を発見。

読み進んでみるとコンピュータ名が消えていたのが原因？は？なにそれ？？？
パソコンのプロパティを見てみると、見事にコンピュータ名もドメイン名も空欄。は？なんで？
で、解決策はパソコンの名前を入れてやればいいそうで。おっけ。コンピュータ名を入れてみるが、ドメインホストに何故かアクセス出来ない、と出て完了しない。フツーにアクセスできてるのに。。。しょうがないから、一旦ドメインから外して、ワークグループの設定にすると同時にコンピュータ名を入力。おっけ。再起動して無事に名前が登録されているのを確認。おっけ。そして、ネットの接続を確認。

キターーーーーー！！つながった！！！

あとはドメインの設定をしなおして作業完了。
あー、長かった。。。