※この記事は2025年1月に更新されています。

QNAPをターゲットとしたeCh0raixランサムウェア（別名：QNAPCrypt）の感染被害が国内で拡大しています。このランサムウェアに感染すると拡張子が「.encrypt」に書き換わり、データが暗号化されてしまいます。この記事では、eCh0raixランサムウェアの特徴をはじめ、感染防止策や万が一感染した際の対処法について解説します。

QNAPを狙う類似のランサムウェア「.deadbolt」については下記の記事で詳しく解説しています。

QNAP/ASUSTORで「.deadbolt」拡張子に暗号化されるランサムウェアに感染した時の対処方法

2024.3.5

deadboltは、台湾製NAS「QNAP」「ASUSTOR」を標的にしているランサムウェアです。感染すると拡張子が「.deadbolt」に書き換わり、データが暗号化されてしまいます。2022年以降、日本でも被害が急増しており、可及的速やか

eCh0raixランサムウェアとは？

まずは、eCh0raixンサムウェアに感染した際に発生する事象や特徴について説明します。

感染すると起きる症状

eCh0raixランサムウェアに感染すると、パソコン上のデータの拡張子が「.encrypt」に書き換わりデータが暗号化されてしまいます。またそれだけでなく、このような警告画面が出現し身代金を要求されることがあります。「README_FOR_DECRYPT.txt」というファイル名で身代金を要求する内容が表示されます。
もし感染が疑われる場合は、二次感染を防ぐために端末を速やかにネットワークから切り離し、隔離する必要があります。

出典CloudINFOTECH

万が一、ランサムウェアに感染した場合は、フォレンジック調査が有効です。下記の記事では、調査ができる会社を一覧にしてまとめています。

フォレンジック調査会社の一覧リスト｜選び方も解説

2024.3.5

本記事では、信頼できるフォレンジック調査会社の一覧と選び方を紹介しています。 サイバー攻撃や社内不正による個人情報や業務情報の流出についての事件はすぐにニュースになってしまいます。 そうなってし

eCh0raixランサムウェアの特徴

①標的型攻撃タイプのランサムウェア

eCh0raixランサムウェアは、標的型攻撃タイプのランサムウェアです。eCh0raixランサムウェアのオフラインバージョンには、特定のターゲット用に変換された暗号化キーが埋め込まれており、一意の復号化キーがそれぞれ関連付けられています。 これは、2016年頃に日本で猛威をふるったランサムウェアLockyでも同様の手法が見られました。データを暗号化した後は、復号と引き換えに身代金を要求する構造です。

Lockyを含め、その他のランサムウェアの種類に関してはこちらの記事でご紹介しています。

【2025年最新】ランサムウェアの種類・拡張子一覧まとめと対処法を解説

2024.3.5

ランサムウェアはマルウェアの一種で、「感染した機器をロック・暗号化するプログラム」で、暗号化解除を条件に身代金を要求するために利用されます。 2022~23年にかけて、ランサムウェアは最も社会的に影響が大きいサイバー攻撃として取り上げ

出典DarkReading

②QNAP製もしくはSynology製NASをターゲットにしている

eCh0raixは、台湾のQNAP社製のNAS、または同様のOSライセンスを受けているQNAP NAS（IOデータ社製）、QNAPと同じ台湾メーカーであるSynology製のNASをターゲットにしたランサムウェアです。また、eCh0raixはQNAP製のNASに実装された「QTS」というOSの脆弱性を狙ったランサムウェアであることも判明しています。

出典ANOMARI

③特定言語を利用している端末は暗号化しない

eCh0raixランサムウェアは、感染したNASの場所を特定するために使用言語をチェックし、ロシア語・ベラルーシ語・ウクライナ語に設定されている端末は暗号化しないと報告されています。

出典Trend Micro

eCh0raixランサムウェアの感染対策方法

eCh0raixランサムウェアの感染を防止する対策方法として、以下の4つがあげられます。

• ①QTSを最新バージョンにアップデートする
• ②Malware Removerをインストールし最新バージョンに更新する
• ③ネットワークアクセス保護を有効にしアカウントを保護する
• ④パスワードをより強固なものに設定する

①QTSを最新バージョンにアップデートする

QTSは、QNAP 製「NAS」や「Photo Station」に実装されているOSです。これらのソフトウェアを利用している場合、各メーカーの公式HPからご利用のNASモデルの最新OSをダウンロードしましょう。Photo Station 6.0.3 より前のバージョンは脆弱性が存在し、ランサムウェアに感染する恐れも高いです。その後、ガイドに従いファームウェアも更新してください。

②Malware Removerをインストールし最新バージョンに更新する

既に脅威として認識されているマルウェアについては、QNAP社のApp Centerサイトで配布されているMalware Removerでスキャンを行うことで検出・除去ができます。なお、QNAPを狙う新しいランサムウェア「DeadBolt」なども登場しているので、Malware Removerは常に最新バージョンに更新しておきましょう。

③ネットワークアクセス保護を有効にしアカウントを保護する

ウイルス対策ソフトやネットワーク保護を行うことも、サイバー攻撃から情報を守り対策を行う際の一つの方法です。

④パスワードをより強固なものに設定する

そもそも簡単なIDやパスワード設定がなされているデバイスはその脆弱性を狙われやすいため、パスワード設定を強化することをおすすめします。管理者パスワードを初期設定のままにしている場合は、かならず任意の強固なパスワードに変更を行ってください。

感染が疑われる際にすぐ行うべきこと

eCh0raixランサムウェアへの感染が疑われる場合、速やかに下記のことを行ってください。

ランサムウェアの感染経路7選と感染時の調査手法や対策を徹底解説

2024.3.11

このところ、身代金を要求するマルウェア「ランサムウェア」による被害が国内で急増しています。そのため、企業はランサムウェアの被害を受けないよう、セキュリティ対策を万全にし、

①ネット接続をOFFにする

ランサムウェアの感染はネットワークを伝って拡大します。まだ感染していない他のデバイスへの感染を防ぐため、感染が疑われる端末をネットワークから切断しましょう。

②メールアドレス・パスワードを変更する

感染が疑われるデバイスで使用していたメールアドレス・パスワードを変更しましょう。

また、メールアドレスやパスワードの変更は、ランサムウェアに感染していない他のデバイスから行うようにしてください。感染したデバイスからメールアドレスやパスワードを変更したとしても、新たなメールアドレスやパスワードの情報が攻撃者に盗まれ、再び悪用されてしまいます。

③データの復号

eCh0raixランサムウェアに感染した場合、暗号化されたデータの復号を行う必要があります。後述の注意点にもありますが、データの復号を引き換えに身代金を要求される場合も考えられますが、犯人の要求に従って金銭を支払うことは絶対にしないでください。

データの復号は、ランサムウェアによるデータの暗号化の復号に対応している専門業者に相談をしましょう。

データの暗号化については以下の記事をご覧ください。

データが暗号化された？暗号化データの復号・復旧方法｜ランサム感染

2024.3.11

データ保護の重要性が高まる昨今、情報漏洩防止などの観点から、データを暗号化することはごく当たり前のことになっています。しかし、この暗号化されたデータにトラブルが発生した場合、暗号化の種類によっては、一部のデ

④感染経路調査

またランサムウェアに感染すると、情報漏えいなどの被害が発生している可能性があるほか、後続の攻撃者の侵入経路が開けられているリスクも考えられます。今後の社内のセキュリティ対策やコンプライアンスの観点から、感染経路など被害状況の調査も重要になってきます。

個人でこのような調査を行うことはほぼ不可能ですが、ランサムウェア感染経路調査に対応している業者に依頼することで個人では対応できない領域まで作業することが可能になります。

事態が悪化する前に、一度業者に問い合わせしてみることをおすすめします。

ランサムウェアについては以下の記事で紹介しています。

ランサムウェア感染経路はVPN/RDPの脆弱性が最多 | 感染時の対応は？

2024.3.5

最近のサイバー攻撃では、VPNやRDPの脆弱性が最も頻繁に悪用され、特に身代金を要求する悪質なマルウェア「ランサムウェア」の主要な感染経路となっています。 そのため企業や組織がこれらのリモートアクセス

eCh0raixランサムウェアの復旧方法

感染防止策を行っても、eCh0raixランサムウェアに感染してしまった場合の復旧方法を説明します。

スナップショット機能を利用する

QNAP製のNASにはスナップショットを取得する機能があります。もし、定期的にスナップショットを取得する設定にしていた場合、ランサムウェアに感染しても以前のバージョンを復元することでデータを復旧できる可能性があります。

専門業者へ相談する

スナップショット機能が使用できない場合は他の手段での復旧が必要になります。ランサムウェアに感染すると復号ツールを用いてご自身で解決できる手法もありますが、このeCh0raixランサムウェアの復号ツールは未だ開発されていません。

また、ランサムウェアのバージョンに適合する復号ツールを見極めることは難しく、万一ランサムウェアのバージョンが更新されると復号ツールが直ぐに機能しなる可能性もあります。

大切なデータであれば、ランサムウェアの復旧に対応しているデータ復旧業者にデータの復号について相談することをおすすめします。

【解説】ランサムウェアに感染するとどうなる？確認方法と適切な初動対応まとめ

2024.3.11

ランサムウェアは、PC内のファイルを暗号化し、身代金を要求するマルウェアです。この種の悪質なソフトウェアは、ハッキングに使用されることが多く、近年は企業を狙った攻撃が激化しています。 ランサムウェアに感染した場合、適切な対処が必要です

復旧に際しての注意点

①身代金は支払わない

復号と引き換えに仮想通貨などで身代金の支払いを求められることがあります。しかし、金銭を支払ってはいけません。身代金を支払ってもデータが復号される保証はなく、また身代金を支払うことで、支払った金銭が再び犯罪組織の資金源になってしまいます。

②攻撃者が提供してくるプログラムをダウンロードしない

攻撃者が何らかのプログラムを提供したとしてもダウンロードしてはいけません。プログラムファイルにウイルスが仕込まれており、更に事態が悪化する危険性が高いためです。

③無理に対処しようとせず専門家に相談を

感染の疑いがある場合には、専門業者に相談することをお勧めします。ランサムウェアへの感染が疑われる場合、状況が分からないまま放置すると感染被害が拡大し、業務停止による損失の発生や、個人情報の漏洩により顧客にも被害が及ぶ可能性があります。

そのような事態を防ぐために、万が一の場合は速やかに相談しましょう。ランサムウェアの対応実績がある復旧業者であれば安全かつ的確な対処が分かり、結果として被害を最小限に抑えることができます。

また単にデータを復号するだけでなく「情報漏えいがあったのか」「何が原因でランサムウェアに感染したのか」といった事後調査が必要です。しかし、個人での原因特定、および暗号化されたデータの復元（復号）作業には限界があるため、ランサムウェアの感染経路を適切に調査するには「フォレンジック調査」という方法が有効です。個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。

フォレンジック調査
ウイルス感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

フォレンジック調査とは？費用や期間などからおすすめ会社の選び方を徹底解説

2024.3.5

※この記事は2025年4月に更新されています。 セキュリティ・インシデントの原因究明を行える「デジタルフォレンジック」。日本ではまだまだ聞き慣れない用語ですが、近年デジタル化が進むなかで、ITやセキュリティの重要性は

おすすめのフォレンジック調査業者

ランサムウェア感染時、フォレンジック調査に対応している業者の中でも、実績のある業者を選定しました。

【厳格調査】デジタルデータフォレンジックの評判は？口コミや評価、料金体系からサービスを調査

2024.3.5

フォレンジックとは「パソコンやHDD、スマートフォンなどのデジタル端末に残されたログやデータ類を抽出し、サイバーセキュリティ調査や法的紛争支援などを行う」技術です。 近年はデジタル技術の急拡大により、

まとめ

QNAPのNASを標的としたeCh0raixランサムウェアについて、特徴や感染防止策、復旧方法を解説しました。感染してしまうと自分だけでなく他の人まで感染させてしまう二次被害の危険性もあるため、今回紹介した対策をしっかりと行い、感染しないように注意しましょう。また、感染が疑われる際はネットワークからの隔離を速やかに行い、必要に応じて専門業者への相談も含めて対応策を検討してください。

フォレンジック調査に必要な費用・相場の目安は？料金の内訳についても解説

2024.3.5

「フォレンジック調査」とは、パソコンやスマートフォン、サーバーなどの電子端末内のデータを証拠として保全・解析する調査です。主にマルウェア・ランサムウェア感染・ハッキング・不