無料会員登録
QNAPをターゲットとしたeCh0raixランサムウェアの感染被害が国内で拡大しています。このランサムウェアに感染すると拡張子が「.encrypt」に書き換わり、データが暗号化されてしまいます。
この記事では、eCh0raixランサムウェアの特徴をはじめ、感染防止策や万が一感染した際の対処法について解説します。
この記事の目次
1. eCh0raixランサムウェアとは?
まずは、eCh0raixンサムウェアに感染した際に発生する事象や特徴について説明します。
感染すると起きる症状
eCh0raixランサムウェアに感染すると、パソコン上のデータの拡張子が「.encrypt」に書き換わりデータが暗号化されてしまいます。またそれだけでなく、このような警告画面が出現し身代金を要求されることがあります。「README_FOR_DECRYPT.txt」というファイル名で身代金を要求する内容が表示されます。
もし感染が疑われる場合は、二次感染を防ぐために端末を速やかにネットワークから切り離し、隔離する必要があります。
2. eCh0raixランサムウェアの特徴
①標的型攻撃タイプのランサムウェア
eCh0raixランサムウェアは、標的型攻撃タイプのランサムウェアです。eCh0raixランサムウェアのオフラインバージョンには、特定のターゲット用に変換された暗号化キーが埋め込まれており、一意の復号化キーがそれぞれ関連付けられています。 これは、2016年頃に日本で猛威をふるったランサムウェアLockyでも同様の手法が見られました。データを暗号化した後は、復号と引き換えに身代金を要求する構造です。
Lockyを含め、その他のランサムウェアの種類に関してはこちらの記事でご紹介しています。
②QNAP製もしくはSynology製NASをターゲットにしている
eCh0raixランサムウェアは、台湾のQNAP社製のNAS、または同様のOSライセンスを受けているIOデータ社製のQNAP NASをターゲットにしています。eCh0raixランサムウェアは、QNAP製のNASに実装されているOS「QTS」の脆弱性を狙ったランサムウェアであることが判明しています。
また2019年8月頃より、QNAPと同じ台湾メーカーのSynology製NASもこのランサムウェアの標的となっています。ソースコードや復号化機能の文字列を比較すると、Synology製NASに対して攻撃を行っているのはQNAP製NASを標的にしたのと同じeCh0raixランサムウェアであることが判明しています。
③特定言語を利用している端末は暗号化しない
eCh0raixランサムウェアは、感染したNASの場所を特定するために使用言語をチェックし、ロシア語・ベラルーシ語・ウクライナ語に設定されている端末は暗号化しないと報告されています。
3. eCh0raixランサムウェアの感染対策方法
eCh0raixランサムウェアの感染を防止する対策方法として、以下の4つがあげられます。
①QTSを最新バージョンにアップデートする
各メーカーの公式HPからご利用のNASモデルの最新ファームウェアをダウンロードしましょう。その後、ガイドに従いファームウェアを更新してください。
②Malware Removerをインストールし最新バージョンに更新する
QNAP社のApp Centerサイトで配布されているMalware Rremoverをインストールします。既に脅威として認識されているマルウェアについては、Malware RemoverでNASのスキャンを行うことで検出・除去ができます。
③ネットワークアクセス保護を有効にしアカウントを保護する
ウイルス対策ソフトやネットワーク保護を行うことも、サイバー攻撃から情報を守り対策を行う際の一つの方法です。
④パスワードをより強固なものに設定する
そもそも簡単なIDやパスワード設定がなされているデバイスはその脆弱性を狙われやすいため、パスワード設定を強化することをおすすめします。管理者パスワードを初期設定のままにしている場合は、かならず任意の強固なパスワードに変更を行ってください。
4. 感染が疑われる際にすぐ行うべきこと
eCh0raixランサムウェアへの感染が疑われる場合、速やかに下記のことを行ってください。
①ネット接続をOFFにする
ランサムウェアの感染はネットワークを伝って拡大します。まだ感染していない他のデバイスへの感染を防ぐため、感染が疑われる端末をネットワークから切断しましょう。
②メールアドレス・パスワードを変更する
感染が疑われるデバイスで使用していたメールアドレス・パスワードを変更しましょう。
また、メールアドレスやパスワードの変更は、ランサムウェアに感染していない他のデバイスから行うようにしてください。感染したデバイスからメールアドレスやパスワードを変更したとしても、新たなメールアドレスやパスワードの情報が攻撃者に盗まれ、再び悪用されてしまいます。
5. eCh0raixランサムウェアの復旧方法
感染防止策を行っても、eCh0raixランサムウェアに感染してしまった場合の復旧方法を説明します。
スナップショット機能を利用する
QNAP製のNASにはスナップショットを取得する機能があります。もし、定期的にスナップショットを取得する設定にしていた場合、ランサムウェアに感染しても以前のバージョンを復元することでデータを復旧できる可能性があります。
専門業者へ相談する
スナップショット機能が使用できない場合は他の手段での復旧が必要になります。ランサムウェアに感染すると復号ツールを用いてご自身で解決できる手法もありますが、このeCh0raixランサムウェアの復号ツールは未だ開発されていません。
また、ランサムウェアのバージョンに適合する復号ツールを見極めることは難しく、万一ランサムウェアのバージョンが更新されると復号ツールが直ぐに機能しなる可能性もあります。
大切なデータであれば、ランサムウェアの復旧に対応しているデータ復旧業者にデータの復号について相談することをおすすめします。
復旧に際しての注意点
①身代金は支払わない
復号と引き換えに仮想通貨などで身代金の支払いを求められることがあります。しかし、金銭を支払ってはいけません。身代金を支払ってもデータが復号される保証はなく、また身代金を支払うことで、支払った金銭が再び犯罪組織の資金源になってしまいます。
②攻撃者が提供してくるプログラムをダウンロードしない
攻撃者が何らかのプログラムを提供したとしてもダウンロードしてはいけません。プログラムファイルにウイルスが仕込まれており、更に事態が悪化する危険性が高いためです。
③無理に対処しようとせず専門家に相談を
感染の疑いがある場合には、専門業者に相談することをお勧めします。ランサムウェアへの感染が疑われる場合、状況が分からないまま放置すると感染被害が拡大し、業務停止による損失の発生や、個人情報の漏洩により顧客にも被害が及ぶ可能性があります。
そのような事態を防ぐために、万が一の場合は速やかに相談しましょう。ランサムウェアの対応実績がある復旧業者であれば安全かつ的確な対処が分かり、結果として被害を最小限に抑えることができます。
6. おすすめのデータ復旧業者
ランサムウェアに対応している専門業者といっても、本当に技術力がある業者を選定するのは難しいといえます。
そこで、ランサムウェアに対応実績のある業者の中からデータ復旧サービス各社の価格、内容(対応製品)、期間や特長から比較した、おすすめの専門業者をご紹介します。
(2020年最新版)おすすめデータ復旧業者ランキングはこちら
デジタルデータリカバリー
サイトデジタルデータリカバリー
デジタルデータリカバリーは11年連続国内売上No.1の国内最大級のデータ復旧業者です。復旧率に関しても95.2%と業界最高水準を誇り、技術力は申し分ないといえます。
また、技術力の他に復旧スピードも非常に速く、最短当日かつ約80%が48時間以内に復旧されるというのも大きな魅力です。料金体系は成功報酬制が採用されており、診断・見積りも無料で行えるため、まずは最大手のデジタルデータリカバリーへの問合せをおすすめします。
| 価格 | 500GB未満:5,000円〜 500GB以上:10,000円〜 1TB以上:20,000円〜 2TB以上:30,000円〜 |
|---|---|
| 内容(対応製品) | RAID機器(NAS/サーバー)、ハードディスク(パソコン)、外付けHDD、USBメモリ、ビデオカメラ、SSD、SDカード・MSDカードなど |
| 期間 | 最短当日(持ち込みの場合) 約80%が48時間以内に復旧完了 |
| 特長 | 11年連続データ復旧国内売上No.1 95.2%の非常に高いデータ復旧率 累積29万件以上の相談実績 診断・見積り無料(デジタルデータリカバリーへの配送料も無料) |
7. まとめ
QNAPのNASを標的としたeCh0raixランサムウェアについて、特徴や感染防止策、復旧方法を解説しました。感染してしまうと自分だけでなく他の人まで感染させてしまう二次被害の危険性もあるため、今回紹介した対策をしっかりと行い、感染しないように注意しましょう。また、感染が疑われる際はネットワークからの隔離を速やかに行い、必要に応じて専門業者への相談も含めて対応策を検討してください。
