サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

最新ランサムウェア・BlackMatter|感染時の対処方法



BlackMatterランサムウェアはRaaS(ランサムウェア・アズ・ア・サービス)グループ「BlackMatter」が提供するランサムウェアです。

これは2021年の7月末に発見されたランサムウェアであり、データの暗号化だけではなく、「身代金を支払わないと盗み取った情報を公開する」と脅迫する、二重脅迫型のランサムウェアです。

この記事ではBlackMatterランサムウェアに感染してしまった際の対処方法や、企業が取るべき対策を紹介しています。

BlackMatterランサムウェアの特徴

BlackMatterランサムウェアは従来のランサムウェアの攻撃手法をもとに作られており、年間1億ドル以上の収益がある企業を対象に攻撃を行います。

従来のランサムウェア同様、データの暗号化を行い、復号プログラムと引き換えに身代金を要求します。さらにデータを盗み取り、「身代金を支払わなければ情報を公開する」と二重脅迫する特徴があります。

しかし、このようなランサムウェアに感染し、身代金を要求されても、金銭を支払うことでデータが戻ってくる保証はない上に、攻撃者グループの勢力を拡大させてしまうため絶対に金銭を支払ってはいけません

BlackMatterランサムウェアの積極的なコード改修

BlackMatterランサムウェアは、積極的にコードが改修されているという特徴があります。

積極的なコード改修は、ウイルスバスターやセキュリティソフトでの検知が難しくなり、侵入率を高める原因となります。さらに、BlackMatterランサムウェアの分析も難しくなるため、対処方法を確立するのも難しくなります。

BlackMatterランサムウェア感染時に起こること

BlackMatterランサムウェアに感染すると、上記のような表示がデスクトップに設定されます。READMEテキストには、身代金を要求する内容が書かれており、身代金の額や期間、支払い方法などが記載されています。

他にも、BlackMatterランサムウェアに感染すると「データの暗号化」と「データを奪われる」という症状が発生します。

画像引用SOPHOS NEWS

BlackMatterランサムウェアに感染した/感染が疑わしい際の対処方法

BlackMatterランサムウェアに感染した際の対処法は以下の通りです。

  • ネットワークから遮断する
  • バックアップからデータを取り出す
  • 初期化する

また、ランサムウェアに感染した場合、暗号化されたデータの復号や、感染経路調査を行う必要があります。

ネットワークから遮断する

BlackMatterランサムウェアに感染した場合、直ちにネットワークからデバイスを遮断してください。ランサムウェアの感染拡大はネットワーク上で起こることなので、さらなる感染拡大を防ぐために、デバイスをネットワークから遮断してください。

また、ランサムウェア以外のマルウェア感染が併発しているケースでは、遠隔操作の防止や、攻撃者への情報漏洩防止にも繋がります。

バックアップからデータを取り出す

BlackMatterランサムウェアにより暗号化されたデータが必要な場合、バックアップデータの存在を確認しましょう。クラウド上や、他の記憶媒体にバックアップが存在する場合は、バックアップからデータを取り出すのが一番安全です。

しかし、バックアップデータをランサムウェアに感染しているデバイスに取り込んでしまうと、そのデータも暗号化や攻撃者の手に渡る可能性があります。そのため、以下に紹介する「初期化」を行ってからバックアップデータを取り込んでください。

初期化する

ランサムウェアは該当するデバイスの初期化を行うことで、デバイスから駆除できる場合があります。しかし、初期化を行っても次回の攻撃の糸口となり得る痕跡が残ってしまうことがあります。

感染経路や原因を調査することで、再発防止策を含めた対応を行うことができるため、企業の事後対策として、調査を行うことは必須です。

BlackMatterランサムウェアの感染経路調査や再発防止策

ランサムウェアに感染した際は、適切な「事後対応」が必要です。単にデータを復号するだけでなく「ランサムウェア感染による情報漏洩があったのか」「いつ、何が原因でランサムウェアに感染したのか」といった被害状況や原因特定のために、調査を行うことをおすすめします。

原因特定を怠った企業・団体が再びランサムウェアに感染するケースもあります。再発防止や企業としての信頼失墜を予防する観点でも、感染経路の特定を正確に行うことが重要です。

BlackMatterランサムウェアの感染経路調査の方法

ランサムウェアの感染経路調査には「フォレンジック調査」という方法が有効です。

フォレンジック調査では、PCやスマホなどの電子機器を調査・解析することでランサムウェア感染の証拠や痕跡を保全し、不正アクセスや情報漏洩などの被害状況の調査ができます。

おすすめのフォレンジック調査業者

ランサムウェア感染時、フォレンジック調査に対応している業者の中でも「実績」のある業者を選定しました。

デジタルデータフォレンジック

サイトデジタルデータフォレンジック

デジタルデータフォレンジックは、マルウェア感染、不正アクセス、ハッキング調査などに対して、法人/個人問わず対応している専門性の高い業者です。年中無休で相談から見積もりまで無料で受け付けているため、突然のトラブルにもスムーズに対応することが出来ます。

また、調査専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しているため、初めて調査を依頼する場合でも安心して相談することができます。

費用 電話かメールにてお見積り
調査対象 パソコン、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービス マルウェア・ランサムウェア感染調査、データ改竄調査退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、ハッキング・不正アクセス調査など
特長 無料で相談から見積もりまで可能
11年連続国内売上No.1のデータ復元サービス
警視庁からの捜査協力依頼実績が多数あり

まとめ

BlackMatterランサムウェアについて紹介しました。このランサムウェアは頻繁にコードが書き換えられるため、セキュリティ対策ソフトでの検知が難しく、侵入を防げないケースが多々あります。

万一感染した場合、被害状況を確実に調査することが重要です。ランサムウェアに感染してしまった際は、身代金の要求には絶対に応じず、デバイスをネットワークから遮断し、然るべき事後対応を行いましょう。

SNSでもご購読できます。