拡張子「.Phobos」「.eking」ランサムウェア感染時の対処方法を解説|サイバーセキュリティ.com

拡張子「.Phobos」「.eking」ランサムウェア感染時の対処方法を解説



Phobosランサムウェアとは、ファイルの拡張子を「.Phobos」「.eking」に書き換え、身代金を要求するランサムウェアです。2020年からは、コロナ禍に乗じて、リモートワークのセキュリティ環境の不備を突いたPhobosによる攻撃が多発している状況です。特徴や感染時の対処法を知ることで、適切な対処を取れるようにしましょう。

Phobosランサムウェアの特徴

「.Phobos」「.eking」などの拡張子に暗号化される

Phobosランサムウェアに感染すると、拡張子が「.Phobos」や「.eking」に暗号化されてしまい、ファイルを暗号化したという脅迫画面が表示されます。

ランサムウェア「Dharma」との類似性が指摘されている

Phobosは2018年末以降、欧米を中心に被害が多発しているランサムウェアで、国内でも2020年以降、被害が相次いでいます。Phobosは2016年に登場した「Dharma」というランサムウェアのコードを流用した亜種とみなされており、両者は復号プロセスや要求メッセージが類似しています。

出典advintel.io

セキュリティが不十分なRDPから感染する

RDP(リモートデスクトッププロトコル)とは、サーバー経由でコンピュータのリモート接続を可能にする通信規格です。分かりやすく言うと、遠隔地にある Windows の画面を自宅から確認・操作できる機能です。ただし、RDPはサイバ攻撃のターゲットにされやすく、コロナ禍を背景に利用機会も増えていることから、全世界でRDPの脆弱性を突いたサイバー攻撃による被害が多発しています。

Phobosを悪用する攻撃者もまた、インターネット上に公開されているRDPに対し、ブルートフォースアタック攻撃(パスワードを総当たり入力して突破する手法)を通じて不正ログインします。その後、RPDアカウントの管理者権限を奪った後、ネットワーク経由で感染を拡大させます。

出典cybereason

Phobosランサムウェアに感染したと疑われる場合の対処方法

代替のアクセス手段を利用する

Phobosランサムウェアに感染しないようにするには、RDPを使わずに代替のアクセス手段を講じることです。つまり、リモートワークを行う上で、安全なアクセス環境を構築する必要があります。

ただし、RDPの代替ツールとして適当なものが用意できない場合は、RDPとSSL-VPNを組み合わせる、あるいは多要素認証を導入して、通信の暗号化を強化した状態にしておきましょう。

身代金は支払わない

Phobosランサムウェアは、大企業だけでなく、中小企業や個人を対象に攻撃していると考えられています。身代金の支払いに応じたとしても、確実にデータが復号できる保障はありません。反社会的勢力の資金源となってしまう恐れもあるためコンプライアンスの観点からも身代金は支払わないようにしましょう。

感染端末をネットワークから切り離す

Phobosランサムウェアは、ネットワークを経由して感染を拡大させていきます。そのため、ランサムウェア感染時、一つの端末だけでなく周囲の端末やファイルサーバーもファイルが暗号化されてしまう恐れがあります。この際、情報を抜き取られる恐れもあるため、異常を察知した段階で可及的速やかに端末をオフラインにしましょう。有線ならケーブルを取り外し、無線ならWi-fi接続を遮断してください。

バックアップを確認する

Phobosランサムウェアに感染してしまっても、データのバックアップを定期的にとっていた場合には、バックアップからデータを復元することが最善策です。サーバーの初期化を行った後、マルウェアファイルを削除するか、バックアップからファイルの復元を試みましょう。ただし、バックアップが古く、データを初期化することが出来ないという方は、身代金を支払わず、データ復旧・復号の専門業者に相談しましょう。

データ復旧サービスの費用や業者選びのポイントについては下記のコンテンツが参考になります。

専門業者に被害の調査を依頼する

Phobosランサムウェアに感染した際は、単にデータを復号するだけでは不十分です。情報漏えいの有無や感染経路を特定しなければ、バックドア(マルウェアが出入りする勝手口)を仕掛けられていても気づくことはできません。また被害範囲が分からず、被害を繰り返してしまう恐れがあります。

個人での原因特定、および暗号化されたデータの復元(復号)作業には、限界があるため、適切な調査を行うには、専門業者に相談することが最善の対処法と言えます。

ランサムウェアの感染経路調査には「フォレンジック調査」という方法が有効です。個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。

フォレンジック調査
ウイルス感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

おすすめのフォレンジック調査業者

ランサムウェア感染時、フォレンジック調査に対応している業者の中でも、実績のある業者を選定しました。

デジタルデータフォレンジック


公式HPデジタルデータフォレンジック

デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応業者です。

マルウェア感染、不正アクセス、ランサムウェア感染、情報漏えい調査など法人を対象としたサイバーインシデントに幅広く対応している専門性の高い業者であり、突然のトラブルにもスムーズに対応することが出来ます。また警視庁からの捜査依頼実績も多数あることから実績面でも信頼ができ、費用面でも安心といえるでしょう。

費用 ■相談から見積もりまで無料
※機器の種類・台数・状態によって変動
調査対応機器 NAS/サーバー(RAID等も対応)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカード、スマートフォンなど
調査実施事例 警察からの捜査依頼(感謝状受領)、退職者調査、社内不正調査、情報持出し調査、マルウェア・ランサムウェア感染調査など
特長 大手企業や警察を含む累計14,233件の相談実績
■「Pマーク」「ISO27001」取得済のセキュリティ
駆けつけ対応のサービスあり(法人のみ)

デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ

まとめ

今回はPhobosランサムウェアの特徴や感染の疑いがある場合の適切な対処法や専門業者について解説しました。

近年、ランサムウェアは個人だけでなく企業や公的機関を狙うものが増加しており、被害総額の規模も大きくなっています。この記事で紹介した対処方法を確認し被害の拡大を最小限に抑えましょう。被害を把握し適切な対処を行うためにも、必要に応じて専門業者に相談することも検討してみてください。

SNSでもご購読できます。