【Trigonaランサムウェア】拡張子「._locked」の被害・感染経路・対処法を解説|サイバーセキュリティ.com

【Trigonaランサムウェア】拡張子「._locked」の被害・感染経路・対処法を解説

本コンテンツには広告を含み、本コンテンツを経由して商品・サービスの申込みがあった場合、提携している各掲載企業から送客手数料を受け取ることがあります。



Trigonaランサムウェアとは、2020年10月頃から流行している新しいランサムウェアです。

Trigonaランサムウェアはシステムに侵入し、ファイルの拡張子に「._locked」を追加し、データを暗号化します。

本記事では、Trigonaランサムウェアに感染した時の被害や感染経路、対処法を解説します。おすすめの調査専門業者も紹介していますので、是非参考にしてください。

Trigonaランサムウェアの特徴

Trigonaランサムウェアの特徴は以下のようなものがあります。

  • CryLockランサムウェアとの類似性がある
  • 感染すると拡張子を追加される (._locked)
  • Torブラウザをダウンロードされ、ランサムノートが表示される
  • 復号化キーを暗号通貨moneroで購入するように求められる

ランサムウェアについての詳細は以下の記事で紹介しているので是非参考にしてください。

CryLockランサムウェアとの類似性がある

Trigonaランサムウェアは「CryLock」と呼ばれるランサムウェアとの間に類似性があるといわれています。
類似している点は以下の点です。

  • 二重恐喝手法を用いている点
  • 復号キーと引き換えに身代金の支払いを要求する点
  • 「How_to_decrypt.hta」の身代金要求メモを利用している点

TrigonaもCryLockもここ数カ月間活動が活発になっているランサムウェアで、感染するとデータの暗号化や身代金の要求、情報漏洩されます。復号化ツールなどは現状開発されていないため、すぐに専門業者で調査してもらうことが重要になります。

出典Bee-Ware of Trigona, An Emerging Ransomware Strain

感染すると拡張子「._locked」を追加される

Trigonaランサムウェアに感染すると、感染したファイルの拡張子に「._locked」を追加されます。拡張子が追加されてしまったファイルは暗号化され、正常に開いてアクセスするためには、データを復号化する必要があります。また、暗号化されたファイルはファイル名が「元のファイル名._locked 」に変更されます。

Torブラウザを経由したランサムノート「how_to_decrypt.hta」が表示される

Trigonaランサムウェアに感染すると、Torというブラウザを経由してランサムノート「how_to_decrypt.hta」が表示されます。

Torブラウザとは、匿名性を重視したウェブサイトで、一部では通常のウェブサイトでは販売できないような商品やサービスを販売しています。Torブラウザ上でランサムノート「how_to_decrypt.hta」を表示することによって、身代金の要求元や攻撃元などの情報が追跡できません。身代金の支払いなどについて攻撃者との交渉を行うためのサポートチャットもランサムノートとともに表示されます。
出典Similarities to CryLock Ransomware

復号化キーを暗号通貨moneroで購入するように求められる

データの暗号化を解除するためにの「復号化キー」と交換に身代金の要求をされますが、Trigonaランサムウェアでは暗号通貨「monero」での支払いが求められます。moneroは匿名性の高い暗号通貨で、送金者などの取引記録を非公開にする特徴があるため、追跡が困難な暗号通貨です。追跡が難しい分ビットコインなどの暗号通貨と比較して攻撃者にとっては都合がいい暗号通貨となっています。

出典securitylab.ru

ビットコインなどの場合は身代金を支払った後に追跡して金銭を奪還した事例もありますが、moneroでは難しいです。身代金は絶対に支払わないようにし、事実調査や個人情報保護委員会や警察、被害を受ける可能性がある人への報告を優先するために、調査専門会社に相談しましょう。

Trigonaランサムウェアで身代金を支払うリスク

Trigonaランサムウェアで身代金を支払うリスクは以下のようなものがあります。

  • 支払ったとしても再度攻撃されるリスク
  • 攻撃者は身代金を受け取っても復号キーを提供しない可能性がある
  • 違法行為への関与が疑われる

支払ったとしても再度攻撃されるリスク

Trigonaランサムウェアは二重恐喝手法を用いている可能性が高いです。二重恐喝手法のランサムェアとは、データを暗号化し、暗号化解除のための復号化キーを渡す代わりに身代金を要求するだけでなく、感染したコンピュータ内に保存されているデータを公開することを第二弾の脅迫として行います。

また、サイバー犯罪者が集う掲示板「リークサイト」に盗んだデータを暴露・売買することで金銭的利益を得ていることも考えられます。身代金を支払ったとしても、繰り返し要求される可能性が高いので、身代金は支払わないようにしましょう。

攻撃者は身代金を受け取っても復号キーを提供しない可能性がある

データを復号化するために、身代金を支払ったとしても、復号キーを提供してもらえる保証はどこにもありません。むしろ攻撃者にとって、復号キーを返却しないでもう一度身代金を要求したり、情報をダークウェブ上などで売却した方が金銭的メリットがあります。復号キーの受け取りが確定しない以上、身代金を支払うことは大きなリスクですので、絶対に支払わないようにしましょう。

違法行為への関与が疑われる

ランサムウェアでの攻撃者に対して身代金を支払うということは、状況によっては反社会的勢力の活動助長や、さらなるサイバー攻撃へ寄与に繋がりかねません。たとえデータを復号化することが目的だったとしても、違法行為への関与が疑われると、無実だとしても企業の社会的信頼にも大きな被害を受ける可能性が高いです。身代金は絶対に支払わないようにしましょう。

また、ランサムウェアに感染して暗号化された情報が攻撃者によって情報漏洩しているにもかかわらず、事実を報告しないことも違法行為になります。罰則次第で1億円の罰金が発生するうえに、企業のイメージ損失による事業への悪影響が考えられます。ランサムウェアに感染した時には、直ぐに調査可能な専門会社に相談し、感染経路や漏洩事実を調査することが先決です。

Trigonaランサムウェアの主な感染経路

Trigonaランサムウェアの主な感染経路は以下のようなものがあります。

  • VPNやRDPなどの脆弱性を突かれて感染
  • 悪質なファイルを添付したフィッシングメールからの感染
  • 悪質なウェブサイトからの感染

セキュリティが不十分なVPNやRDPなどのネットワークからの感染

Trigonaのランサムウェアの感染経路には、VPNやRDPなどの脆弱性を狙った攻撃があげられます。

社外から、社内のネットワークにリモートで接続できるVPNに脆弱性があり、サイバー攻撃の標的にされるケースが増えています。

被害を抑えるためには、VPN機器ベンダーからセキュリティの脆弱性が報告されていないかを確認し、定期的にセキュリティ設定の見直しが必要になります。

悪質なファイルを添付したフィッシングメールからの感染

フィッシングメールはランサムウェアの主要な感染経路の1つで、メールにランサムウェアを含んだ悪質なファイルを添付し、ファイルにアクセスすることでランサムウェアに感染する可能性がある攻撃手法です。

フィッシングメールからのランサムウェア感染を防ぐためには、以下のような対策を講じることが重要です。

  • 不審なメールや添付ファイルを開かない
  • 不明な差出人からのメールや添付ファイルを開かない
  • メール内のリンクをクリックしない

悪質なウェブサイトからの感染

ダウンロードサイトやトレントサイト、偽のWebサイトなどの悪意を持って作成されたウェブサイトからランサムウェアに感染することがあります。広告やリンクなどから悪質な不正サイトへ誘導され、ランサムウェアに感染させられる可能性があります。また、アプリやソフトウェアのインストールを促され、アプリやソフトウェアの中にランサムウェアが内包されている可能性が高いです。やみくもに不審なサイトへ遷移したりアプリケーションをダウンロードせずに、安全性を確かめることが重要です。

もしランサムウェアに感染した可能性がある場合には、調査をして各方面に事実を報告する義務が発生します。身代金の支払いはせずに、まずは感染経路や情報流出の状況などを正確に調査するため、まずはランサムウェアの調査専門会社に相談しましょう。

Trigonaランサムウェアに感染したと疑われる場合の対処方法

Trigonaランサムウェアに感染したと疑われる場合の対処方法は以下の通りです。

  • ネットワークから切断する
  • 代替のアクセス手段を利用する
  • データのバックアップが残っていないかを確認する
  • ランサムウェア感染・サイバー攻撃の専門家に被害の調査を依頼する

ネットワークから切断する

ランサムウェアは観戦した機器から周辺機器に二次被害を及ぼす可能性があるので、まずはネットワークから切断するようにしてください。無線ネットワークの場合は設定からネットワーク接続をオフにし、有線ネットワークの場合はケーブルを取り外しましょう。

注意点として、ランサムウェアに感染した疑いがある機器は電源を切らずにスリープモードで維持するようにしてください。電源を落としてしまうと、ログが削除されてしまい専門業者で事実調査をすることができなくなる可能性があります。

代替のアクセス手段を利用する

Trigonaランサムウェアに感染しないようにするには、RDPを使わずに代替のアクセス手段を講じることです。リモートワークを行う上で、セキュリティ体制が脆弱だとランサムウェア感染被害が発生する可能性が高くなります。安全なアクセス環境を構築する必要があります。

代替のアクセス手段を利用するのが難しい場合には、RDPとSSL-VPNを組み合わせる、あるいは多要素認証を導入して、通信の暗号化を強化した状態にしておきましょう。

データのバックアップが残っていないかを確認する

Trigonaランサムウェアに感染してデータが暗号化されたとしても、バックアップが残っていればデータにアクセスが可能な場合があります。データにアクセスできないという問題はこれで対策できる可能性が高いです。

しかし、情報漏洩している可能性があるという事実は変わらないので、バックアップがあるからといってトラブルが解決したわけではありません。「情報漏洩する」という強迫で身代金が要求される可能性や、実際に情報が流出させられる可能性もあります。バックアップがあったとしても、まずはランサムウェアの感染状況を調査することが必須ですので、まずは専門業者に相談しましょう。

Trigonaランサムウェア感染・サイバー攻撃の専門家に被害の調査を依頼する

Trigonaランサムウェアに感染した際は、単にバックアップからデータを復元するだけでは全く不十分です

情報漏えいの有無や感染経路を特定しなければ、バックドア(マルウェアが出入りする勝手口)を仕掛けられていても気づくことはできません。また被害範囲が分からず、被害を繰り返してしまう恐れがあります。

しかし、個人での原因特定には、限界があるため、適切な調査を行うには、サイバーセキュリティの専門家に相談することが最善の対処法と言えます。

なお、ランサムウェアの感染経路調査には「フォレンジック調査」という方法が有効です。個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。

フォレンジック調査
ウイルス感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

Trigonaランサムウェアに感染したときにおすすめのフォレンジック調査会社

フォレンジックは、デジタルデバイスから電子的証拠を収集、分析するプロセスで、サイバー攻撃被害の全容解明に役立ちます。

しかし、フォレンジック調査はまだまだ一般に馴染みが薄く、フォレンジック調査会社選びの際もどのような判断基準で選定すればよいか分からない方も多いと思います。

そこで、対応領域や費用・実績などを踏まえ、50社以上の中から見つけたおすすめのフォレンジック調査会社・調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

  • 官公庁・捜査機関・大手法人の依頼実績がある
  • スピード対応している
  • セキュリティ体制が整っている
  • 法的証拠となる調査報告書を発行できる
  • データ復旧作業に対応している
  • 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

デジタルデータフォレンジック

サイトデジタルデータフォレンジック

デジタルデータフォレンジックは、国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。累計2.4万件以上の相談実績を持ち、サイバー攻撃被害や社内不正の調査経験が豊富な調査会社です。

調査・解析専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しています。
多種多様な業種の調査実績があり、年中無休でスピーディーに対応してもらえるため、初めて調査を依頼する場合でも安心して相談することができます。

また、警視庁からの捜査依頼実績やメディアでの紹介実績も多数あることから実績面でも信頼がおけます。法人/個人問わず対応しており、見積まで無料のため費用面も安心です。法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。

費用 ★相談・見積り無料 まずはご相談をおすすめします
調査対象 PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービス マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、ハッキング・不正アクセス調査、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など
特長 官公庁法人・捜査機関への協力を含む、累計32,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧サービスを保有する企業が調査
(※)(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年)

まとめ

今回はTrigonaランサムウェアに感染したときの特徴や感染経路、対処方法を紹介しました。ランサムウェアに感染した時は、身代金の要求に対してどのように対処するかも重要ですが、暗号化された情報の流出の可能性を考えてまずは事実の調査をすることが一番重要になります。

万が一情報漏洩が発生していた場合には、個人情報保護法に従って個人情報保護委員会・警察・被害を受ける可能性がある方に情報漏洩の事実を報告する義務が発生します。もし法律に従わずに報告しなければ、最悪の場合1億円の罰金が科せられる可能性や、社会的信用の損失によって事業への被害が発生する可能性があります。

ランサムウェア感染の可能性がある場合には、まず専門業者に相談して事実調査をしてください。

SNSでもご購読できます。