STOP Djvuは主にWindowsをターゲットとしたランサムウェアであり、感染すると拡張子が「.djvu」などに書き換わり、データが暗号化されてしまいます。
STOP Djvuランサムウェアに感染した場合、個人情報保護の観点から、被害に遭った企業は専門業者の支援が必要になる場合があります。被害を最小限に抑えるためにも、適切な初動対応と調査を行いましょう。
この記事では、STOP Djvuランサムウェアの特徴をはじめ、感染が疑われる場合の対処法、調査手法について解説します。
STOP Djvuランサムウェアとは?
STOP Djvu ランサムウェアは、2019 年頃から猛威を振るっているランサムウェアの一種です。STOP Djvu ランサムウェアは、さまざまな亜種が存在しており、その数は 150 種類以上にも上ります。
STOP Djvu ランサムウェアは、主に不審なメールやファイルを開いたことによって感染します。感染すると、コンピュータ内のファイルを暗号化してしまい、元に戻すためには身代金の支払いを要求されます。
身代金の金額は、通常数百ドルから数千ドル程度ですが、中には数万ドル以上要求されるケースもあります。また、身代金を支払ったとしても、復号ツールが届かないケースや、復号ツールを使用してもデータが復元できないケースもあります。
出典PCrisk
STOP Djvuランサムウェアの特徴
STOP Djvuランサムウェアには主に以下のような特徴があります。
- 「.djvu」などの拡張子に書き変わる
- 身代金要求ファイル「_openme.txt」または 「_readme.txt」を作成する
- ストリーム暗号化方式「Salsa20」を採用している
- Windowsを標的としている
- トロイの木馬にも感染する恐れがある
「.djvu」などの拡張子に書き変わる
画像出典PCrisk
STOP Djvuランサムウェアは暗号化されたファイルの名前を、次の拡張子を追加して変更します。
- .djvu
- .djvuu
- .udjvu
- .djvuq
- .uudjvu
- .djvus
- .djuvt
- .djvur
例えば「1.jpg」は「1.jpg.djvu」に変わります。しかし、このランサムウェアは常に拡張子を変更し、中には「djvu」の文字列を含めないものも目立ちます。
上記以外で確認されている拡張子も下記に列挙します。
- .verasto
- .hrosas
- .kiratos
- .todarius
- .hofos
- .roldat
- .dutan
- .sarut
- .fedasot
- .forasom
- .berost
- .fordan
- .codnat
- .codnat1
- .bufas
- .dotmap
- .radman
- .ferosas
- .rectot
- .skymap
- .mogera
- .rezuc
- .stone
- .redmat
- .lanset
- .davda
- .poret
- .pidon
- .heroset
- .myskle
- .boston
- .muslat
- .gerosan
- .vesad
- .horon
- .neras
- .truke
- .dalle
- .lotep
- .nusar
- .litar
- .besub
- .cezor
- .lokas
- .godes
- .budak
- .vusad
- .herad
- .berosuce
- .gehad
- .gusau
- .madek
- .tocue
- .darus
- .lapoi
- .todar
- .dodoc
- .bopador
- .novasof
- .ntuseg
- .ndarod
- .access
- .format
- .nelasod
- .mogranos
- .cosakos
- .nvetud
- .lotej
- .kovasoh
- .prandel
- .zatrov
- .masok
- .brusaf
- .londec
- .krusop
- .mtogas
- .coharos
- .nasoh
- .nacro
- .pedro
- .nuksus
- .vesrato
- .masodas
- .stare
- .cetori
- .carote
- .shariz
- .gero
- .hese
- .geno
- .xoza
- .seto
- .peta
- .moka
- .meds
- .kvag
- .domn
- .karl
- .nesa
- .boot
- .noos
- .kuub
- .reco
なぜ、このようにバリエーションがあるかというと、STOP Djvuランサムウェアには、150種類以上もの亜種が存在するからです。亜種が大量に作られるのはセキュリティソフトの検出回避が狙いで、復号・検出に対応されることで亜種が発生する背景があります。
身代金要求ファイル「_openme.txt」または 「_readme.txt」を作成する
STOP Djvuランサムウェアに感染すると、デバイス内に「_openme.txt」「_readme.txt」というランサムノート(指示書)が作成されます。日本語にすると次のようなことが書かれています。
- 全てのファイルが暗号化されています。でも大丈夫、全てのファイルを戻すことができます。
- 重要なファイルは特殊なキーで暗号化されています。このキーと復元ツールを買うことで、復元できます。
- 暗号化されたファイルを1つ送ってみてください。1つだけなら無料で復元します。
- 他のツールを使うのはおすすめしません。
- 私たちに72時間以内に連絡すれば、50%割引します。
- このツールを手に入れるためには、私たちにメールを送る必要があります
これ以外にも下記のファイル名のランサムノートが展開されるケースがあります。
- !!!YourDataRestore!!!.txt
- !!!RestoreProcess!!!.txt
- !!!INFO_RESTORE!!!.txt
- !!RESTORE!!!.txt
- !!!!RESTORE_FILES!!!.txt
- !!!DATA_RESTORE!!!.txt
- !!!RESTORE_DATA!!!.txt
- !!!KEYPASS_DECRYPTION_INFO!!!.txt
- !!!WHY_MY_FILES_NOT_OPEN!!!.txt
- !!!SAVE_FILES_INFO!!!.txt
- !readme.txt
- _openme.txt
- _open_.txt
- _readme.txt
ただ、ランサムノートに従って身代金を支払ってもファイルの復旧は保証されません。それどころか、被害が増える可能性もあります。したがって、感染した場合は、身代金を支払うことなく、サイバーセキュリティ専門家に相談するべきです。
ストリーム暗号化方式「Salsa20」を採用している
STOP Djvuランサムウェアは、かつて一定のブロック単位で暗号化を行う「AES-256」という方式を採用していましたが、近年では高速にデータを暗号化する「Salsa20」という暗号化方式を採用しています。
Salsa20は、いわゆるストリーム暗号で、「暗号化したいデータと暗号化キーを、1ビットずつ、または1バイトずつXOR演算することで暗号化する方式」です。XOR演算とは「ちょうど違うと1にして、まったく同じだと0にする」計算方法で、暗号化だけでなく異なる情報の組み合わせ処理など、さまざまな場面で使われます。
Salsa20がSTOP Djvuランサムウェアで悪用される理由は、以下の2つです。
- Salsa20は高速で安全な暗号化アルゴリズムであるため、ランサムウェアの実行速度を遅くすることなく、データを暗号化することができます。
- Salsa20はオープンソースで公開されているため、ランサムウェアの開発者は、Salsa20のソースコードを自由に利用することができます。
なお、この暗号化方式は、暗号化したいデータと鍵の組み合わせによってのみ復号されるため、暗号文を傍受できたところで復号はできません。
Windowsを標的としている
STOP Djvuランサムウェアは、Windowsを標的としています。Windowsは、比較的脆弱なOSでランサムウェアに感染する可能性が高く、また多くの企業や組織で使用されていることから、ランサムウェア攻撃による影響を受けやすい傾向があります。
トロイの木馬にも感染する恐れがある
STOP Djvuランサムウェアに感染すると、被害は、単なるファイルの暗号化に留まらず、一部のバージョンには、個人情報を窃取する目的で設計された「トロイの木馬」が含まれていたことが確認されています。
また、これ以外にも他の種類のマルウェアも一緒に含まれていたと報告されており、さらなる被害を被る可能性もあります。
したがってランサムウェアに感染した場合は、身代金を支払わずに、専門家に相談することが重要です。専門家は、感染被害など状況の調査や今後のアドバイスなどの支援を行うことができます。
STOP Djvuランサムウェアの感染が疑われる場合の対処法
STOP Djvuランサムウェアの感染が疑われる場合の対処法は以下のとおりです。
ネットワークの遮断
STOP Djvuランサムウェアの感染が疑われる場合、まずはネットワークを遮断しましょう。
ランサムウェアは、感染した端末からネットワークを通じて他の端末に感染を広げる可能性があります。そのため、ランサムウェアの感染が疑われる場合は、まずはネットワークを遮断して被害の拡大を防ぐことが重要です。
メールアドレス・パスワードの変更
メールアドレスやパスワードを変更せず使用し続けるのは危険なため、ランサムウェアの感染が疑われる際は変更しましょう。
ただ、メールアドレスやパスワードの変更を行う際は、ランサムウェアに感染していない端末で行ってください。既に感染した端末で変更すると、変更した情報が詐取され、再び悪用される恐れがあります。
データの復旧
STOP Djvuランサムウェアに感染した場合、暗号化されたデータの復旧が必要となります。事前にバックアップを取っている場合は、サーバーの初期化を行った後、バックアップからデータの復元を試しましょう。
また、データ復号ソフトを使用することで、暗号化されたデータを復旧できる可能性があります。ただし、ソフトのインストールの際に必要なデータを上書きする可能性がある上、復旧できるデータが限られるなど、データ消失のリスクもあることを留意しておきましょう。
データの暗号化については以下の記事をご覧ください。
感染経路を調査
ランサムウェア感染時、侵入経路の調査し、攻撃者の手口を把握することが推奨されています。なぜならランサムウェア感染時、どの脆弱性を悪用し、どの経路から侵入したのかを特定しないまま、復旧作業を行った場合、被害の拡大や再攻撃のリスクを招くおそれがあります。
これ以外にもコンプライアンスの観点からみて、感染経路を明確にすることは非常に重要です。ただし、個人で感染経路や被害状況を調査することは難しいとされています。なぜならランサムウェア感染の調査には、ネットワークに関する知識はもちろん、膨大な量のログやデータを分析する必要があり、調査に時間と労力が必要になるからです。
そこで有効なのが「フォレンジック調査」です。フォレンジック調査とは、デジタル機器に残された記録やデータの保全、調査、分析を行う技術であり、ランサムウェアの感染経路調査に適しています。これによって個人では対応できない領域まで調査することができます。ランサムウェア感染時は、フォレンジック調査の専門業者に相談しましょう。
ランサムウェアに感染経路や対処法については、以下の記事で詳しく紹介しています。
おすすめのフォレンジック調査会社
フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万2千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も360件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
特長 | ✔官公庁・法人・捜査機関への協力を含む、累計32,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
まとめ
今回は、STOP Djvuランサムウェアの特徴や対策方法などを解説しました。
ランサムウェアに感染すると個人情報が漏えいしたり、サイバー攻撃の拠点にされたりする恐れがあります。ランサムウェアに感染しないためにしっかりと対策を講じ、必要に応じて専門業者への相談も検討しましょう。
ウイルス感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。