0XXX (NAS) ランサムウェアについて。拡張子.0XXX

こんにちは。
株式会社エス・スリーのスタッフです。

今日は、最近被害が拡大している0XXXランサムウェアについて、現在分かっている情報をまとめてみます。

まず、ランサムウェアとは。
「PCやサーバー、NASの情報をロックしたり暗号化し、ロック解除や復号化と引き換えに身代金を要求してくるタイプのコンピューターウイルス」
です。

色々なタイプのランサムウェアが既に存在し、次々と生み出されています。
今回取り上げる0XXXランサムウェアは比較的新しく、初登場(初被害?)は2021年6月頃に確認されたようです。

こちらは現在進行中のこのウイルスに関するスレッドです。

【0XXXランサムウェアの特徴】
・NAS内のファイルの拡張子が.0XXXとなり暗号化される。
・NASの各ディレクトリに身代金を要求するテキストファイルが追加される。※身代金は300USドルの場合と3000USドルの場合があるようです。また、身代金はビットコインでの支払いが要求されています。
・犯人にコンタクトを取ることで、3ファイルまでならお試しで復号化ができる。
→復号したいファイルとテキストファイルに記載されたプライベートキーを犯人に送ることで復号されたファイルが戻ってきます。犯人側としては復号ができることの証明だ、と主張したいようですね。

【身代金を払ったら復号してもらえる?】
実際にお試しで2つのファイルを送ってみました。
犯人グループからの返信がこちらです。

送ったファイルの復号は確かに行われていました。
ここまでならば身代金を払う必要はありません。
復号したいファイルが3つまでの場合は試す価値はあるかもしれませんね。
※今回の場合返信に添付されてきたファイルは正常でしたが、試される場合は個人のご判断・ご責任でお願いいたします。

このメールのあと、実際に3000ドル相当のビットコインを払ったら復号してもらえるのか?
そこは残念ながら分からない状態です。
※細かいことですが、ドルとビットコインの両替手数料も考慮に入れろ、と書いてありますね…

ただ、ビットコインを送ったとして、
犯人側に「払ったよ」ということと送付元のビットコインアドレスも知らせないと、犯人側ではどの被害者が支払ってきたのか分かりません。
送付元のビットコインアドレスを知らせろという注意はどこにも書いていないので、やはり身代金を払わせるまでが目的なのかとも思ってしまいます。

ただ、さきほどのスレッドでは、身代金を支払ったら復号プログラムが送られてきたとの書き込みもあります。

ただ、身代金を支払ってしまうということは犯罪者組織に資金を提供してしまうことにほかなりません。
心情的にはかなり嫌ですよね。

たとえ支払ってみる場合でも、犯罪者組織にマークされてしまう可能性があるわけで、
同じことの繰り返しにならないようにセキュリティ対策を強化することは必須です。

まだ特定はされていないものの、不審なメールの開封やリモートデスクトップ、Sambaポートの無防備な開放などが侵入口となっているという推測も見られます。
心当たりがある部分は一つ一つ潰していくしかありません。

【じゃあデータは戻らないの?】
ランサムウェアについてはNo More Ransome ProjectID Ransomwareといったサイトで、身代金要求のファイルと暗号化されたファイルをアップロードと、ランサムウェアの特定や復号化ツールの提供を受けることができます。

この記事を書いている時点では0XXXランサムウェアの復号ツールの提供はありません。

最近復号ツールが提供されたRagnarokというランサムウェアの場合、犯人グループが復号キーを提供したことがきっかけで復号ツールが提供されるようになりました。
このようなきっかけが無いと、短期的には復号は難しいのかもしれません…

【データ復元でデータが戻る?】
少し長くなってしまったのでまた次回記事にしますが、データを復元できる可能性はあります。

最後までお読みいただき、ありがとうございました。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

目次