とある会社の社長さんが、現場工事の写真が開けなくなったという事で来社いただきました。パソコンを確認させていただくと嫌な予感が・・・。開けなくなった写真のフォルダすべてにテキストファイルとHTMLファイルが1つずつ置いてあります。そう、ランサムウェアです。
ランサムウェアに感染すると、ファイルが暗号化されて開けなくなってしまいます。どうにか開けるようになる方法はないかとご相談頂きましたが、暗号化の解除キーを知らない限りは不可能です。これを解除できるようなら、たぶん世の中が大騒ぎになります(笑)
ランサムウェアの一部は、暗号化の解除キーが判明しているものもあります。ですが今回は新種のタイプでしたので、暗号化を解除する方法はありません。身代金を払う以外は・・・。
写真のバックアップはとっておらず、シャドウコピーから復元することもできません。一般的にはランサムウェアに身代金を払うべきではないという意見が多いようですが、今回の場合、その写真がないと会社の存続にかかわるということでした(役所に提出する工事現場の写真だったようです)。
身代金を払って実際にデータが復元できるかどうかは正直分かりません。その点をお客様に伝え、それでも構わないということだったので、実際に身代金を払って実際に復元できるかどうかやってみました。結論からいうと復元できました。
各フォルダに残されたHTMLファイルを開くと、ファイルが暗号化されたというメッセージがすべて英文で表示されました。この中には「PERSONAL ID」というものが記載されており、これで個人を識別しているようです。ページ内にURLが書いてありましたので、そこにアクセスすると犯人側のWebページが表示され、PERSONAL IDを入力するように促されます。PERSONAL IDを入力してログインすると、今後の手順が表示されました。要約すると次のような感じです。
- 身代金は1.2BIT COIN(ビットコイン)。あと数十時間経つと、身代金が1.5倍~2.0倍になる(記憶が曖昧)
- ビットコインを購入し、相手の指定されたビットコインアドレスに送金する
- 送金した際に表示されるTRANSACTION IDを、Webページに入力する
- 成功すると、復号化ツールと解除キーをダウンロードできるようになる
- 復号化ツールを起動し、解除キーを入力して実行すると、暗号化が解除される。
ビットコインという存在は知っていましたが、実際に扱ったことはありませんでした。1.2BIT COINを日本円に換算すると、その時の相場で約8万円ほどでした。この微妙に払える金額に設定されているのが相手のうまいところです。
ビットコインをどこで購入するかは迷いましたが、一番シンプルで簡単そうなcoincheckで購入することにしました。他のサイトは1日に送金できる上限があり、coincheckの場合は本人確認してしまえば上限が外れるようだったのも決め手でした。
ジャパンネット銀行の口座からcoincheckの口座へ入金を行い、1.2BIT COINを購入し送金しようとすると失敗。ビットコインの送金手数料を考えていませんでした・・・(1.2ビットコイン購入に必要な金額ぴったりしか入金しなかった・・・)。改めて入金しました。相手に送金した際に、TRANSACTION IDが本当に表示されるのか不安だったため、何度もサポートとやり取りして確認しながら行いました。
そして実際に送金を行いました。
・・・おかしい。TRANSACTION IDが表示されない・・・。と、あせってサポートへ連絡している間に、いつの間にか表示されていました。少し時間が必要だったんですね。
表示されたTRANSACTION IDを犯人側のWebページに入力して送信ボタンを押し、祈ること数分。
Webページが更新され、復号化ツールがダウンロードできるようになりました!解除キーも表示されてる!
さっそくダウンロードを行い、解除キーを入力して実行すると、パソコン内の暗号化ファイルを検索していきます。そして次々に元のファイルが復元されていく!やった!
というわけで、すべてのファイルを復元することができました。社長さんにも喜んでもらえました(会社の存続にかかわることですから、当然ですよね)。
しかし今回は偶然うまくいったのかもしれません。実際に身代金を支払う場合は、よく検討してから行ってください。
最後にいくつか記しておきます。
- ランサムウェアの暗号化を独自の技術で解除できるように謳い、数十万を請求する業者もいるようだけど、それたぶん、相手に身代金払ってる可能性が高いよ。
- バックアップは大事だよ。