ランサムウェア対応: ZEPTOランサムウェアによって暗号化されたファイルを Blueshift Data Protectionによって復元 — サイバー犯罪者へのビットコイン支払いを回避 —

データバックアップおよびリカバリサービスのパイオニアであるブルーシフト株式会社 (本社:東京都千代田区、代表取締役:ブレント・ライコー、以下「ブルーシフト」) は、サイバー犯罪者によって暗号化され、身代金 (ランサム) を要求された貴重な顧客データを、同社のBlueshift Data Protectionサービスによって正常に復元したと発表しました。

ブルーシフトの共同設立者でCEOのブレント・ライコーは「東京都港区にある当社のお客様は、ランサムウェアに感染させるフィッシングメールをクリックしてしまった数千もの企業のうちの一社です。」と述べています。「しかし、このお客様は当社のデータバックアップサービスを利用していたため、身代金を支払うこと無くデータを復元することができました。」

ペイロードはZEPTOランサムウェア

今回の事例では、悪意を持った添付ファイルをクリックしたことで、ホストワークステーションにZEPTOランサムウェアがインストールされました。そしてランサムウェアは、ホストワークステーション、Dropboxを含むネットワークドライブ、 および企業ファイルサーバー上のファイルを暗号化したのです。数時間後、従業員がファイルサーバー上のファイルにアクセスできなくなったことに気づき、感染が判明しました。ホストワークステーションおよびファイルサーバー上のアクセスできないファイルの名前はすべて.ZEPTO拡張子に変更されていました。

身代金としてビットコインを要求

感染したホストワークステーションのデスクトップに、復号化のための鍵が欲しければ引き換えにビットコインを支払うよう要求するスクリーンバナーが表示されました。復号鍵があれば、暗号化されたファイルを元に戻し、再度アクセスできます。この時点で、お客様にはサイバー犯罪者に身代金 (ランサム) としてビットコインを支払うか、データをバックアップから復元するかの2つの選択肢しか残されていませんでした。しかし、身代金を支払ったとしても、返事が来るまでに何時間も、時には何日もかかることがあります。そこでお客様はブルーシフトに連絡をとりました。

復旧と教訓

このお客様の場合、幸運にも早い段階でランサムウェアを発見できたため、暗号化されたのはファイルサーバー上の約20,000個のファイルだけで済みました。しかし、被害はディレクトリ全体に広がっていました。ライコーは「このお客様は、私達のオンサイト/オフサイトのデータ保護サービスを長年利用していたため、オンサイトとオフサイトの両方で複数のバージョンのバックアップが残っていました。私達は、データを元に戻し、ビジネスを再開することができると確信していました。」と述べています。

 まずはバックアップを中止

「原則として、ランサムウェアの感染に気づいたら、毎日スケジュールされている定期バックアップを即座に無効化しなければなりません。そうすれば、正常なファイルを暗号化されたファイルで上書きせずに済みます。」これは実行中のレプリケーションジョブにもあてはまります 。

 復元先

実際にランサムウェアの被害に遭ってデータを復元しようとするとき、ファイルをどこに復元するかが問題になることがあります。今回は、お客様のファイルサーバー上にデータを復元するのに十分な空き領域が無かったため、外付けのハードディスクを使う必要がありました。暗号化されていないファイルはそのまま使えますから、上書きしてはいけません。また、暗号化されたファイルはインシデント報告の証拠として保管しておく必要があるかもしれません。 このように、ファイルサーバーのディレクトリのクリーンアップと再編成には時間がかかります。

復元するデータに優先度をつける

小さな危機に気をとられると、必要なことを見失ってしまうことがよくあります。今回のお客様でも、暗号化されたファイルに早くアクセスしたいという要求が社内で上がり始めましたが、会社の優先順位に従ってどの部門がファイルにアクセスする必要があるかを決定し、その順序で復元プロセスを開始する必要がありました。

 データの復元

お客様はBlueshift Data Protectionサービスを使用して復元するデータを選択し、復元プロセスを開始しました。最終的にすべてのデータはバックアップから正常に復元され、お客様はサイバー犯罪者にビットコインで身代金を支払う必要はありませんでした。

幸いにも私達は短い時間で対応でき、お客様のためにデータを復元することができました。ランサムウェア対応やベストプラクティスの詳細については、info@blueshift.co.jpまでご連絡ください。

 

ブルーシフトについて

ブルーシフトは、中小企業から大企業までのあらゆる規模の企業や組織のお客様に、安全なオンサイト/オフサイトのデータバックアップ、リカバリ、およびランサムウェア対応サービスを提供するデータ保護サービスのリーディングプロバイダです。私達のお客様は、ランサムウェアやその他のゼロデイサイバーセキュリティの脅威に対する最後の防衛線として、ブルーシフトを信頼しています。ブルーシフトのサービスは、パブリッククラウドサービスまたはプライベートクラウドサービスとして提供され、お客様のコストを効果的に削減し、リスクを低減し、お客様自身のIT環境におけるサービスレベルを向上させます。ブルーシフトの詳細については、https://www.dataprotection.jp/をご覧ください。

 

会社概要

社  名                       ブルーシフト株式会社
設  立                       2004 年 7 月
所 在 地                     101-0032 東京都千代田区岩本町 2-11-3 KATO ビル 6F
Tel: 03-5532-7315 Fax: 03-5532-7373
代表者名                     Brent Reichow ( ブレント ライコー)
資本金                        3,000 万円
ホームページ               www.dataprotection.jp

本件に関するお問合せ先

担当者名                     Andrew Anderson (アンドリューアンダーソン)
Tel                               03-5532-7315
Email                          info@dataprotection.jp