ZEPTOランサムウェアの調査

ZEPTOランサムウェアの調査

今月の初め、私達はお客様から「ファイルをファイルサーバーにレストアするのを手伝って欲しい。」という依頼を受けました。私達が「何が起きたんですか?」と聞いたところ、「ランサムウェアですよ。」との答えが返ってきました。

私達はすぐに状況を調査しに出向き、迅速な復旧のために協力しました。
お客様サイトに到着し、従業員の一人が正規のメールに見える注文書付きのメールをクリックしてしまったことが原因であることがわかりました。これがホストワークステーションにランサムウェアをインストールしたのです。[ランサムウェアはホストシステムやネットワークドライブを探索してファイルを暗号化します]
このケースでは、感染したワークステーションとファイルサーバー上の全てのファイル (.docx、.pdf、xlsx.、pptxなど) が影響を受けて暗号化されており、新しい拡張子 .ZEPTOにリネームされていました。

このお客様は、比較的発見が早かったのが幸運でした。ランサムウェアがファイルサーバー上の特定のファイルにアクセスしようとして失敗した後で、従業員がそれに気づいたのです。それまでに、ランサムウェアはファイルサーバー上のファイルを20,000個ほど暗号化し終えていましたが、それは全データの20%ほどでした。
感染したホストワークステーションを切り離した後は、それ以上の伝播はありませんでした。

** ランサムウェアに感染したときのベストプラクティスは、感染が判明した場合、すぐにバックアップとファイル同期を無効化することです。これにより、正常なバックアップをランサムウェアに暗号化されたファイルで上書きしてしまうのを防ぐことができます。

前回のバックアップ時点では、ファイルはランサムウェアの影響を受けていないのです。

ランサムウェアインシデントの場合のデータのレストアにはいくつかの方法があり、さらにいくつかやっておくべきことがあります。暗号化されたファイルを単に削除するだけでなく、証拠として残すためにデータファイルを外部のデバイスへコピーする必要があるでしょう。元のデータがコピーされた後に:

  1. 元の場所にレストアする - これにより、同じ名前のファイルを全て上書きしてレストアします。

  2. 違う場所にレストアする - 指定する場所に選択したファイルをレストアします。

ランサムウェアはウイルスではないということに注意して下さい。ランサムウェアは、ただ単純にファイルを暗号化するだけです。しかし、復号化のための鍵が無いと、元には戻せません。
ファイルを元の場所にレストアした後に、.ZEPTOファイルを探して削除するのは簡単です。