deadboltランサムウェアがQNAPのNASに対して国内で感染開始 2022/1/26

0

「.deadbolt」拡張子に暗号化するdeadboltランサムウェアが国内で感染し始めました。
海外においても昨日2022/1/25から感染報告が続いています。

Windowsの社内ネットワーク(SMB)でNASの中のファイルを見ると、データファイルが暗号化されているのが確認できます。

NASの管理者画面であるQTSからログアウトしようとすると、次の画面が表示されます。

DC ransomware
クリックすると拡大表示

次のように書かれています。

?何が起きた?
あなたの全てのファイルは暗号化されました。写真、書類、表計算など。

?なぜ私が?
QNAP社が提供するセキュリティが不十分なために、あなたはランサムウェアのターゲットにされました。

?今、何をするべきか?
次のBTCウォレットに送金しなさい。
犯人にビットコインを支払うと、同じウォレットアドレスへの取引をフォローアップします。
このビットコインのトランザクションには、詳細の一部として復号キーが含まれます。
と書かれていて more information のリンクが付けられています。

よくわからない説明だと思います。次はmore information の画面です。

DC ransomware
クリックすると拡大表示

次のように書かれています。

復号キーの取得
———————————————————————-
私たちの復号キーの配信プロセスは、100%透過的で正直です。
復号キーは、ビットコインのOP_RETURNフィールド内に記載されてブロックチェーンに配信されます。
あなたが支払った新しいトランザクションに含まれるOP_RETURNフィールドを監視する事で復号キーを取得できます。
簡単な方法は、blockchain.comのようなパブリックブロックチェーンエクスプローラーを使う事です。
例として、blockchain.comエクスプローラーで復号キーを見ることができます。
復号キーはちょうど32桁の文字列です。
間違った復号キーを入力しても、ファイルに害はありません。
このページは、入力されたキーが無効かどうかを示します。
復号が正常に完了すると、この身代金要求ページは非表示になり、QTSの管理画面に再度アクセスできるようになります。
復号したら、すべてのデータをより安全なプラットフォームに移行することを強くお勧めします。
このプロセスで苦労している場合は、IT専門家に連絡して支援を求めてください。
———————————————————————-

このデータを戻す為の復号キーの渡し方は、ランサムウェアの歴史上で初めての方法になります。
これが、果たしてうまくいくのかどうかはわかりません。

乗っ取られたログアウト画面には、QNAP社への重要なお知らせへのリンクがあります。

DC ransomware
クリックすると拡大表示

1)5 BTC をここに払うと
このゼロデイ脆弱性に関するすべての詳細を受け取り、パッチを適用できるようにします。詳細なレポートがQNAP社に送信されます。

2)50 BTC をここに払うと
すべてのクライアントのファイルのロックを解除するために使用できるユニバーサル復号マスターキー(および手順説明)を受け取ります。
そして上記のゼロデイ脆弱性に関するすべての詳細を受け取り、パッチを適用できるようにします。
いずれかのオプションの支払いを受け取ると、すべての情報がタイムリーに送信されます。
私達に連絡する方法はビットコインの支払い以外にありません。これらは私達の唯一の申し出です。あなたの考慮に感謝します。

DEADBOLT チームからのご挨拶でした。

なんとまあ、QNAP社に2億2千万円払えば、侵入方法を教えてやってQNAP社のお客も救ってあげるよと紳士面した大悪党といったところです。

ビットコインのOP_RETURNフィールドは暗号資産の所有権の証明に使用できたり、トランザクションの送信に必要な追加情報を伝達するために使用されることもあります。
しかし、犯罪者がこれを利用するとはSatoshi Nakamoto氏も考えていなかったでしょう。
ランサムウェアの新しい技術のひとページです。

暗号化されたファイルを戻す手法について、当社では2通りの解決方法を持っています。
犯罪者と交渉をしないでデータを取り戻す手法も開発しています。感染後すぐに依頼されれば、高い取得率があります。時間の経過とともに取得率は下がります。
取得率が100%近い復号サービスもあります。

データを戻した後の再発防止コンサルティング、感染経路調査コンサルティング、情報漏洩調査、業務再運用コンサルティングをしています。

無料相談(10分程度)もしていますので、すぐに行う措置を説明しています。
被害に遭われた方々のお力になれると思います。

ファイルの暗号化に気がついたらすぐにシャットダウンして依頼されれば身代金を払わずに解決する方法があります。

暗号化されてしまう被害に遭うと何か月か置いてから2次感染、3次感染と被害が続きます。適切な再発防止措置が必要です。

どのようなケースであってもデータを戻す復号サービスをしています。お困りの方はご連絡下さい。

※当社プログの記事を勝手に引用しているCyberSecurity.comという業者がいます。その寄せ集めの情報には、かなり誤った情報が書かれています。当社の記事は実際にランサムウェアに対応した作業や事実に基づく内容です。当記事は転載禁止です。

リカバリーしない修理で
データや設定を残したまま修理可能です

無料電話相談実施中。お気軽にご相談ください。042-735-1600

当社独自のハードディスク修復技術と手作業によるウイルス・ランサムウェア駆除でハードディスクを今まで通り使えるように修理します。

リカバリー(初期化)をしてしまうとインストールしたプログラムやデータファイル、ライセンス情報、インターネット設定、メールメッセージ・アカウント、プリンタ設定、電子証明書などが消えてしまいます。リカバリーをしない現状復旧修理なら再インストールや再設定の手間がかからず、修理後すぐに今まで通りパソコンをお使いいただけます。

▼ 詳細はマイクロデータベースホームページへ