「.deadbolt」拡張子に暗号化するDeadboltランサムウェアがQNAP製NASを対象に二次攻撃を行っています。
2022/5/10から感染報告が続いています。
NASの管理者画面であるQTSからログアウトしようとすると、次の画面が表示されます。
次のように書かれています。
?何が起きた?
あなたの全てのファイルは暗号化されました。写真、書類、表計算など。
?なぜ私が?
これは個人攻撃ではありません。QNAP社が提供するセキュリティが不十分なために、あなたはランサムウェアのターゲットにされました。
?今、何をするべきか?
次のBTCウォレットに0.03BTCを送金しなさい。
ビットコインのウォレットアドレス
犯人にビットコインを支払うと、同じウォレットアドレスへの取引をフォローアップします。
このビットコインのトランザクションには、詳細の一部として復号キーが含まれます。
[ more information ]
支払いが完了したら、同じアドレスへのトランザクションをフォローアップします。このトランザクションには、トランザクションの詳細の一部として復号化キーが含まれます。
よくわからない説明だと思います。次はmore information の画面です。
次のように書かれています。
復号キーの取得
———————————————————————-
私たちの復号キーの配信プロセスは、100%透過的で正直です。
復号キーは、ビットコインのOP_RETURNフィールド内に記載されてブロックチェーンに配信されます。
あなたが支払った新しいトランザクションに含まれるOP_RETURNフィールドを監視する事で復号キーを取得できます。
簡単な方法は、blockchain.comのようなパブリックブロックチェーンエクスプローラーを使う事です。
例として、blockchain.comエクスプローラーで復号キーを見ることができます。
復号キーはちょうど32桁の文字列です。
間違った復号キーを入力しても、ファイルに害はありません。
このページは、入力されたキーが無効かどうかを示します。
復号が正常に完了すると、この身代金要求ページは非表示になり、QTSの管理画面に再度アクセスできるようになります。
復号したら、すべてのデータをより安全なプラットフォームに移行することを強くお勧めします。
このプロセスで苦労している場合は、IT専門家に連絡して支援を求めてください。
———————————————————————-
このデータを戻す為の復号キーの渡し方には問題があります。
2月の時点で送金したトランザクションが分岐して犯人側には合算で要求金額のビットコインが着いたのにもかかわらず、復号の為の鍵を送ってこなかったのです。
何が「100% transparent and honest」だと言いたいです。
乗っ取られたログアウト画面には、QNAP社への重要なお知らせへのリンクがあります。
1)5 BTC をここに払うと
このゼロデイ脆弱性に関するすべての詳細を受け取り、パッチを適用できるようにします。詳細なレポートがQNAP社に送信されます。
2)50 BTC をここに払うと
すべてのクライアントのファイルのロックを解除するために使用できるユニバーサル復号マスターキー(および手順説明)を受け取ります。
そして上記のゼロデイ脆弱性に関するすべての詳細を受け取り、パッチを適用できるようにします。
いずれかのオプションの支払いを受け取ると、すべての情報がタイムリーに送信されます。
私達に連絡する方法はビットコインの支払い以外にありません。これらは私達の唯一の申し出です。あなたの考慮に感謝します。
敬具、DEADBOLT チーム
なんとまあ、QNAP社に2億円払えば、侵入方法を教えてやってQNAP社のお客も救ってあげるよと紳士面した大悪党といったところです。
暗号化されたファイルを戻す手法について、当社では2通りの解決方法を持っています。
犯罪者と交渉をしないでデータを取り戻す手法も開発しています。感染後すぐに依頼されれば、高い取得率があります。時間の経過とともに取得率は下がります。
取得率が100%近い復号サービスもあります。
データを戻した後の再発防止コンサルティング、感染経路調査コンサルティング、情報漏洩調査、業務再運用コンサルティングをしています。
無料相談(10分程度)もしていますので、すぐに行う措置を説明しています。
被害に遭われた方々のお力になれると思います。
ファイルの暗号化に気がついたらすぐにシャットダウンして依頼されれば身代金を払わずに解決する方法があります。
暗号化されてしまう被害に遭うと何か月か置いてから2次感染、3次感染と被害が続きます。適切な再発防止措置が必要です。
どのようなケースであってもデータを戻す復号サービスをしています。お困りの方はご連絡下さい。
※当社の記事は実際にランサムウェアに対応した作業や事実に基づく内容です。当記事は転載禁止です。
※当社プログの記事を勝手に引用しているCyberSecurity.com、CyberSecurity-jp.comという業者がいます。その寄せ集めの情報には、かなり誤った情報が書かれています。