2022年8月下旬から9月にかけて「.deadbolt」拡張子に暗号化するDeadboltランサムウェアがQNAP製NASを対象に第4次攻撃を行ないました。その詳細について説明します。
NASの管理者画面であるQTSからログアウトしようとすると、次の画面が表示されます。
クリックすると拡大表示
次のように書かれています。
?何が起きた?
あなたの全てのファイルは暗号化されました。このPCに含まれる写真、書類、表計算など。
?なぜ私が?
これは個人攻撃ではありません。QNAP社が提供するセキュリティが不十分なために、あなたはランサムウェアのターゲットにされました。
?今、何をするべきか?
次のBTCウォレットに0.05BTCを送金しなさい。
ビットコインのウォレットアドレス
犯人にビットコインを支払うと、同じウォレットアドレスへの取引をフォローアップします。
このビットコインのトランザクションには、詳細の一部として復号キーが含まれます。
[ more information ]
支払いが完了したら、同じアドレスへのトランザクションをフォローアップします。このトランザクションには、トランザクションの詳細の一部として復号化キーが含まれます。
よくわからない説明だと思います。次はmore information の画面です。
クリックすると拡大表示
次のように書かれています。
復号キーの渡し方が記載されています。
しかし、このデータを戻す為の復号キーの渡し方には問題があります。
2月の時点で送金したトランザクションが分岐して犯人側には合算で要求金額のビットコインが着いたのにもかかわらず、復号の為の鍵を送ってこなかったのです。
何が「100% transparent and honest」だと言いたいです。
乗っ取られたログアウト画面には、QNAP社への重要なお知らせへのリンクがあります。
クリックすると拡大表示
1)100BTC をここに払うと
このゼロデイ脆弱性に関するすべての詳細を受け取り、パッチを適用できるようにします。詳細なレポートがQNAP社に送信されます。
2)400BTC をここに払うと
すべてのクライアントのファイルのロックを解除するために使用できるユニバーサル復号マスターキー(および手順説明)を受け取ります。
そして上記のゼロデイ脆弱性に関するすべての詳細を受け取り、パッチを適用できるようにします。
いずれかのオプションの支払いを受け取ると、すべての情報がタイムリーに送信されます。
私達に連絡する方法はビットコインの支払い以外にありません。これらは私達の唯一の申し出です。あなたの考慮に感謝します。
敬具、DEADBOLT チーム
なんとまあ、QNAP社に約12億円払えば、侵入方法を教えてやってQNAP社のお客も救ってあげるよとの事ですが、現時点でQNAP社は要求に応じておりません。
今回追加になった機能が「News from DEADBOLT team」の部分です。
クリックすると拡大表示
継続したサポートとフィードバックに感謝します。チームからのいくつかのヒントを共有したいと思います
・支払い先のウォレットアドレスと支払い金額は、システムに残されたメモにも記載されています。
!!!_IMPORTANT_README_WHERE_ARE_MY_FILES_!!!.txt
・支払い先のウォレットアドレスと支払い金額は、このページとメモ ファイルにアクセスできなくなった場合に備えて、支払い先ウォレットアドレスと支払い金額もすべての暗号化ファイルにエンコードされます。[more information..]
このmore information をクリックすると次のページが表示されます。
・Emsisoft のものなど暗号化に対するサードパーティのユーティリティを使用した場合は自己責任になります。
復号が不能になるなどの弊害が確認されています。
・ビットコインの価格は大きく変動しています。これは、戦略的な時期に支払いを行うことで、あなたに得か不利になるように利用できます。
・支払い金額はマシンごとに異なります。必ず正しい金額を支払うようにしてください (取引手数料を考慮していないことが一般的です..) 残りの金額を支払うことができ、復号キーを受け取ることができます!
クリックすると拡大表示
DEADBOLT Payment Information Tool と題したビットコイン アドレスの送金先と金額を表示するツールになります。
Deadboltランサムウェアでは、ログアウト時に身代金要求画面兼解決画面を表示させていますが、Malware Remover が動作をしていたり、QNAP社がやたらと推奨するQTSの更新をしてしまうと消えてしまいます。そうなった時には、ビットコインを払っての解決は出来なくなります。その為の回避策を犯人なりに工夫をしてきている事ですが、画面が消えてしまうと全てができなくなります。
暗号化されたファイルを戻す手法について、当社では2通りの解決方法を持っています。
犯罪者と交渉をしないでデータを取り戻す手法も開発しています。感染後すぐに依頼されれば、高い取得率があります。時間の経過とともに取得率は下がります。
身代金要求画面兼解決画面が消えても取得率が100%近い復号サービスもあります。
データを戻した後の再発防止コンサルティング、感染経路調査コンサルティング、情報漏洩調査、業務再運用コンサルティングをしています。
無料相談(10分程度)もしていますので、すぐに行う措置を説明しています。
被害に遭われた方々のお力になれると思います。
ファイルの暗号化に気がついたらすぐにシャットダウンして依頼されれば身代金を払わずに解決する方法があります。
暗号化されてしまう被害に遭うと何か月か置いてから2次感染、3次感染と被害が続きます。適切な再発防止措置が必要です。
どのようなケースであってもデータを戻す復号サービスをしています。お困りの方はご連絡下さい。
※当社の記事は実際にランサムウェアに対応した作業や事実に基づく内容です。当記事は転載禁止です。
※当社プログの記事を勝手に引用しているCyberSecurity.com、CyberSecurity-jp.comという業者がいます。その寄せ集めの情報には、かなり誤った情報が書かれています。
