忍者ブログ
カレンダー
11 2017/12 01
S M T W T F S
1 2
3 4 5 6 7 8 9
10 11 12 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
プロフィール
HN:
[-_-;] (みかん)
性別:
男性
趣味:
プログラミング、XOPS
自己紹介:
関東地方から中部地方に引っ越しました。
最新コメント
[06/10 NONAME]
[01/29 NONAME]
[09/15 NONAME]
[04/16 ミカンファイトq(^-^q)]
[02/10 NONAME]
カウンター
XOPSを取り扱うサイト「みかん箱」等を運営する[-_-;](みかん)のブログ。 近状を中心に語っていきます。
Prev Month12345678910111213141516171819202122232425262728293031Next Month
Cryptowall 3.0(HELP_DECRYPT)に感染した
7月3日(金)、自宅に帰宅後メインPCの電源を付けたら、起動直後に見慣れぬ
英文が複数表示された。文章を読解する前に、直感が働く―
 『こりゃ何かウイルスに感染したな・・・』

前日(厳密には当日の朝)まで特に異常はなかったのに、帰宅後に電源を
付けると突然おかしくなっていた。
電源が切れている状態でウイルス感染が進行するはずがない。前日に
何かあったのだろうか。
特に怪しいメールは開いてないし、変なファイルをDLした記憶もない。
後で気が付いたが、Flash PlayerやAdobe Readerのバージョンが結構
古かった。どこか行ったサイトに何か仕込まれていたのだろうか・・・?


とりあえずLANケーブルを引っこ抜いて、セキュリティソフトでウイルススキャンを
開始。
ウイルスチェック中、部屋の片隅に放置してあったサブのノートPCを起動し、
正体を調べてみた。

感染したのはCryptowall 3.0(HELP_DECRYPT)と呼ばれている物。
ランサムウエアの一種だそうで、PC内のユーザーファイルを暗号化して読めない
ようにし、「ファイルを復元してほしければ金を出せ」という、言わば身代金を
要求してくる。
一見、自力でファイルを復元できれば問題なさそうに聞こえるが、RSA-2048
を用いた強力な暗号化が施されており、解析は技術的に不可能な模様。
身代金を支払ったところでファイルが復元できる(手順を教えてくれる)保証も
ないことを考えると、感染して使えなくなったファイルは捨てるしかなくなる。
 (ネットで検索すると色々情報が出てくる。)

感染したメインPCを確認すると、
 ・JPEG形式の写真・画像
 ・MP4やMP3・WAVEなどの動画・音声ファイル群
 ・ワード・エクセル関係のファイル群
 ・.txt形式の文章 (ソフトの説明書など全部!)
 ・PDFファイル
 ・プログラムのソースコード
 ・ZIPファイル
が、ほぼ全部殺されてた。
 (bmp・GIF・PNG形式やHTMLファイル、EXEファイル、その他特殊な拡張子
  の物は無傷)
PCに直接保存していた物に限らず、繋いでいたUSBメモリーと外付けHDDも
やられていた。
事実8万個を超えるファイルが被害にあっていた。手元のファイルが殆ど全滅
していたのである。


信じられないような状況に唖然としてしたが、このまま放置していても何も
解決しない。まずは復旧させる(PCを使えるようにする)方法を考える。

しばらくして、数日前に外付けHDDへ一部ファイルをバックアップしていた
ことを思い出した。バックアップ先のHDDは日頃接続しないで置いてあったこと
が幸いし、感染せずにファイル群が残っていた。
まさに不幸中の幸いで、ソフトウェア類のソースコードなど、極めて重要な
ファイル群は無傷で済んだ。バックアップを行った数日前のファイルではあるが、
そもそも開発作業を殆ど行っていなかったので全く問題ない。

ただ残念なことに、手元のファイルを日頃から全てバックアップしているわけ
ではなかった。容量が数GBレベルの巨大なファイルや、日頃から頻繁に
書き換えるファイルは一切バックアップを取っていなかったのである。
試しに、複数のファイル復元ツール(無料)を試してみたところ、いくつか
ファイルは返ってきたが、全ては復元できなかった。

結局、プログラムのソースコードといった最重要ファイルなど、半分以上の
ファイルはなんとか回復したが、バックアップを怠っていた一部ファイルが
「帰らぬファイル」になってしまった。
消えても特に困らない どうでもいいファイル もあったが、二度と手に入ら
ない貴重な品(ファイル)がいくつも闇に葬り去られた。極めて甚大な被害
である。
気が付くのが遅れたが、開発環境系のシステムファイルも壊されたようで、
一部開発ツールが正常に使えなくなった。問題のソフトは、数時間かけて
再インストールする必要がある。

感染したメインPCのウイルススキャン結果を見たが、不思議なことに何も
出てこなかった。
どうやら対象ファイルを一通り暗号化すると、自ら自滅して消えるようである。
(ネット上でも同様の情報を確認済み)
つまり、素直に喜んで良いわけではなく、「時すでに遅し」っといったところ。
レジストリ上に感染した爪後が残っていたので、それだけ手作業で修復した。


ハードウェアの物理的な故障に備えて、不定期ながらもバックアップを行って
いたので助かった。また、PC本体の故障に巻き込まれて(バックアップ用
HDDも)故障することを恐れ、日頃からバックアップHDDは接続していな
かったことが生死を分けた。
故障対策のつもりが、まさかウイルス対策にもなるとは思わなかった。

そもそもウイルスに感染するとも思ってなかった。「自分だけは大丈夫」と
油断していたことを反省しなければならない。セキュリティソフトを過信して
いたのも一つの原因。
今後は、原則として全ファイルのバックアップを行うほか、Flash Playerや
Adobe Readerなどのソフトウェアアップデートの実施を、徹底的にやって
きたいと思う。

皆さんも本当に気を付けてほしい。
category : PC ・ ネット について comment [0]
PR
COMMENTS
【本文以外は任意項目です】
SUBJECT(タイトル)
NAME(お名前)
MAIL(メールアドレス)
HOME(サイトURL)
COMMENT(本文)
PASS(削除パスワード)
Secret?(管理者へのみ表示)

※スパム防止のため「Hello!」「website」「ブランド」「みかんの戦闘ブログ」
などの一部キーワードを禁止しています。ご了承ください。

※過去のブログ記事は 原則として編集・修正していません。
 各記事の内容は投稿時のものであり、現在では異なる場合があります。
 最新の情報は、関係する内容について書かれた 最新の記事をご覧ください。

TOP