半年ほど前、苫小牧に設置していたQNAP「TS-231Plus」がランサムウェアに感染しました。
ファイルが暗号化されており、テキストファイルが各フォルダに設置されていました。
テキストによると、特定のURLにアクセスして、解除出来るとあります。
ChromeやEdgeと言ったブラウザでは、アクセス出来ないようです。
「TOR browser」という専用のブラウザをインストールして、アクセスしろとあります。
「duckduckgo.com」という見慣れない怪しい検索エンジンを使えともあります。
ランサムウェアの身代金要求のテキストファイル
純粋なテキストファイルですので、ウィルスに感染しておらず、安全です。
興味ある方は、ダウンロードして下さい。
その先は保証できませんので、知識がある方以外は、スクリーンショットで我慢して下さい。
20230506_TS-231Plus、ランサムウェアに身代金要求される_README_FOR_DECRYPT.txt
FileStationでのランサムウェアの身代金要求テキスト
QNAPのブラウザ、OS上のファイルやフォルダのアクセス権を設定する「FileStation」でも、ランサムウェアの身代金要求テキストのファイルが確認できます。
工場出荷設定に復元(リセット)
スマホのストレージ(本体ROM、SDカード)のバックアップとして、このQNAP「TS-231Plus」を使っていました。
かなり古い機種で、2本しかHDDが刺せないため、ファイルサーバーから降格させ、バックアップ機として使っていました。
そのため、ランサムウェアにかかった所で、スマホ本体やクラウド(OneDriveやYahooバックアップ)にデータがあるので、ダメージ0です。
ローカルネットワーク外の出先でも、バックアップできるように、QNAPIDを取得し、ポートを開放して、バックアップしていました。
出先とは、旅行中のホテル滞在時などの事です。
旅行中の写真が消えたら嫌だな、という事で、QNAPIDを割り当てて、ポート開放して、バックアップ出来る様にしていました。
それが仇となり、今回、ランサムウェアにOSとデータを乗っ取られたわけです。
後は、定期的にログインして、ファームウェアのアップデートを怠っていたという点もあります。
2023年に入ってから、QNAPの最新のファームウェアは、特定の時間に自動的に新しいファームウェアにアップデートする仕様となりました。
私と同様の被害を受けた同志が多数いたのでしょう。
彼ら、彼女らが大事なデータで被害を受けていない事を、祈るほかありません。
初期化の最終警告文
初期化の最終警告文と、その後再起動させるか、シャットダウンさせるかの選択画面です。
Chromeでランサムウェア身代金サイトへアクセスしてみる
Chromeでランサムウェア身代金サイトへアクセスして見ました。
TORという専用ブラウザでないと、アクセスは出来ないようです。
TORという専用ブラウザ自体が、ウィルスに感染しそうです。
企業の大事なデータなど、断念せざる負えない状況で、身代金要求に従う場合、専用のPCで対応した方が良いと思います。
ネットワークも切り離し、SIMカードでアクセスする、スマホでテザリングする、ネットカフェのネットを借りる。などした方が賢明です。
身代金払った所で、データが返ってくる確率は、50%程度と言われています。
相手もビジネスで、ハッキングして来ているので、手順に沿って、代金支払えば、データは戻ってくるでしょう。
一連の作業が終わったら、そのPCは初期化、もしくは廃棄処分が良いと思います。
duckduckgo.comという怪しい検索エンジン
duckduckgo.comという怪しい検索エンジンです。
もちろん、シークレットモードでアクセスしています。
クッキー情報抜かれたりすると、二次被害が出てしまいますね。
duckduckgo.comという怪しい検索エンジンを日本語訳にしてみる
リセットボタン3秒間押して、再度完全初期化
設定情報やNASを工場出荷状態に戻しても、データは保持されたままでした。
リセットボタン3秒間押して、再度完全初期化もしました。
それでも、HDD上のデータはそのままです。
NASとして、しっかり出来ていますが、HDDのアレイ情報も削除してほしい所でした。
ストレージ&スナップショットの設定画面で、RAIDアレイを削除した
RAIDアレイの削除が、リセットなどで、出来ませんでした。
ストレージ&スナップショットの設定画面で、RAIDアレイを削除し完結しました。
その後、新しくRAIDアレイを作成しました。
このQNAP「TS-231Plus」は、HDDが2本使えるので、RAID1(ミラーリング)に設定しています。
ストレージ&スナップショットの設定画面で、RAIDアレイを再作成中
RAIDアレイを再作成中のリソースやCPU利用率99%
まとめ、感想
被害0、ダメージ0とは言え、自分のネットワーク内にランサムウェアに感染している端末があるのは、すごい嫌でした。
2022年年末辺りまでは、QNAPにログイン出来ていましたが、その後は、ネットワークから見れなくなっていました。
苫小牧のサーバールームに行くと、OSがフリーズしていただけでした。
再起動ボタン(電源長押し)すると、OSが立ち上がりました。
管理画面を見てみると、半年前に感染した時と同じ状態でした。
横浜と苫小牧、VPNで繋がっており、なんか嫌な気分というのは、普通の方より上だったかもしれません。
無事に初期化して、ポートも閉じているので、今後は被害を受ける可能性はあまりないかと思います。
HDDレコーダーやソニーの「torne(トルネ)」などで、外出先で映像を見れるサーバー機器が結構あると思います。
QNAPは、ファイルサーバーとして、エンジニア向けなので、ウィルスやランサムウェアに関して知識がある人が多いと思います。
TVの録画を行って、電車の中で視聴している一般人の方々では、アプリが使えないという事で、感染にすら気づかないかもしれません。
ITリテラシー上げて、データは大事に管理したいと思いました。
やはり、一番無難なのは、月に一度、外付けHDDにバックアップが安全です。
容量が多い場合には、オンラインのNASにコピー(同期)して、普段は電源OFFが安全です。
原始的ですが、物理的な工作行為以外(不法侵入など)は、絶対に突破されないバックアップ方法です。