ねこのてもかりたい

子育てとオタクを両立させる方法を日々模索しているアラフォー主腐の雑記帖。勝手気まま、思うままに書き散らかしています。

QNAP NASがランサムウェアに感染した話。復旧を試みましたが……

QNAP NASがランサムウェアに感染した話

 

おはようございます。

むつ丸です。

 

弟から型落ちのため譲り受けたQNAP製NASがランサムウェアに感染しました。

犯人は今年の4月頃から注意喚起が行われていた、QNAP製NASを狙ったQlockerです。

 

QlockerランサムウェアについてのQNAPからのお知らせ

 

この記事は私も目にして知っていましたが、メインPCにはセキュリティソフトも入れているし、NAS自体もアップデートの通知があるたびに行ってきていたので、大丈夫だろうとタカを括っていたのが問題でした。

 

ウイルスは静かに近づいて……

 

汚染に気がついたのは11/23のこと。

 

ダウンロードした素材をいつもの場所へ格納しようとしたら、同じ拡張子のファイルがひとつも表示されなく、疑問に思って開いてみたら……

 

f:id:cafebabymilk:20211128165015j:plain

 

こうなっていました。

 

ああ~~~~

 

と思いましたが、とりあえず「!!!!READ_ME」と叫んでいるテキストファイルを開いてみることに。

 

f:id:cafebabymilk:20211128170016j:plain

 

折り返ししていなかったので横が切れてしまっていますが、全文はこうです。

 

!!! All your files have been encrypted !!!

All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.

To purchase your key and decrypt your files, please follow these steps:

1. Dowload the Tor Browser at "ht***://www.torp*je*t.org/". If you need help, please Google for "access onion page".

2. Visit the following pages with the Tor Browser:

gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms
6fkgfzdd62tad.onion

3. Enter your Client Key:

 

※URLはそのままだと勝手にリンクされてしまうので一部潰しています。

 

要約すると

 

キミのファイルは全て暗号化して鍵をかけたよ。
開くには鍵を購入する必要があるから、次の手順通りに進めてね。

 

だそうです。

 

いや〜……丁寧に書かれていますが、要は金寄越せって話ですよね。

脅迫文ってこんなもんなんでしょうか。

 

しかしまさか、自分の身に起こるなんて夢にも思っていませんでした。

だって、話題になったのが4月のことで、それから半年以上経っていてなにも起きていなかったのに、今更罹るなんて思ってもみないでしょう!?

 

前日までは難なく使えていたはずなんですが、ファイルの日付を見ると……

 

f:id:cafebabymilk:20211128171057j:plain

 

全て2021/11/21に上書きされていました。

 

そういえばと思い返せば、なんだかやけにQNAPが稼働しているなとは思っていたんですが、まさか中でそんなことが起こっていたなんて……。

 

NASには、ついひと月程前にスマホのSDカードの中身をバックアップしたデータや、ブログのデータなどが入っていたんです。

しかも、バックアップを取ったからと、SDカードから消去してしまったデータもあります。

 

ただ、暗号化される2~3日前に一部を別のクラウドへバックアップを取っていたことと、私のスマホで撮った写真はGoogleフォトにバックアップされているので、お嬢の写真など、大切なデータは無事だったのが救いでした。

 

 

サポートに連絡してみました

それでも、仕事やブログで使っていたファイルなどもあったので、できれば復旧したいと思い調べてみると……

 

QNAPの公式の記事「Qlocker攻撃からファイルを復元する方」の中に、

・Qlockerの影響を受けている
・復旧のための暗号鍵がない
・身代金をまだ払っていない

に該当するひとは、身代金を払わずにテクニカルサポートへ連絡して下さい。ファイルを回復するお手伝いをします。

 

そう書かれていたので、早速テクニカルサポートへ連絡を取りましたが、返ってきたのは……

 

f:id:cafebabymilk:20211128173208j:plain

 

こっちではどうにもできない。方法教えるから自分でやってね。

 

とのことでした。

をい!!!

 

まぁ、それでもめげずに色々なサイト様を見ましたが……

 

どこまで復旧できるか

どうやら「暗号化の最中」であれば、復旧のためのパスワードを取り出すことが可能だったようです。

ただしそれにも「NASをシャットダウンしたり再起動したりしない」とか「NAS OSの更新を行わない」などと条件があるらしく、どれもやっちゃった私にはなんとも無慈悲な話でした。

 

仕方がないので、QNAPからのメールに記載されている「データリカバリーサービス」なるものを試して見ましたが……これがもの凄くワカリニクイ。。。

 

Qlocker攻撃からファイルを復元する方法

 

なんとか途中まではできましたが……最終的にはNASに入っていたデータ110GBに対して250GBのHDDを用意したのにも関わらず、なぜかHDDがパンクしてしまうという事態となり終了。

説明には、使用済みのNAS領域の1.5~2倍の容量があるのが望ましいと書かれていたからやったのに!!!

 

どうにもこうにも先に進めなくなったので、仕方がないので取り出せたものを確認してみると、

 

f:id:cafebabymilk:20211201182234j:plain

 

フォルダ構成関係なく、取り出せたものが番号を振られて並んでいました。

1つのフォルダに500〜700のファイルが入っていて、それが250ファイル以上。

 

ふむふむ。

画像や動画データは抜け出せたみたいですね。開いてみても問題なかったです。

でも、保存した覚えのない拡張子のついたデータや、「.7z」のままのものもあったりと。

 

f:id:cafebabymilk:20211201182613j:plain

 

テキストファイルがかなりあったので、どんなもんやと開いてみましたが、

 

f:id:cafebabymilk:20211128181235j:plain

 

どれもこんな感じで、全くラチが明かず。

 

恐らくはこの先のステップまで進んだときに必要な情報だったりするんでしょうけど、この状態では「なんぞ?」ってだけで。

結局、押しても引いてもどうしても先に進むことが出来ずに詰んでしまいました。

 

もっと容量のあるHDDを購入してリトライしようかと思いましたが、そこまでして取り出さないといけないデータではなかったので、悔しいですがもうここで諦めることにしました。

 

最終的にはQNAPのHDDをフォーマットして、セキュリティーなども再構築することに。

 

スナップショットの設定もしていなかったし、色々なサイト様を参考にしましたが、私のNASはかなりザルの状態だったようでした。

 

セキュリティの意識って大事ですね。

 

今更感のあるこの記事ですが、少しでも注意喚起に繋がりますように。

みなさん、どうぞお気をつけ下さいませo(_ _*o)

 

 

最後まで読んでいただき、ありがとうございました!