この記事はパソコン自作ができるレベルで、プログラム知識など全くない素人の話です。勘違いや思い込みが含まれている可能性があります。起こったことだけ書いていきます。
朝起きたときに、自宅のパソコンでQsync(NASの個人クラウド機能)がエラーを吐いていました。サーバーが異常とか。ん?NASが何かおかしくなったのかな?昼に会社で直そうと軽い気持ちでいました。
会社に行ってNASを確認しようとしてびっくり!明らかにまずい状態、まじか・・・
通常QTSというNAS管理画面に入れるはずがいきなりこの画面です。
「おまえのNASを乗っ取った。データ戻したければ身代金をビットコインで払え!」
的なことが書いてあります。ランサムウェアにやられました。
ランサムウェアとは
ランサムウェアとは、身代金という意味を持つ英単語の「Ransom(ランサム)」と、コンピュータウイルス等を含むコンピュータに何らかの処理を行うプログラムなどを指す「Software(ソフトウェア)」を組み合わせた造語です。
軽くググってみると出てくる出てくる。DeadboltはQNAPとAsustor(QNAPのOEMのNAS)を狙ったランサムウェア。2022年の2月に確認され、6月に亜種が見つかっており、被害はどんど拡がっているとか。
QNAPからちょこちょこ「こんな被害が出ているから、バージョンアップしてね」というメールは来ていたので、アップデートはしていたのですが、まさか自分に来るとは・・・
Deadboltの特徴は
今回直撃したDeadboltの特徴は・・・
①QNAP内のほぼすべての保存データを暗号化する
要はすべてのファイルが読めなくなります。この暗号化を解除する鍵が欲しかったら身代金を払えという感じです。
②拡張子がすべて書き換わる。(DEADBOLTだと.deadblotになる。)
感染直後は何も起こっていなかったのですが、1日経過したら見事にほとんどのファイルの拡張子がdeadboltになりました。
③管理コンソールにログインしようとすると脅迫文が表示される
これは上の脅迫文ですね。
データを人質にとって身代金を要求するわけです。個人レベルならまぁ仕方ないかであきらめもつきますが、これ、会社の重要データだと死活問題です。調べてみると、やはり身代金数万円を払っている人も散見されます。緊急なデータなら仕方ないのかもしれないですね。
私の場合は重要ファイルもあったのですが、無きゃ無くてもいいかなというw ただ会社の経理ファイルとか仕事の重要ファイルもいくつかあったので、金額次第では払わなきゃいけないかなとも考えていました。
とりあえずやったこと
私の場合、感染したのを見つけたのが早かったのか、Deadboltに書き換えられる前にいくつかのファイルをバックアップすることができました。NASがWindowsのネットワークドライブになっていたので、そこから仕事で使う重要ファイルだけはフォルダごとバックアップしました。一方で十数年撮りためてきた写真ファイルはサイズがでかすぎるのためあきらめましたw とりあえず思いつくものだけコピペして、有料クラウドのOnedriveに逃がしました(サブスクOfficeに入っているので1Tのクラウドドライブがあります)。
私の場合、Windows10・11 Androidスマホ・タブレットなどにQsyncでつなげていたのですが、被害はありませんでした。DeadboltはNASのOS用に作られたものなので、他のOSには影響がないのだそうです。
また感染したリスクのあるファイルをOnedriveにおいた場合。置いた時点ではウィルスチェックはないのだけれど、その後チェックがかかり、危険ファイルは読み込めなくなるのだそうです。
とりあえずNASは安全だとタカを括っていましたが、今回の件でそれは思い過ごしとわかり、今後重要ファイルはOnedriveとNAS自体のバックアップで対策することにしました。
9月3日の朝に異変を見つけ10時に会社で感染確認、QTSにも入れませんでした。その後Windowsから重要なファイルのバックアップをとって、QNAPサポートに状況を連絡。連絡後はNASの電源はそのままでLANケーブルだけ抜きました。この直前でdeadboltへの変換は確認できませんでした。
9月4日の昼にQNAPサポートからメールがありました。今回9月3日に第3波「deadbolt3」が来たようですね。被害は私だけではなかった模様。
そのメールの中にあった対応(Upnp解除とAdminの停止、ファーム・MalwareRemover・PhotoStationのアップデート)後、状況(スナップショット・バックアップの有無)を返信しました。私の場合はスナップショットありバックアップなしでした。
ちなみにこれらの対応をするためにLANケーブルをつないだところ、NAS内のファイルはほぼDeadbolt化していましたw
9月4日の夕方にQNAPから返信があり、NAS自体を直接チェックしたいということで、QTSのヘルプデスクアプリからリモートでチェックをしてもらいました。
その30分後くらいに返信があり、暗号化解除キーと解除方法を教えてもらいました。この日はもう自宅だったのでここまで。
9月5日、QNAPに教えてもらった方法でファイルの復元をしてみます。LinuxとWindowsの方法があるのですが、簡単なWindowsでやってみました。
スナップショットがある場合、このDeadbolt3に関してはスナップショット復元ですべてのユーザーがファイル回復できたとサポートの人が言っていました。
絶対とは言いませんがスナップショット設定しているならそれで回復の方が楽です。
EMSISOFT Decryptor for DeadBoltの使い方
このやり方が正解かちょっとわからないのですが、とりあえずQNAP内の全ての親フォルダを共有化して、すべてをネットワークドライブとしてWindowsに組み込み、1ドライブづつ解除していきました
起動してkeyを入力、ドライブあるいはフォルダを指定してDecryptボタンです。
ただしあまりデカいフォルダだとなかなか動いてくれません。私はフォルダの大きさを見ながら手作業でやりました。
このOptionですが、deadboltを解凍する際に、解凍前のファイルを維持するか削除するかを選ぶようになっています。もし失敗した場合にそのファイルロストをなくすためですね。とっておきたい場合はチェックを入れます。当然容量は倍になるので、NASの残容量が少ない場合は削除しながら解凍するしかないのでチェックボックスはオフ。
デフォルトはONなのでもし大量のdeadboltファイルができてしまった場合はファイル自動選択削除で手作業で掃除していきます。このソフト、ボタンが2つありますが、一つは発見>ゴミ箱行き、もう一つは発見>即刻削除なので要注意。改変された元ファイルは拡張子がdeadboltなので、即刻削除で元ファイルロストのリスクがあります。
およそ2T弱のデータを復活させるのに、だらだらやりながらですが1日以上かかりました。特に写真ファイルの修復が時間かかりました。動画だと更に掛かりそうです(でかいファイルは時間かかります)。
今後の対策
結果的に事なきを得た今回の騒ぎですが、QNAPのサポートの方の話だと、今回のDeadbolt3はUpnpをオフにしていれば感染はなかったそうです。また感染してしまった場合もスナップショットで回復できたのだとか。実際私もできましたが、うまくサポートの人に話が伝わっていなかったようですw
ということで今後の対策として
①Upnpオフ
QTS>コントロールパネル>ネットワークとファイルサービス>サービス検出
②スナップショット設定
QTS>ストレージ&スナップショット>スナップショット>
③adminアカウントの使用を避ける
デフォルトのadminはさすがに懲りましたw
これで、運用していきたいと思います。スナップショットとは別にバックアップも撮れるようにUSBHDDも増設しておきました。
いろいろ調べていて思ったのはNASをネットに公開していない人が(知識のある人ほど)多いことに驚きました。私のような素人だと単に堅牢な外付けHDDにしかならないのでNAS自体が無駄になってしまいそう。私の場合、どうしてもQsyncだけは使いたいので(これが私のQNAPを使う理由でもあるのでw)QNAP推奨のDDNSで使い続けたいと思います。これに関しては別記事にします。
しかしこのランサムウェア、QNAPのNAS狙いまくってるみたいですね。個人ならあきらめる人もいるかもだけど、会社のデータだと身代金払うしかないし、この手の脅威はこれからも続きそうです。そう考えるとGoogle OneとかDropboxなどの有料クラウドもバカにできなくなってきそう。
私は今回でかなり色々覚えたし、QNAPの対応も良かったのでまだまだNASでいきますよ?
コメント
ASUSTOR製のNASのランサムウェアの被害の対応の記事は見かけた事がありますが
QNAP製のNASのランサムウェアの被害の対応の記事ははじめて見かけました
QNAPのサポートはリモートで対応してくれるというのは知らなかったです
QNAPの他にSynology製のNASも使用していますが
Synology製のNASのランサムウェアの被害の対応の記事は見かけた事がまだありません
adminユーザの無効化ですが
Synology製品に関しては初期設定時に無効化するように誘導されます(後で有効化も可能ですが)
QNAPは以前はUPnPやポート転送での公開を推奨していましたが
ランサムウェアの一連の騒動で
今は機能はあるが使用しない事を推奨しているようです
QNAPサポートの人の話だとDeadbolt3は結構被害が出ていたような感じでした。ASUSTORってQNAPのOEMだったかな?
私自身QNAPは10年近く使っていて、adminで困ったことがなかったので認識がただただ甘かったという感じです。
私は専門知識が乏しいので何か困るとすぐサポートに泣きつくのですがw有名メーカーだとだいたい助けてくれますね。
QNAPの場合、QNAPはもちろん代理店のテックウィンドさんもサポートが厚くて好印象です。過去に何度か助けてもらっています。
初めてコメントを書かせてもらいます。
Deadboltの復号化が出来たってことですか?
しかもお金を出さずに。
当方も感染して困ってます。
これはサポートに問い合わせれば対応していただけるものなのでしょうか?
よかったら教えてください。
複合化、私の場合はできました。スナップショットがあればそれでも戻るはずです。
念のため私がやったのは・・・
パソコンでQNAPアカウントにログイン>右下の方のサービスポータルでチケットを発行>これで順にサポートが受けられる
これでQNAPからメールが来ます。このメールのやり取りでQTSのヘルプセンターを使って複合化コードを調べてもらえました。
あとは手作業で戻りました。最初のメールが来るまでが数日かかったと思います。メールが来てからはトントン拍子でした。
英語でイケルので翻訳しまくって頑張ってみてください。おそらく変なことをしてなければ戻るはずです。