QNAPがランサムウェア「Deadbolt」にやられる・・・

スポンサーリンク
注意

 この記事はパソコン自作ができるレベルで、プログラム知識など全くない素人の話です。勘違いや思い込みが含まれている可能性があります。起こったことだけ書いていきます。

 朝起きたときに、自宅のパソコンでQsync(NASの個人クラウド機能)がエラーを吐いていました。サーバーが異常とか。ん?NASが何かおかしくなったのかな?昼に会社で直そうと軽い気持ちでいました。

 会社に行ってNASを確認しようとしてびっくり!明らかにまずい状態、まじか・・・

見た瞬間衝撃的な画面です・・・

 通常QTSというNAS管理画面に入れるはずがいきなりこの画面です。

 「おまえのNASを乗っ取った。データ戻したければ身代金をビットコインで払え!」

 的なことが書いてあります。ランサムウェアにやられました。

スポンサーリンク

ランサムウェアとは

 ランサムウェアとは、身代金という意味を持つ英単語の「Ransom(ランサム)」と、コンピュータウイルス等を含むコンピュータに何らかの処理を行うプログラムなどを指す「Software(ソフトウェア)」を組み合わせた造語です。

 軽くググってみると出てくる出てくる。DeadboltはQNAPとAsustor(QNAPのOEMのNAS)を狙ったランサムウェア。2022年の2月に確認され、6月に亜種が見つかっており、被害はどんど拡がっているとか。

 QNAPからちょこちょこ「こんな被害が出ているから、バージョンアップしてね」というメールは来ていたので、アップデートはしていたのですが、まさか自分に来るとは・・・

Deadboltの特徴は

今回直撃したDeadboltの特徴は・・・

①QNAP内のほぼすべての保存データを暗号化する
 要はすべてのファイルが読めなくなります。この暗号化を解除する鍵が欲しかったら身代金を払えという感じです。

②拡張子がすべて書き換わる。(DEADBOLTだと.deadblotになる。)
 感染直後は何も起こっていなかったのですが、1日経過したら見事にほとんどのファイルの拡張子がdeadboltになりました。

見事に逝ってますw

③管理コンソールにログインしようとすると脅迫文が表示される
 これは上の脅迫文ですね。

 データを人質にとって身代金を要求するわけです。個人レベルならまぁ仕方ないかであきらめもつきますが、これ、会社の重要データだと死活問題です。調べてみると、やはり身代金数万円を払っている人も散見されます。緊急なデータなら仕方ないのかもしれないですね。

 私の場合は重要ファイルもあったのですが、無きゃ無くてもいいかなというw ただ会社の経理ファイルとか仕事の重要ファイルもいくつかあったので、金額次第では払わなきゃいけないかなとも考えていました。

とりあえずやったこと

 私の場合、感染したのを見つけたのが早かったのか、Deadboltに書き換えられる前にいくつかのファイルをバックアップすることができました。NASがWindowsのネットワークドライブになっていたので、そこから仕事で使う重要ファイルだけはフォルダごとバックアップしました。一方で十数年撮りためてきた写真ファイルはサイズがでかすぎるのためあきらめましたw とりあえず思いつくものだけコピペして、有料クラウドのOnedriveに逃がしました(サブスクOfficeに入っているので1Tのクラウドドライブがあります)。

他のデバイスへの影響は?

 私の場合、Windows10・11 Androidスマホ・タブレットなどにQsyncでつなげていたのですが、被害はありませんでした。DeadboltはNASのOS用に作られたものなので、他のOSには影響がないのだそうです。

有料クラウドへの影響は?

 また感染したリスクのあるファイルをOnedriveにおいた場合。置いた時点ではウィルスチェックはないのだけれど、その後チェックがかかり、危険ファイルは読み込めなくなるのだそうです。

 とりあえずNASは安全だとタカを括っていましたが、今回の件でそれは思い過ごしとわかり、今後重要ファイルはOnedriveとNAS自体のバックアップで対策することにしました。

 9月3日の朝に異変を見つけ10時に会社で感染確認、QTSにも入れませんでした。その後Windowsから重要なファイルのバックアップをとって、QNAPサポートに状況を連絡。連絡後はNASの電源はそのままでLANケーブルだけ抜きました。この直前でdeadboltへの変換は確認できませんでした。

 9月4日の昼にQNAPサポートからメールがありました。今回9月3日に第3波「deadbolt3」が来たようですね。被害は私だけではなかった模様。

 そのメールの中にあった対応(Upnp解除とAdminの停止、ファーム・MalwareRemover・PhotoStationのアップデート)後、状況(スナップショット・バックアップの有無)を返信しました。私の場合はスナップショットありバックアップなしでした。

 ちなみにこれらの対応をするためにLANケーブルをつないだところ、NAS内のファイルはほぼDeadbolt化していましたw

写真ファイル全滅ですw

 9月4日の夕方にQNAPから返信があり、NAS自体を直接チェックしたいということで、QTSのヘルプデスクアプリからリモートでチェックをしてもらいました。

QTSアプリのヘルプデスクで直接確認してもらえました 

 その30分後くらいに返信があり、暗号化解除キーと解除方法を教えてもらいました。この日はもう自宅だったのでここまで。


 9月5日、QNAPに教えてもらった方法でファイルの復元をしてみます。LinuxとWindowsの方法があるのですが、簡単なWindowsでやってみました。

スナップショット復元でいける

 スナップショットがある場合、このDeadbolt3に関してはスナップショット復元ですべてのユーザーがファイル回復できたとサポートの人が言っていました。

 絶対とは言いませんがスナップショット設定しているならそれで回復の方が楽です。

 EMSISOFT Decryptor for DeadBoltの使い方

 このやり方が正解かちょっとわからないのですが、とりあえずQNAP内の全ての親フォルダを共有化して、すべてをネットワークドライブとしてWindowsに組み込み、1ドライブづつ解除していきました

 起動してkeyを入力、ドライブあるいはフォルダを指定してDecryptボタンです。

 ただしあまりデカいフォルダだとなかなか動いてくれません。私はフォルダの大きさを見ながら手作業でやりました。

1Tあると一晩以上かかりますw
解凍中の様子
基本的にはONの方が安全かも

 このOptionですが、deadboltを解凍する際に、解凍前のファイルを維持するか削除するかを選ぶようになっています。もし失敗した場合にそのファイルロストをなくすためですね。とっておきたい場合はチェックを入れます。当然容量は倍になるので、NASの残容量が少ない場合は削除しながら解凍するしかないのでチェックボックスはオフ。

 デフォルトはONなのでもし大量のdeadboltファイルができてしまった場合はファイル自動選択削除で手作業で掃除していきます。このソフト、ボタンが2つありますが、一つは発見>ゴミ箱行き、もう一つは発見>即刻削除なので要注意。改変された元ファイルは拡張子がdeadboltなので、即刻削除で元ファイルロストのリスクがあります。

 およそ2T弱のデータを復活させるのに、だらだらやりながらですが1日以上かかりました。特に写真ファイルの修復が時間かかりました。動画だと更に掛かりそうです(でかいファイルは時間かかります)。

今後の対策

 結果的に事なきを得た今回の騒ぎですが、QNAPのサポートの方の話だと、今回のDeadbolt3はUpnpをオフにしていれば感染はなかったそうです。また感染してしまった場合もスナップショットで回復できたのだとか。実際私もできましたが、うまくサポートの人に話が伝わっていなかったようですw

 ということで今後の対策として

①Upnpオフ
 QTS>コントロールパネル>ネットワークとファイルサービス>サービス検出

ルーター側も確認しておきましょう

②スナップショット設定
 QTS>ストレージ&スナップショット>スナップショット>

③adminアカウントの使用を避ける
 デフォルトのadminはさすがに懲りましたw

 これで、運用していきたいと思います。スナップショットとは別にバックアップも撮れるようにUSBHDDも増設しておきました。

 いろいろ調べていて思ったのはNASをネットに公開していない人が(知識のある人ほど)多いことに驚きました。私のような素人だと単に堅牢な外付けHDDにしかならないのでNAS自体が無駄になってしまいそう。私の場合、どうしてもQsyncだけは使いたいので(これが私のQNAPを使う理由でもあるのでw)QNAP推奨のDDNSで使い続けたいと思います。これに関しては別記事にします。

 しかしこのランサムウェア、QNAPのNAS狙いまくってるみたいですね。個人ならあきらめる人もいるかもだけど、会社のデータだと身代金払うしかないし、この手の脅威はこれからも続きそうです。そう考えるとGoogle OneとかDropboxなどの有料クラウドもバカにできなくなってきそう。

 私は今回でかなり色々覚えたし、QNAPの対応も良かったのでまだまだNASでいきますよ?

 

 

コメント

タイトルとURLをコピーしました