ランサムウェアの被害から復旧できました

弊社でクラウドバックアップを導入させていただいたお客様より、ランサムウェアの被害から復旧した事例をご紹介します。

今回被害を与えたのは、暗号化後のファイル名から「ダルマランサムウェア」という名称のランサムウェアではないかと推測されます。
2017年3月20日に感染を確認し21日に一旦復旧しましたが、マルウェアの削除漏れがあったらしく再度暗号化され、22日に完全復旧したとのこと。

ダルマランサムウェアによるファイル暗号化
↑感染したファイルの画面キャプチャ

ダルマランサムウェアの特徴

ダルマランサムウェアは、2016年の年末ごろより日本での感染報告が上がりだしたマルウェアです。
感染するとファイルが暗号化された後、ファイル名に連絡先を表すメールアドレスが書き込まれ、.walletというファイル形式に変わってしまいます。

セキュリティ対策とランサムウェアからの復旧

今回のお客様は社内にある全てのパソコンをネットワークで繋ぎ、得意先から提供されたデータや、社内で作成した提案資料等、約2TB近くの情報をファイルサーバ(NAS)上に保存していました。
また、ファイルサーバにはクラウドバックアップの他に、セキュリティソフトの最新版がインストールされ常に監視を行っており、VPNも導入しています。
サーバ側のセキュリティ対策としては標準以上の対策を行っていましたが、サーバ管理者が気づいた時にはすでにほとんどのファイルが暗号化されてしまっていたとのこと。

この感染でファイルサーバに上がっているほぼすべてのファイルが被害に遭い、クラウドバックアップからの復旧ができなければ、得意先へ多大な迷惑をかけてしまうだけでなく、その後の業務にも支障が出てしまう状態でした。

また、今回被害に遭ったのはファイルサーバのみで、各社員のクライアント側のPCは発症していないとのこと。
原因は現在解析中とのことですが、クライアント側のPCは発症していないとのことから、通常のランサムウェアの感染経路となる「メールの添付ファイル」以外への対策を見直していく必要があるかもしれません。

導入されたお客様より
社内のファイルサーバ(NAS)にランサムウェアが感染し、気付いた時には、2TB近くのデータのほとんどが暗号化されていました。
危うく業務に多大な支障が出てしまう所でしたが、クラウドバックアップを導入していたおかげで、無事に復旧することができました。