弊社でクラウドバックアップを導入させていただいたお客様より、ランサムウェアの被害から復旧した事例をご紹介します。

2017年3月20日のお昼休み明けに社員の方が、ファイルサーバー内の共有ファイルが意味不明なファイルになっていると連絡がありました。(不明なファイル状況は以下画像を参照)

大切なエクセル、ワードファイル、画像データ等すべてのデータが閲覧不可及び、解析不能なファイルへと書き換えられています。

ダルマランサムウェアによるファイル暗号化
↑感染したファイルの画面キャプチャ

その後、現段階の状況と早急な復旧対応を求め当社へご連絡をいただき、次の対応をお客様へご案内致しました。

  1. 感染したファイルサーバーをネットワークから切り離す。
  2. ファイルサーバー及び社内のパソコンすべてで、セキュリティソフトを使ってウィルススキャンを行い、不審なプログラム・ファイルを削除する。

(弊社が現状を確認したところファイルサーバー以外からは、不審なファイルは検出されませんでした。)

ここからランサムウェアの駆除をセキュリティソフトで駆除し、感染したファイルを元に戻す作業です。

クラウドバックアップでは1日に3回、決まった時間帯(指定可能)でバックアップを設定可能でありランサムウェアに侵される前の最新データを取得することが可能です。今回は、2017年3月20日AM 9:00 時点へのデータに復元を行い無事、ランサムウェアに感染する前のデータへ復旧することが出来ました。また、バックアップから復旧までの手順も非常に簡単でコピー&ペーストで対応できます。

———————-お客様からの声———————-

弊社繁忙期に感染が発覚して、一瞬「なんだこれ!」と思いました。多少ネット関連の知識はあったのですぐにウィルス感染だということに気づき、ネットで色々調べてみましたが解決や改善は到底無理でした…そんな時に「もしも」「いざ」というときのクラウドバックアップの存在を思い出し導入会社の方に連絡をするとすぐに対応していただきました。

原因究明から、解決までスピーディーで繁忙期の私たちにとっては非常に助かりました。クラウドバックアップは保険と同じで何かあった時に解決できるので、導入していてよかったと心から思いました。

この度は本当にありがとうございました!

ダルマランサムウェアの特徴

ダルマランサムウェアは、2016年の年末ごろより日本での感染報告が上がりだしたマルウェアです。
感染するとファイルが暗号化された後、ファイル名に連絡先を表すメールアドレスが書き込まれ、.walletというファイル形式に変わってしまいます。

セキュリティ対策とランサムウェアからの復旧

今回のお客様は社内にある全てのパソコンをネットワークで繋ぎ、得意先から提供されたデータや、社内で作成した提案資料等、約2TB近くの情報をファイルサーバ(NAS)上に保存していました。また、ファイルサーバにはクラウドバックアップの他に、セキュリティソフトの最新版がインストールされ常に監視を行っており、VPNも導入しています。

サーバ側のセキュリティ対策としては標準以上の対策を行っていましたが、サーバ管理者が気づいた時にはすでにほとんどのファイルが暗号化されてしまっていたとのこと。

この感染でファイルサーバに上がっているほぼすべてのファイルが被害に遭い、クラウドバックアップからの復旧ができなければ、得意先へ多大な迷惑をかけてしまうだけでなく、その後の業務にも支障が出てしまう状態でした。

また、今回被害に遭ったのはファイルサーバのみで、各社員のクライアント側のPCは発症していないとのこと。原因は現在解析中とのことですが、クライアント側のPCは発症していないとのことから、通常のランサムウェアの感染経路となる「メールの添付ファイル」以外への対策を見直していく必要があるかもしれません。