お問い合わせ
ランサムウェアによる被害は年々高度化しており、企業だけでなく個人も標的になるケースが増えています。中でも「MARSランサムウェア」は、ファイルを暗号化して使用不能にする典型的な攻撃の一つです。
感染に気づいた際、慌てて削除や初期化を行ってしまうと、証拠が消失する恐れがあり、原因特定や復旧が難しくなる可能性があります。
そこで本記事では、MARSランサムウェアの特徴や感染経路、そして感染時に取るべき適切な対処法についてわかりやすく解説します。
目次
MARS(.mars)ランサムウェアの特徴
MARSランサムウェアは、感染後にファイルを暗号化し、拡張子「.mars」が追加されるといった特徴を持つマルウェアです。被害の特徴を把握することで、早期対応につながります。
ファイルの暗号化と拡張子変更
画像出典:PCrisk
感染すると、PC内のファイルが暗号化され、元のファイルが開けなくなります。さらに「.mars」という拡張子が付与されるため、視覚的にも異常に気づきやすい特徴があります。
身代金要求(ランサムノート)が追加される
画像出典:PCrisk
デスクトップやフォルダ内に「!!!MARS_DECRYPT.TXT」と記載されたメッセージ(ランサムノート)が生成されます。これは攻撃者が金銭を要求するための脅迫文です。
この脅迫文には以下の内容が記載されています。
すべてのファイルはMARSウイルスによって暗号化されました。
あなたの固有ID:-当社のウイルスは、お客様のオフィスファイル231個(xls、xlsx、doc、docx、ppt、pptx、odt、ods、pdf、dwg、psd、dbf、fpt、php、cdr、mdb、accdb)を暗号化しました。
復号化はビットコインで500ドルでご購入いただけます。
お支払い前に、お客様のファイルを実際に復号化できることをご確認いただけます。
暗号化キーとIDはお客様のコンピューター固有のものであるため、ファイルの復元は保証されています。これを行うには:
1) 固有の ID とテスト復号用の最大 3 つのファイルを(攻撃者のメールアドレス)または (攻撃者のメールアドレス) に送信してください。
2) 復号後、復号されたファイルと支払い用の固有のビットコイン ウォレットをお送りします。
3) 注意! Telegram では偽物が出回っている可能性があります。復号後にテスト ファイルを受け取るまで決して支払わないでください!
4) ビットコインで身代金を支払った後、復号プログラムと手順をお送りします。ファイルの復号ができれば、支払い後にあなたを騙す理由はありません。または、以下の手順を実行してください(メールで返信が届いていない場合):
1) Telegram Messenger をダウンロードしてインストールします: hxxps://desktop.telegram.org/ (Windows、Linux、macOS 用)
2) ユーザー mars_dec を見つけます
3) テスト復号化のために、固有の ID と最大 3 つのファイルを送信します。
4) 復号化後、復号化されたファイルと支払い用の固有のビットコイン ウォレットをお送りします。
5) 注意! Telegram では偽物が出回っている可能性があります。復号化後にテスト ファイルを受け取るまで、決して支払わないでください!
6) ビットコインで身代金を支払った後、復号化プログラムと手順をお送りします。ファイルを復号化できる場合は、支払い後にあなたを騙す理由はありません。FAQ:
割引はありますか?
いいえ。身代金の額は暗号化されたオフィスファイルの数に基づいて計算され、割引は提供されません。このようなメッセージはすべて自動的に無視されます。
ビットコインとは何ですか?
bitcoin.org をお読みください
ビットコインはどこで購入できますか?
ビットコインサイトのURL
ビットコインサイトのURL
または google.com を使用してください
ファイルが返されるという保証はどこにありますか?
ランダムなファイルを復号できるという事実自体が保証です。 あなたを騙す意味はありません。
支払い後、鍵と復号プログラムはどれくらい早く届きますか?
通常、数時間以内ですが、ごくまれに 1〜2 日遅れる場合があります。
復号プログラムはどのように機能しますか?
簡単です。鍵をコピーして、復号するフォルダを選択する必要があります。プログラムは、このフォルダとそのサブフォルダ内のすべての暗号化されたファイルを自動的に復号します。
あなたの Telegram アカウントとメールボックスについて苦情を申し立てます。
神のご加護がありますように。 いずれにせよ、あなたは私たちを見つけることはできません。しかし、多くの人々は自分のファイルを復元する機会を奪われてしまうだろう。
出典:PCrisk
このようにMARSランサムウェアでは、Telegramなどを通じて攻撃者と直接やり取りを行い、ビットコインでの支払いを要求されるケースが確認されています。
しかし、身代金の支払いには重大なリスクがあります。犯罪者に資金を提供することで、さらなる攻撃の助長や、企業としての社会的信用の低下につながる可能性があります。
また、支払い後に必ず復号できる保証もないため、被害に遭った場合でも、安易に身代金を支払うことは推奨されません。
ランサムウェア感染時に身代金を支払うリスクについて詳しくはこちら>
また、ランサムウェア感染後に自己判断で復旧作業を進めてしまうと、ログや痕跡などの重要な証拠が消失する恐れがあります。感染の証拠が失われると、感染経路や侵入範囲の特定が困難になり、再発防止策を講じることができなくなるだけでなく、その後の顧客対応や保険請求などにも支障をきたします。
ランサムウェアに感染した、あるいは不正アクセスなどの異常を検知した段階で、不用意な操作は避け、まずは速やかに専門家に相談することが重要です。
ランサムウェア感染時の対応
ランサムウェアに感染した場合は、以下のフローで被害を最小限に抑える必要があります。
感染時は慌てずに、過不足のないフローで適切な対応を取りましょう。 ランサムウェアに感染した場合の対応は次のとおりです。
端末をオフラインにする
まずは、ネットワークから感染した端末を切り離す必要があります。これにより感染が広がることを防ぐことができます。
リストアする(バックアップから感染前のデータを復旧する)
さらに、感染したサーバーのバックアップを確認し、最新のバックアップからデータを復元することができます(これをリストアと言います)。これにより、被害を回復することができます。
ただし、ランサムウェア感染時は、復旧だけではなく、攻撃経路の特定や、再発防止策の検討が必要となります。攻撃に遭った場合は「フォレンジック調査」を検討しておきましょう。
ランサムウェア感染調査に対応した専門業者を利用する
ランサムウェア感染時は、感染経路を特定し、再発防止策を講じる必要があります。
たとえば「脆弱性」を悪用した攻撃を受けた場合、再攻撃を受けないよう、適切な対応を行うとともに、どの端末の、どのデータが被害に遭ったのかを確認する必要があります。
特に法人の場合、個人情報の漏えいが疑われる際は、関係各所に向けた「被害報告」が必要ですが、自社調査だけでは客観性や正確性が担保できないことがあります。セキュリティツールはマルウェアを検知・駆除できますが、感染経路や情報漏えいの有無を適切に調査することはできないからです。
したがって、ランサムウェア感染時は、感染経路調査に対応した「フォレンジック調査」を利用することが有効です。
◎フォレンジック調査を考えている方へ (お見積りまで完全無料)
フォレンジック調査は、DDF(デジタルデータフォレンジック)までご相談ください。
累計47,431件のご相談実績(※1)があり、他社にはないデータ復旧業者17年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術を駆使してお客様の問題解決をサポートします。
✔不正アクセスの形跡があると報告された
✔ランサムウェアやマルウェア感染の原因がわからない
✔データが漏えいしているかもしれない
上記のようなご相談から調査項目/作業内容のご提案、お見積りまでは完全無料。安心してご相談ください。
\24時間365日 相談受付/
※1 累計ご相談件数47.431件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2023年)
ランサムウェア感染時、感染経路調査を行うメリット
ランサムウェアに感染した場合、感染経路を調査することで、攻撃者の侵入方法を特定し、将来の攻撃から身を守るために対策を講じることができます。
ランサムウェア感染の調査を行う方法として「フォレンジック調査」を挙げることができます。フォレンジック調査とは、電子機器から証拠を収集・分析して、インシデントの詳細を解明する手法で、たとえば攻撃者がどのようにランサムウェアを侵入させたか、どのような手法や脆弱性が悪用されたかなど、感染経路や情報漏えいの特定に役立ちます。
ランサムウェア感染時の対処におけるフォレンジック調査のメリットは次のとおりです。
- 被害範囲を特定できる
- 感染経路や攻撃手法の解析・証拠が確保できる
- 専門エンジニアの詳細な調査結果が得られる
- セキュリティの脆弱性を発見し、再発を防止できる
①被害範囲を特定できる
フォレンジック調査は、感染したシステムやネットワーク内での攻撃の拡散範囲を特定するのに役立ちます。これにより、被害を受けたシステムやデータ、ネットワークの一部を迅速に特定し、対処を開始することができます。
②感染経路や攻撃手法の解析・証拠が確保できる
フォレンジック調査では、ランサムウェアの攻撃手法や感染経路を解析し、証拠を確保できます。また、証拠の確保は、法的な措置や法執行機関との連携に役立つだけでなく、被害の評価や保険請求のためにも重要な要素となります。
③専門エンジニアの詳細な調査結果が得られる
フォレンジック調査の専門会社には、正確にハッキング被害の実態を確認するために必要な高度な技術を持つ専門エンジニアがいます。
自社調査だけでは不適切な場合がありますが、フォレンジックの専門業者と提携することで、調査結果をまとめた報告書が作成でき、公的機関や法廷に提出することができます。
④セキュリティの脆弱性を発見し、再発を防止できる
フォレンジック調査では、マルウェアによる被害の程度や感染経路を特定することで、今後のリスクマネジメントに貢献することが出来ます。弊社では、解析調査と報告書作成の他に、お客様のセキュリティを強化するためのサポートも提供しています。
私たちデジタルデータフォレンジックは官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があります。お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたしますので、まずはお気軽にご相談ください。
\フォレンジック調査の専門家へ24時間365日無料相談/
MARSランサムウェアによる被害の調査を行う場合、専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも行っておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
