サイバー攻撃

eCh0raixランサムウェアとは? その特徴や対策方法/感染時の対処方法を解説

eCh0raixランサムウェアとは? その特徴や対策方法/感染時の対処方法を解説

近年、QNAPをメインターゲットとしたeCh0raixランサムウェアの感染被害が拡大してきています。このランサムウェアに感染すると拡張子が「.encrypt」に書き換わり、データが暗号化されてしまい、身代金を要求されるという被害も報告されています。

この記事では、eCh0raixランサムウェアの特徴や対策方法、万が一感染した際の対処方法を解説します。

eCh0raixランサムウェアの特徴

encrypt」拡張子に暗号化するeCh0raixランサムウェアがQNAPをターゲット – ランサムウェア復号・復旧のマイクロデータベース(R)

eCh0raixランサムウェアに感染すると、パソコン上のデータの拡張子が「.encrypt」に書き換わりデータが暗号化され、ファイルサイズは2倍ほど大きくなります。

これに加え、犯人側のサイトにアクセスしてしまうと、このような警告画面が出現し身代金を要求されることがあります。「README_FOR_DECRYPT.txt」というファイル名で身代金を要求する内容が表示されます。

もし感染が疑われる場合は、被害拡大を防ぐために感染元の端末を速やかにネットワークから遮断し、隔離する必要があります。

特定のターゲットデバイスを暗号化する

eCh0raixランサムウェアは、当初は以下の対象がメインターゲットでした。

  • 台湾のQNAP社製のNAS
  • 同様のOSライセンスを受けているIOデータ社製のQNAP NAS
  • Synology製のNAS

eCh0raixランサムウェアは、QNAP製のNASに実装されているOS「QTS」の脆弱性を狙ったものであることが判明しています。また、2021年2月下旬頃からは国内メーカーのバッファロー、エレコムのNASも感染対象に加わりました

eCh0raixランサムウェア感染時の対処方法

eCh0raixランサムウェアへの感染が疑われる場合は、速やかに下記の対処方法を行ってください。

身代金を支払わない

このランサムウェアは、身代金を払ったとしても暗号化されたファイルを全て元に戻せる可能性は非常に低いです。例え復号できたとしても、開く事ができないケースも多く見られます。

また、身代金を支払うということが反社会勢力の増長につながる恐れもあるため、身代金を支払うことは避けましょうなお、身代金を支払った組織の8割が再び攻撃を受けたという報告もあり、相手の要求を鵜呑みにすると、ランサムウェア攻撃が悪化する恐れがあります

ネットワークから遮断する

ランサムウェアの感染はネットワークを伝って拡大します。まだ感染していない他のデバイスへの感染を防ぐため、感染が疑われる端末をネットワークから切断しましょう。

ランサムウェアに感染した場合、まずはじめに行うべきことは、端末をネットワークから遮断することです。ランサムウェアは一つの端末だけでなく、ネットワークに接続している全ての端末を暗号化することもあり、最悪の場合、企業が稼働停止に追い込まれることもあります。

まだ感染していない他のデバイスへの感染を防ぐため、感染が疑われる端末をネットワークから遮断しましょう。

メールアドレス・パスワードを変更する

次に、感染が疑われるデバイスで使用していたメールアドレスやパスワードの変更を行いましょう。メールアドレスやパスワード悪用される可能性があります。

また、メールアドレスやパスワードの変更を行う際は、ランサムウェアに感染していない他のデバイスから行うようにしてください。感染したデバイス上でセキュリティ情報を変更したとしても、それらの新しい情報が攻撃者に盗まれれ、第三者に悪用されてしまう場合も考えられます。

専門業者に感染経路調査や復号を依頼する

ランサムウェア感染時、個人での復号は基本的に不可能です。データの復号や感染経路調査を専門に行っているフォレンジックサービスまで相談しましょう。個人では対応できない領域まで作業することが出来ます。

またランサムウェアは、他のマルウェアとは異なり、端末やデータそのものがロックされてしまうので、セキュリティソフトで暗号化を解除することは難しく、操作に失敗してしまうと、身代金の要求額が上がったり、データを失ってしまうリスクすらあります。

フォレンジックサービスでは、まずお客様の機器を調査・解析し、お客様が今後ランサムウェアに感染しないように、ランサムウェアへの感染経路や被害の実態を明らかにします。

ランサムウェア感染時の対応については下記の記事でも詳しく紹介しています。

eCh0raixランサムウェアに感染した場合の調査方法

社内でeCh0raixランサムウェアに感染した場合、情報漏えいなどの被害が発生している可能性があるほか、後続の攻撃者の侵入経路が開けられている危険性もあります。

今後のセキュリティー対策やコンプライアンスの観点から、暗号化されたデータの復号だけでなく、情報漏えいの有無や感染経路など被害状況の調査が必要です。

しかし、社内調査の過程で、システム担当者がむやみに操作したり、あるいは端末を独断で初期化すると、攻撃の痕跡が上書きされ、調査が困難になる恐れがあります。

そのため、被害調査を最も安全かつ適切な手段で行うには「フォレンジック専門業者」に相談・依頼する必要があります。「フォレンジック調査」とは、デジタル機器から法的証拠に関わる情報を抽出する手法であり、ランサムウェアのようなサイバー攻撃の経路や、情報流出の有無などを調査し、被害範囲の全体像を把握して、適切な対処を行うことが可能です。

フォレンジック調査会社への相談方法

フォレンジック調査会社へ相談・依頼する際は以下のような流れで行います。なお、当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。

フォレンジック調査の流れ

社内でインシデントが発生した際、フォレンジック調査を行うかまだ決定していない段階であっても、今後のプロセス整理のためにもまずは実績のある専門会社へ相談することを推奨しています。

特に、取引先や行政などへ報告が必要な場合、 専門的なノウハウを持たない中で自社調査を行っても、正確な実態把握ができなかったり、ケースによってはデータが故意にもしくは意図せず改ざん・削除される危険性があるため、信憑性を疑われかねません。場合によってはさらなる信用失墜につながる危険性すらあります。

DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。

\24時間365日 相談受付/

ランサムウェアに感染した場合はDDFへ

デジタルデータフォレンジックでは、国内売上シェアトップクラスのデータ復元技術を活用し、パソコンやスマートフォンに残されたログの調査やマルウェアの感染経路調査を行っています。また、ご相談件数は警察機関や法律事務所、官公庁、上場企業から個人のお客様まで1万4,000件以上を数えます。

お困りの際はデジタルデータフォレンジックまでご相談ください。なお、証拠利用の場合、法廷資料としても活用できる報告書の作成も承っております。

共通CTA