(PC)災害は忘れたころにやってくる – Chrom で Spora Ransomware にやられた!

sporasite
Spora Ransomware が仕込まれたサイトの画像

2月25日土曜日夜中、どうしてもイタリアのそのサイトの情報を読む必要があった。

Chromeで開いたら文字化けしていた。
ワイン頭でちょっと朦朧としてもいた。
なので、フォントをインストールする必要があるとのメッセージがでたとき、
やな感じがプンと匂ったのを無視してクリックしてしまった…。

気付いたのはエクセルファイルが開けなくなってあれこれしたあと。で、ランサム(身代金)を要求するHTMLメッセージが開いていた。
Spora ランサムウェア、偽の Chrome フォントパック更新プログラムに偽装
HoeflerText font wasn’t found偽通知でウイルス感染 Chromeフォント.exeに注意

史上最も洗練されたマルウェアとどこかにあったけれど、確かにメッセージページのデザインも全然マルウェアっぽくない。検索によると、開けなくなったファイルを開けるようにするにはいくら、ランサムウェアの駆除にはいくら、と料金設定されていて、なんと、今後このランサムウェアに感染しないソフトの提供にはいくら…、となっているとか。入ってきた泥棒がもう泥棒に入られない鍵を売りつけているという、限りなくジョークみたいな話である。

ランサムウェアなるものの話は聞いていたけれど、Chrome経由のこういう手口があることは知らなかった。今年に入ってじわっとノしているらしい。と分かった時点で、やられたファイルは捨てる覚悟を決めた*。ワードと、エクセルと、PDFと、あとJPEGも。

*ちと諦めが良すぎたかもしれない。もしかしたらランサムを払わなずに回復できたかも、と以下の記事を読んで思った。
参考 ランサムウェア対策について(日本サイバー犯罪対策センター)

ファイルをひとつひとつアップロードするというのはかなり大変だけれど、どうしても必要なものだけでも復元出来たらうれしい。が、開けなくなったファイルは基本的に削除してしまったので、私は検証できない。

こういうのはいたちごっこなので、防御は破られもするが、破られた後の対策も追っかけで出てくる、ということか。とすれば、やられたファイルは解決策が出てくるまでとっておけばよかったのかもしれない。

というのも、メインPCのファイルは去年外付けHDDが壊れて以後、無料クラウドストレージから有料IDriveに変えて週一でバックアップをとっていたことと、画像はFlickrに全部あげるようにしていたことがあり、直近のファイルはあきらめてもそう大きなダメージはないと判断できたから。まずはIDriveの自動バックアップをやめる。うかうかしているとやられた状態がバックアップされてしまうので。

ということで、翌日曜日にはそれでもいくつかのファイルを外HDDにコピーしたあと、PCを初期化する。まずMcafeeをインストールしようとするもエラーになって出来ない。まあね、いろいろ躓くんだよ、こういうときは。

27日月曜日、Mcafeeサポートに電話するとWindowsをアップデートしろと。182個のアップデートに3時間強。が、やっぱりエラーでインストールできず。サポートが遠隔操作であれこれやってくれてやっと完了。

Thunderbirdのプロファイルからの復元では、なぜかローカルフォルダが復元されない。FirefoxとChromeの設定はOK。次はOfficeを入れる。明日以降は他のソフトのインストールとThunderbirdの検証が課題。最後にIDriveのバックアップからリストアね。まあこれ以外にもいろいろありそうではあるが、とりあえず。

3/3

粛々とソフトのインストールなどを進めていたのだが、弥生会計が入らない。調べてみたらマカフィーとバッティングしている模様。仕方ない、Mcafeeの再インストールができなければまた遠隔操作を頼めばいいや(気が楽だわぁ)とアンインストールする。問題なく弥生、弥生後にマカフィーと、インストールできた。弥生会計はバージョン違いをインストールしてしまい、同じ手順を二度繰り返すというドジを踏んだが、進行には問題なし。

ThunderbirdのローカルフォルダはオンラインストレージバックアップからダウンロードしたLocal Foldersをプロファイルの>mailにぶち込んだら復元した。

気が付けばトラブル発生からもうすぐ一週間である。あれこれ調べたりしながらやっているせいもあるが。昨夜からは本格的にバックアップファイルのリストアに取り掛かる。IDrive、アップロードにも時間がかかったけれど、ダウンロードには更に時間がかかる模様。夕べからMy Musicの5ギガほどがまだ終わらない。所要時間たぶん17時間越え。

すでに全部リストアする気は失せている。ほんとに必要なものって、去年外付けHDDが壊れた時も思ったんだけど、そう多くはないのだ。

といいながら、その壊れたHDDから古いデータを再度抽出。またまたファイナルデータの出番である。外付けHDDはそのまま(PCからはずして)保管してあり、今回も問題なく復元できた。せっかくこの機会にデータダンシャリするぞと決意してみたりしたが、別に場所とるわけじゃなし(いや取るんだけど)、結局外付けHDDは9か月前の状態に戻しつつある。

それで、オンラインストレージについて再考している。去年の5月にIDrive有料1テラバイトとMEGA50ギガフリーを導入して設定した後、ほとんど触ることもなく時間が過ぎ、さて復元にはどうするんだろうと、触らないってことはあっという間に忘れてるってことで、しばらく右往左往した。

とくにMEGAは登録メルアドを忘れてしまい、自分のデータにアクセスもできないし、ローカルにMEGAsyncも再設定できずで、あせった。日を変えて冷静になって打ち込んでみたらあたりだったので、最初に入れたのは単にタイプミスだったのかも。

にしても、とにかくこの先のことを考えると、極力シンプルでわかりやすくないといかんのだ。それでバックでリストアさせながら検索したりしているのだが、どうしたもんだろう。

これとは別に心配なのは、件のマルウェアを仕込まれたサイトである。Firefoxでのアクセスに問題はなかったので、メールフォームから連絡してみた。数日経過するも、まだChromeではそのままである。思えば送った文面が少しスパムっぽかったかもしれない。添付もリンクもないのだから信じてくれればいいのだが、サイト管理者がマルウェアやランサムウェアという言葉を知らなかったら、かえって怪しい英語のスパムと思う可能性もある。

IEやFirefoxで開くぶんには問題ないし、まさか自分のサイトが、と思うだろうし、わざわざChromeをインストールなどしないだろう、というのはある。が、そうしている間にも被害者は増えているだろう。サイト管理者の責任は重い。このレストラン、ある記事に取り上げようとしたのだが、これではリンクも貼れないし紹介もできない。

※一週間そのままだったけれど、本日5日夜に確認したら復活していた。良かった…。

3/4

順調に写真フォルダ5ギガ弱をリストア。16時間くらいかかった。データは直近のもの以外ほぼ復元。改ざんされたのはワード、エクセル、PDF、JPG、PSDなどであるが、外付けHDDのJPGは無事であった。たぶん感染が分かった時点でPC本体からはずしたからだろう。改ざんはファイルの種類ごとに行われるので、ワードやエクセルが先行し、JPGはそのあとだったのだと思う。

JPGはFlickrにあげてあるので別にいいのだが、逆に間に合わなかったものがもある。MEGAとOneDriveにはそれほどたいしたデータを置いていないので、落ち着いてからアクセスしてみたら、とっくに改ざんデータで同期してしまっていた。IDriveは週一という頻度で、かつ気が付いたのでスケジュールアップデートを中止したのだが、他のオンラインストレージにまで注意が向かなかった。ゴミ箱から復元出来たりもするようであるが、いずれもダメだった。

これがランサムウェアのやっかいなところだ。うかうかしていると外付けHDDはもちろん、バックアップがすべてやられてしまう。ランサムウェア自体はオフラインでもファイル改ざん作業をし続けるというが、被害を最小限にとどめるためにも、気が付いた時点でネット接続を遮断し、外付けHDDもはずすべきだろう。

他に復元できたのは、メール添付。Thunderbirdのプロファイルを入れなおしたあと、添付ファイルを保存しなおせばOK。これであきらめていたファイルもかなり復活した。あとはiPadに入れて持ち歩いていたやつ。

今回はDellのBackup & Recovery Monager で工場出荷状態に戻し、ソフトは全部入れなおし、データはクラウドと旧外付けHDD等からコピー&ダウンロードという泥臭い方法をとった。実は工場出荷よりも新しい(といっても最新ではない)システムバックアップ(イメージバックアップ?)もあったので、それを試してみてもよかった。ダメ元で。

でも、時間はかかるけれど、どうせ仕事もヒマだし、某締切も事情を話したらなんと一か月も待ってくれるというので、ソフトもファイルも整理しつつ復旧することにしたのだ。これだとPC自体がクリーンな状態になるので安心だし、動きも軽快になる。実はこれまでも、寿命5-6年使うPCで、3年くらい使ったところで(なにかしらの理由で)初期化するはめになり、4年目を迎えてあれこれ不具合が出てきた当PCも、そろそろ初期化時期かな、というのもあった。

なので今回はこれでいいのだが、でもやはり、データのバックアップに加えてシステムのバックアップもしっかり考えておくべきだろうとは思う。

こんな記事が目に留まった。ランサムウェア対策にはバックアップの履歴管理が重要で、かつイメージバクアップが可能なソフトが良い、というもの。
バックアップは本当に必要なのか!?_1
バックアップは本当に必要なのか!?_2

こちらで紹介されている Acronis True Image、知らなかったのだが結構有名なソフトのようだ。アマゾンで3,000円ほど。しかもオンラインストレージとのダブルバックアッププランもあり、1TBで7,980円/年と高くない。ランサムウェアプロテクト機能もあるというし、IDriveの更新時に検討してみようか。

アクロニス、Facebookにも対応したバックアップソフトウェア「Acronis True Image 2017」を発表
Acronis True Image 2017 ライセンス

3/10

順調ではあるのだが、残念なことがひとつ。Wordpressサイトのバックアップ&テーマ更新のテスト用に、ローカルに同環境を作ってあった。そのためのマイクロソフトのWebMatrixが(サポートをやめるため)新規にダウンロードできない。それでInstant WordPressで作業をしている。

このフォルダをAppDataに作ったので、これもバックアップされるようIDriveに設定。とやっていて、ふとダッシュボードを見ると[Disk Image Buckup]なるボタンがある。おお、IDriveで丸ごとイメージバックアップができるということか?

マニュアル英語を読むのがかったるくて、最低必要箇所しか(しかもちらっとしか)見ていなかったというのと、そもそもイメージバックアップなるものになじみがなくて、頭も働いていなかったのだな。イメージバックアップはDellでもWindows7でもできるんだよね? たしか。でもどれがいいのか、いろんな用語の違いもよくわかっていない。DellだとDellでしか復元できないらしいけど。

システム修復ディスクとリカバリーディスクの違い

3/12,14,17

PCと外付けHDDの同期をフリーソフトの BunBuckupで設定する。三つほどセレクト検討した結果、自動で同期させる機能のあるこちらを選択。また、MEGAにもまだ十分空きがあったので、最重要のフォルダのバックアップを設定。続いてIDriveで、[Disk Image Buckup]実行。外付けHDDに保存するも455ギガであった!

参考
BunBackupで簡単!素早く!パソコンのファイルをバックアップする方法
毎日12時にBunBackupでパソコンを自動的にバックアップする方法

  • トップへ戻る
  • カテゴリアーカイブ
  • HOME

コメント

メールアドレスが公開されることはありません。* は必須項目です。


*


*