ファイルの拡張子が「.deeadbolt」となり、開けない場合。
現時点ではスナップショット(世代間バックアップ)をとっている場合、復旧が可能であることが発覚。
追加情報入り次第随時更新します。
2022/5/14に感染事例が確認されています。
追記 2022/6/17に新たな感染事例確認!身代金が値上げされました。
感染した場合の管理画面
2022/5/14に感染した場合の例
WARNING: Your files have been locked by DEADBOLT
> What happened?
All your files have been encrypted. This includes (but is not limited to) Photos, Documents and Spreadsheets.
> Why Me?
This is not a personal attack. You have been targeted because of the inadequate security provided by your product vendor (QNAP).
> What now?
You can make a payment of (exactly) 0.030000 bitcoin to the following address:
bc1q0aezj0rky2v5dghu0ug3aq4qujasfakru9mugvOnce the payment has been made we'll follow up with a transaction to the same address, this transaction will include the decryption key as part of the transaction details. [more information..]
You can enter the decryption key below to start the decryption process and get access to all your files again.
Your files have been locked by DEADBOLT.
デッドボルト
警告:ファイルはDEADBOLTによってロックされています
>どうしたの?
すべてのファイルが暗号化されています。これには、写真、ドキュメント、スプレッドシートが含まれます(ただし、これらに限定されません)。
>なぜ私?
これは個人的な攻撃ではありません。製品ベンダー(QNAP)が提供するセキュリティが不十分なため、標的にされました。
>今何?
次のアドレスに(正確に)0.030000ビットコインの支払いを行うことができます:
bc1q0aezj0rky2v5dghu0ug3aq4qujasfakru9mugv支払いが完了すると、同じアドレスへのトランザクションをフォローアップします。このトランザクションには、トランザクションの詳細の一部として復号化キーが含まれます。[詳細情報.. ]
以下に復号化キー を入力して、復号化プロセスを開始し、すべてのファイルに再度アクセスできます
ファイルはDEADBOLTによってロックされています。
⚠️ Important Message for QNAP ⚠️
All your affected customers have been targeted using a zero-day vulnerability in your product. We offer you two options to mitigate this (and future) damage:1) Make a bitcoin payment of 5 BTC to :
You will receive all details about this zero-day vulnerability so it can be patched. A detailed report will be sent to security@qnap.com.
2) Make a bitcoin payment of 50 BTC to :
You will receive a universal decryption master key (and instructions) that can be used to unlock all your clients their files. Additionally, we will also send you all details about the zero-day vulnerability to security@qnap.com.
Upon receipt of payment for either option, all information will be sent to you in a timely fashion.
There is no way to contact us.
These are our only offers.
Thanks for your consideration.Kind regards,
the DEADBOLT team.Your files have been locked by DEADBOLT.
⚠️QNAPの重要なメッセージ⚠️
影響を受けるすべての顧客は、製品のゼロデイ脆弱性を使用して標的にされています。この(および将来の)損傷を軽減するための2つのオプションを提供します。1)以下に5BTC のビットコイン支払いを行います:
パッチを適用できるように、このゼロデイ脆弱性に関するすべての詳細を受け取ります。詳細なレポートはsecurity@qnap.comに送信されます。
2)次の宛先に50BTC のビットコイン支払いを行います:
すべてのクライアントのファイルのロックを解除するために使用できるユニバーサル復号化マスターキー(および命令)を受け取ります。さらに、ゼロデイ脆弱性に関するすべての詳細をsecurity@qnap.comに送信します。
いずれかのオプションの支払いを受け取ると、すべての情報がタイムリーに送信されます。
お問い合わせの方法はありません。
これらは私たちの唯一のオファーです。
よろしくお願いします。よろしくお願いいたし
ます。DEADBOLTチーム。ファイルはDEADBOLTによってロックされています。
上記の例は2022/5/14に感染した例
「0.03ビットコインを俺たちに振り込めば、データをもとに戻してやるぜ?」と書かれている。
いわゆる身代金のこと。
実際に払ったら直ったという事例もあり。
日本円で言うといくらぐらいかは、日によってレートが変わるので何とも答えずらい。
↑この画像の例では8万4千円ぐらい。
身代金値上げ 2022/6/17に感染した場合の例
2022/6/17にも新たな感染事例を確認!
身代金が0.03bitcoinから0.05bitcoinに値上げされている!!
といっても、bitcoinの時価総額がここ最近で暴落したので実際のお金に換算すると先月とあまり変わっていない。
↑クリックしたら0.05bitcoinが何円か確認できる。
↑この画像の例では14万26円ぐらい
bitconの価値が最近下がってきたから値上げしたのか???
データを取り出す手順
snapshotをとっている場合の手順
NAS直下各フォルダ内に存在する@Recently-Snapshotにアクセスする
データのバックアップを取ったタイミングごとにフォルダが出てくるので、その中からデータをひっぱてくれば無事である事例がある。
【5/23追記・注意事項】
原則、スナップショットのバックアップデータはPCにコピーしたほうがいい。
NAS内にコピーすると、容量オーバーでスナップショットのデータがコピー中に全部消えて手詰まりになる事例あり。
snapshotをとっていない場合
QNAPのNASサーバーに外付けのUSB-HDDが接続されていれば、導入時にバックアップスケジュールを組んでいる可能性がある。
ダメもとで外付けUSBハードディスクの中身を確認するしかない。
外付けHDDまだ感染が広がるのかどうかは、現時点で情報なし。
↓
QNAPのNASサーバーに直接USBで接続された外付けHDDにまで感染は広がるので、確認しても意味ない。
駆除方法(注意が必要)
駆除方法。これ以上ファイルを暗号化されたり、管理画面にブラウザでアクセス時に下記の画像が出る症状を解消する手段。
この作業自体はデータ復元の手段ではない。
さらにこの駆除の作業を行うと、ビットコインを払って複合化(ファイルを元の正常な状態に戻す)ことはできなくなる。
実際に払ったら本当に元に戻る可能性もあるので、おすすめはしない。
判断はお任せします。
ファイルの追加
下記のデータを配置をダウンロードする。
エクスプローラー(PCでファイルを見るベージュのアイコンのやつ)で、\サーバーのIPアドレス\Publicに配置する。
コマンドラインでの操作
ポータブル版のteratermをダウンロード
Tera Term ポータブル版のダウンロード - 窓の杜 (impress.co.jp)
ダウンロードフォルダにアクセスし、teraterm-4.106を右クリックして「すべて展開」を選択。
「teraterm-4.106」フォルダ内の「ttermpro」を開く。
・Host: NASサーバーのIPアドレスを入れる。ポート番号は不要
・TCP port# 22のままでいい。
・Sevice: SSHのままでいい。
OKを押すと、警告画面が出てくるので、キーボードの「C」を押すとコマンドラインの画面に移動する。
下記を参考にコマンドを実行してシェルスクリプトを実行する。
[~] # cd /share/
[/share] # cd Public
[/share/Public] # chmod +x clean_deadbot_v1.sh
[/share/Public] # ./clean_deadbot_v1.sh
start to move deadbolt malware files
done
入力するのは「#」の右側のコマンドだけ。
感染条件
次のいずれかに該当
- ポート開放(ポートフォワード・ポート変換)による外部アクセスをポート8080番で利用している
- myQNAPcloudLinkを利用している(勝手にオンにされてる?)
感染事例が確認され始めたのは2022/5/14で、既存のランサムウェア「DeadBolt」系の亜種と思われる。
myQNAPcloudLinkとは?
VPNやルーターでのポート開放などを設定せずとも、QNAPのサービスを経由して社内のNASサーバーに外部アクセスできる追加機能。
初期値はオフになっているはずなのだが・・・
意図してオンにしている人が感染しているのか、別経路で観戦してその後オンに強制変更されるのかはまだ不明。
VPNで外部アクセスを使っていたのに感染した!
VPNであれば理論上感染しないはずだが、それでも感染したという声がある。
しかし、よくよく確認すると全員が、VPNとあわせてポート開放も行っていた。
だからVPN経由で感染したとは言えない。
今後の対策
- 感染しないようにする
- これ以上被害を広げないようにする
ための対策について。
具体的に行うべきことは、
- システムポートの変更
- UpnPの無効化
- adminパスワードの変更
ウェブ管理画面へのアクセス方法
まずは管理画面にアクセスする必要がある。
ブラウザ(インターネット見るやつ)で
にアクセス。
ユーザー名はadmin
パスワードも叩いてログインする。
デッドボルトの画面が表示される場合
そもそもブラウザにこの画面が出るなら、「駆除方法」で開設した手順を間違えている可能性がある。
今後ビットコインを払って複合化を試みる可能性があるなどで
駆除しないのであれば、
http://サーバーのIPアドレス:8080/cgi-bin/index.cgi
にブラウザからアクセスすればログインできる。
レイアウトが崩れる場合
駆除しようしてなかろうと、こんな感じになることがある。
IE(Internet Exploler)でならレイアウトが崩れずに開ける場合があるらしい。
ChromeやEdgeでレイアウトが崩れるなら、IEでのアクセスも試してみてほしい。
システムポート変更
コントロールパネル>システム>一般設定 を選択
システムポートを初期値の「8080」からほかの値に変更する。
ほかの機械と被らなければ基本何でもOK。
不安な人は「8888」にしてください。
UPnP無効化
ルーター側でポート開放をしていなくても、外部アクセスを可能にする機能??
オフにしておいたほうがいいらしい。
管理画面上部の検索ボックスに「upnp」と入力>サービス検出 を選択
UPnPサービスを有効にする のチェックを外す。
そして適用を選択。
ユーザー「admin」のパスワードの変更
コントロールパネル>権限設定>ユーザー>adminのアクションの鍵マーク
古いパスワード:現在この管理画面にログインするときに使っているパスワード
新しいパスワード:変更後のパスワード
パスワードの再入力:変更後のパスワード(もう1度入力)
適用。
おそらくログアウトさせられるので、adminと新しいパスワードでログインする。
ログイン出来たら変更成功。