ネットワーク上のあるコンピュータで感染する操作が行われ、ネットワーク上の共有フォルダ、つまるところファイルサーバのファイルがやられて被害が大きく、、、という寸前でした。
実際に自分が対処してた時間帯にはほとんどなかったのだけれど、この数時間に関連情報は増えたいるようです。ESETがリリース出してるのかな? 確認してないけど。事実確認してないでしょ?というありきたりのことを書いただけの記事も他に出ているみたい。ロッキー、Locky、ランサムウェア、ウイルス、身代金、といった単語がキーワードでしょうか。ちなみに一部で出回っている記事にある Java, Adobe Reader, Flash 等の古いバージョン云々は関係なくファイルを開くだけで攻撃成立じゃないですかね。手元で確認した doc ファイルは、開くと中身はまっしろけのものと少しの本文があるものといった数種類。
(追記)検知具合はというと、VirusTotal ではいくつかのエンジンでマルウェア判定、自社で使っているウイルス対策ソフトは届いてからほぼ翌日以降の対応、メールスキャンで使用されるエンジンはこの事故のあとは数時間の対応になったようで 3月にメール着弾が増えた際はいくつか続けて漏らしたあとは隔離成功、という状況。
- 暗号化攻撃ターゲット
- 感染コンピュータにログオンしていたユーザにアクセス権のある、ローカルディスク上のフォルダ
- 別ユーザのユーザプロファイル下には影響していない様子
- 感染コンピュータにログオンしていたユーザにアクセス権のある、ネットワーク上でブラウズできる共有フォルダ
- ファイルサーバ、業務システムサーバでメンテナンス等のために共有されていたフォルダ、複合機からスキャン結果ファイルを受け取るフォルダなど
- 上記フォルダ内の MS Office ドキュメント、画像ファイル、CSVファイル、BATファイルなどが対象
- ソフトウェア的に多数のファイルを暗号化していくので、被害拡大のスピードは感染したコンピュータのCPU次第ぽく、そんなには速くない印象
- 感染コンピュータにログオンしていたユーザにアクセス権のある、ローカルディスク上のフォルダ
- 感染拡大を防ぐ
- 感染コンピュータがネットワークから切り離されるまで脅威はネットワーク上を拡大していくため、ファイルサーバではServerサービスを停止させた
- 共有ドキュメントを暗号化/改ざんする以外の活動は見受けられない
- 感染元の特定
- 感染元の確認と切り離し
- すでにシャットダウン済みで使用者は退社済み、捕まらず
- ネットワークから切り離し、脅威はなくなったと判断してファイルサーバではServerサービスを再開
- 復旧方法
- 直近のシャドウコピーで「以前のバージョンの復元」
- 暗号化後のファイルが残ってバックアップ処理の負担になるのを嫌い、ファイルサーバ上の *.locky 及び _Locky_restore_instructions.txt を検索して全削除
- シャドウコピーが設定されていない、業務システムサーバで使用していた共有フォルダはバックアップ先から復旧
- 感染経路
- 使用者に確認できておらず正確には未確認であるものの、マクロ付きdocファイルが添付されたメールは連日複数観測されていた。ネットワークに接続しないスタンドアロン環境を用意してこれらのいくつかを開いてマクロを実行したところ、接続できない等ネットワークを利用しようとするものがいくつかあったことが分かった=そのどれかはLockyのダウンロードしようとするもの? かもしれない
- (追記)翌日確認したところメール添付のZIPを解凍して得られるdocを開いたことによるマクロ実行と攻撃ファイルのダウンロードおよび実行に間違いなし。