『やばい!』拡張子が「muhstik」になってしまった件

server
NASにマルウェアーが混入!


NASが不調に陥る

少し前からNASの調子が良ありませんでした。
使ってるNASはQNAP社のTS-231P。

このNAS、事務所スタッフのデーターを万一のためにバックアップするもの。
最近調子が悪く、ちょいちょい繋がってないし、昨日なんか管理画面にも行けない状態。
大事なデーターがバックアップできていないと困るので緊急に処置を施すことに。
とは言っても、フォーンマットはリスクが多い。
良い方法は無いかと調べてみると、不調の際は工場出荷時に戻せばHDDの中身は
温存できるとの事。
マニュアル見つつリセットボタンを押して工場出荷状態に戻す。

このNAS、何かあるごとにピーピーとビープ音がしてうるさいヤツ!
シーンとした事務所の中にビープ音だけが何度も鳴り響くのでちょっと気が引けるし
きっと「あっまたあの人何か触ってる」って思われてるはず…(´Д⊂ヽ

そんなこんなでなんとか2時間余りを費やして復旧。
ただ、復旧したとは言えど動作が緩慢なような気がする…
やっぱりフォーマットした方が良かったかなと思いつつも時間の制約もあるし。


ファイルが無い!

翌日、朝からスタッフの一人が
「以前にもらったPDFファイルが無いのでもう一度下さい」と言ってきた。
ならばと、持っているファイルをネットワークで共有して渡す。

暫く仕事してると今度は昼前に親分が険し気な顔で「ちょっと来て」と…
行ってみると「デスクトップに置いてあった大事なデーターが無い」と…
今度はEXCELのデーターらしい。
NASのバックアップデーターを見に行ってみると、データーはあるものの
ファイル名の末尾に「.muhstik」と余分に拡張子が追加されている。
それに各フォルダー内に「README_FOR_DECRYPT」ってテキストファイルが
勝手に追加されている….
コイツは後で調べるとして、まずファイルを復元してあげないと。

自分のデスクでバックアップから持ってきた「.muhstik」が追加されたファイルの
ファイル名を修正してEXCELで開いてみる。
EXCELが立ち上がろうとするものの拡張子がどうのこうと言ってくるが
ファイルは開いてきました。
が、しかし中身は文字化けした文章で全く使い物にならない。

バックアップされたファイルは約1.85GB。
一応フラッシュメモリーにバックアップファイルをコピーし開かない可能性は大きい
と言って渡すが、よっぽど大切なファイルらしく親分焦りまくり…


とにかく原因を追究しないと!

何はともあれこうなった原因を見つけないと対策もできない。
まずは「.muhstik」に付いて調べてみる。
日本語で書かれた情報が少ない!
でも、どうやらランサムウェアーに感染した疑いがあるようです。

自分のファイルはどうなっているのか…
不安になり調べてみると…
「.muhstik」が追加されたファイルが勝手にできてるし「README_FOR_DECRYPT」って
テキストファイルも各フォルダに1個できてる。
それに、ご多分に漏れず請求書やら日報やらEXCELデーターがごっそり無くなって
フォルダーが空っぽになってるし…..(・_・;)マイッタ

が、幸いなことに図面のようなマイナーなファイルは改ざんされて無く
どうやら一般的なEXCELやWORD、PDFと言って有名どころのファイルが
削除の対象にされているようです。

そう言えばさっきの「README_FOR_DECRYPT」ってテキストファイル
中身はこんな感じ。

訳が分からないので訳してみる。

結局、訳しても全く意味が分からない。

よくよく考えてみると、拡張子を変えられた上、開くことができなくなっている。
それにこの文章。
なんだか改ざんしたファイルを復縁してやるから金よこせって事なのかな・・・
などとふと考えてしまう。


NASを停止し処置を施す

まず真っ先に全員に告知しNASを停止しネットから遮断。
そして全員のPC内を「muhstik」で検索し出てきたファイルは完全に削除させる。
そして無くなったファイルの有無を確認させる

結果、ファイルが無くなってるスタッフは私を含めスタッフの約半数。
こんな時頼りになるのはファイナルデーター。
サクッと復元してくれますのでホント助かる(#^^#)

やれやれ、騒動から4時間。
何とか処置が終わったのでNASをフォーマットし再構築開始しました。


落着いたので調査

NASの復旧は慌てる必要も無いので今回の件について調査。
やはりネットには日本語での情報はあまり載ってません。

でも「こちら」に少し詳しい情報が…

やはりQNAPを標的にしたランサムウェアーを仕込まれてしまったようです。
それも最近拡散してきた新種のようです。
海外にも同じような書き込みが複数ありますね。
そして解除法や対策も色々書いてあります。

そもそもQNAPに外部からもアクセスできるようにWebサーバーを立て
「phpMyAdmin」を入れてたのがいけなかったようです。

当初は地方の拠点からのデーターもバックアップできればとの思いで
社外からのアクセスを許可していましたが、実際には各拠点にもNASを
設置しここでバックアップをしているのでもう必要ありません。
それにNASにWebサーバーを立てて何かを発信する訳でもないので…
今度再構築する際はWebなど外部からのアクセスは極力避けるようにしないとね。

とにかく何はともあれ、実害が少なかったことは不幸中の幸いでした。
私のように気軽にNASを構築しているユーザーの方、お気を付けて~!

タイトルとURLをコピーしました