ランサムウェアの修復ワークフロー
ランサムウェア攻撃を修復するには、次の手順に従います。
はじめに
警告
攻撃を修正すると、攻撃の発生状況を示す証拠が削除される可能性があります。攻撃によって残されたファイルと攻撃の影響を受けたシステムのバックアップを作成することをお勧めします。ファイルが安全かどうかわからない場合は、ファイルを圧縮して実行できないようにすることができます。
その他のリソース
Microsoft Autoruns を使用して検出されないマルウェアを検出する方法
Windows イベント ID の調査 - マルウェア/一般的な調査
問題の範囲を定義する
問題の範囲を把握するには、次の手順を実行します。
-
問題の影響を受けるすべてのエンドポイント とサーバーを特定します。
問題の影響を受けるデバイスのフォルダには、暗号化されたファイルと身代金メモが含まれています。
- ファイル共有に暗号化されたファイルと身代金メモが見つかった場合は、そのファイルを作成したユーザーまたはデバイスを確認する必要があります。
- 後で識別できるように、暗号化されたファイルと身代金メモの複数のサンプルをアクセスできる場所に保存します。
-
侵害されたアカウントを確認します。
どのアカウントが侵害されたかがわかっている場合は、ローカルおよびリモートのファイルの最大範囲を確認できます。ユーザーアカウントのアクセス許可が制限されているため、ランサムウェアがそのデバイスから問題の影響を与えているかどうかを確認できます。侵害されたアカウントを見つけるには、次の手順を実行します。
- 暗号化されたファイルを検索し、ファイルを右クリックして「プロパティ」を選択します。
- 「詳細」をクリックして、ファイルの所有者を探します。
- ファイルの所有者の情報をメモします。
-
または、フォルダを使用して所有者の情報を検索することもできます。フォルダを使用するには、次の手順を実行します。
-
Windows エクスプローラで、暗号化されたファイルがあるフォルダに移動します。
複数のユーザーがアクセスできるネットワークファイル共有を選択することをお勧めします。
-
「詳細」ビューを選択します。このビューには、ファイルに関するさまざまな情報の列が表示されます。
- 列見出しを右クリックし、「その他」をクリックします。
- 下にスクロールしてリストから「所有者」を選択し、「OK」をクリックします。
-
-
感染したデバイスによって、侵害されたアカウントが異なる場合があります。感染したすべてのデバイスでこのプロセスを繰り返し、侵害されたアカウントのリストを作成する必要があります。
- 管理者権限 (ローカルおよびドメイン) を持つ侵害されたアカウントがあるかどうかを確認します。
- アカウントのリストが確認できたら、それらのアカウントが書き込みアクセス権を持つファイル共有を確認します。これらの共有をすべて確認する必要があります。
マルウェアの影響を制限する
これで初期データが得られたので、調査を行う必要があります。まず、ランサムウェアがそれ以上のデータを暗号化しないようにする必要があります。ランサムウェアを停止するには、次の手順を実行してください。
-
感染したすべてのデバイスの電源を切ります。
デバイスの電源をオフにすれば、データを保存できる可能性が最も高くなります。感染したデバイスの実行時間が長いほど、ランサムウェアがファイルを暗号化してしまう時間が長くなります。
-
テスト前に、ランサムウェア: 攻撃の仕組みについてを使用して、ランサムウェアの攻撃方法を特定します。さらに暗号化が行われると、データが失われる可能性があります。
- 一部のランサムウェアは、デバイスの起動時に実行されます。感染したデバイスのイメージを作成してから、感染したデバイスを起動して、ファイルがまだ暗号化され続けているかどうかを確認します。
-
感染したデバイスを特定できない場合は、状況は困難です。この段階でデータを保存するには、すべてのデバイスの電源をオフにします。
これによって状況をいったん止めることになります。これで調査を続ける時間ができました。
-
デバイスの電源を 1つずつオンにして確認作業を行います。1つずつデバイスをクリーンアップして、次のに進みます。
弊社にお問い合わせいただき、Managed Detection and Response サービスを購入されることをお勧めします。これは高度なトレーニングを受けたチームであり、この状況の修復を行うことができます。また、根本原因解析や継続的なセキュリティアドバイスも提供できます。
ランサムウェアの作成者を特定する
ランサムウェアの作成者を知ることで、実際に直面している問題の影響について多くの情報を得ることができます。どのようなファイルが暗号化され、最も可能性の高い感染方法 (どのようにして侵入したか)、永続的に問題が発生する可能性があるかどうかを特定するのに役立ちます。再感染を防止するのに役立ちます。感染したデバイスまたは暗号化されたサンプルファイルからの身代金メモがある場合は、そのマルウェアグループを特定できます。
作成者を特定するには、次の手順を実行します。
-
身代金メモまたはサンプルを https://id-ransomware.malwarehunterteam.com/ にアップロードします。
注
これは、ソフォスがサポートするサイトではありません。
セキュリティを強化する
セキュリティを強化するには、次の手順を実行します。
-
Sophos Central with Intercept X and EDR に移行していない場合は、移行する必要があります。
これはソフォスの最新のセキュリティ製品であり、脅威に対する最善の保護を提供します。
- ランサムウェアから保護する CryptoGuard が含まれています。
- この製品の重要性や移行方法についてご質問がある場合は、お問い合わせください。ソフォスには Rapid Response チームがあり、お客様に移行支援のためにご利用いただけます。
-
脅威対策ポリシー設定に関するベストプラクティスに従っていることを確認します。お客様の環境は最近侵害されているため、この確認は重要です。再感染を防ぐには、セキュリティを強化する必要があります。詳細については、次のリンクを参照してください。
-
すべてのデバイスに最新のセキュリティ更新プログラムが適用されていることを確認します。
マイクロソフトのセキュリティ更新プログラムによって多くの脆弱性が修正され、脆弱性から保護されます。
-
Windows Server 2003、Windows 2008 R2以外、Windows 7、Windows XP など、古いバージョンの OS を使用しているデバイスをアップグレードします。
マイクロソフトが正式にサポートしていない Windows OS には、セキュリティ更新プログラムが適用されていないセキュリティ上の脆弱性があります。
-
インターネットに接続している脆弱なデバイスがないことを確認します。
注
SMB 445、RDP 3389、またはその他のポートが開いていることが一般的です。悪意のある攻撃者はこれらのポートを悪用する可能性があります。
デバイスを確認する必要があります。どのポートが開いているかを確認し、リスクを軽減する必要があります。デバイスを確認するには、次の手順を実行します。
- パブリック IP で Shodan.io または Censys.io を使用することで、お客様の環境外でどのポートが表示されるかを確認できます。
- 不要な公開デバイスやオープンポートがある場合は、ファイアウォールポリシーを変更して露出を減らしてください。
データと通常の操作を復元する
これで、すべてのデバイスをクリーンアップし、Sophos Central Intercept X Advanced with EDR で保護したので、すぐに再起動して実行できます。
これには、次の手順を実行します。
-
バックアップからデータを復元します。
注
根本原因の解析 を実行する場合は、感染したデバイスのバックアップとイメージが必要です。デバイスを復元すると、この証拠が破壊され、根本原因の解析が不可能になります。
- 感染前に作成したデータバックアップを必ず使用してください。
- バックアップ内のファイルのデータにアクセスできることを確認します。
-
デバイスをオンラインに戻します。
- OS が損傷していたり、感染したデバイスのバックアップが十分でない場合は、修復または再構築する必要があります。
- OS の製造元が提供する修復および再構築プロセスに従います。
-
デバイスが正常に動作していることをテストします。これには、次の手順を実行します。
- 必要なリソースにアクセスできることを確認します。
- アプリケーションが正しく動作していることを確認します。
- デバイスが正常に動作していることを確認するために必要なその他のテストを実行します。
-
ユーザーにデバイスへのアクセスを許可します。
根本原因解析
今後、お客様の環境を保護するには、感染がどのように発生したかを把握しておく必要があります。これにより、お客様のネットワークまたは環境の設計と設定の欠陥を特定し、今後のために改善することができます。これを実行するには、根本原因解析を実行します。
根本原因解析を実行するには、デバイスのバックアップとイメージが感染状態にある必要があります。
ランサムウェアの修復の動画
この動画では、このワークフローについて説明します。