ランサムウェアにやられた

対岸の火事だと思っていたランサムウェアだが、管理しているユーザのサーバーがやられてしまった。

リモートサーポート用のポートから入ったのではないかと思われるのだが、暗号化通信にパスワードもかけていたが意味が看破された様だ。

起動するとこの画面が出て、これは別のサイトからのものだが同じ画面で拡張子を.bipにする新種のランサムウェアの様で復号する情報が見つからず、バイナリで開いたのだがヘッダだけいじっているのでもなくきっちり暗号化されていたので復旧は困難だ。

今回、ファイルサーバーの部分もあって、バックアップデータがやられてしまいアウト!

システムや他のものは完全復旧できたのだがデータベースがやられてしまい、このバックアップを別のドライブにすると言う事を後回しにして快適操作を中心に対応していたので手遅れになってしまった。

まぁ操作ログファイルに発行していたSQLをそのままはき出していたのでそこからデータの復旧は可能なので、少し手間だが、最悪の事態は回避出来そうだ。

しかし、SQLサーバーが動いているのにそのファイルも全部暗号化されてしまいお手上げだ。

色々と復号ツールも見つかるのだが、このランサムウェアはどうも新種の様で見つからず。

ファミリーはわかったのだが、そのツールでは無理だった。

バイナリエディターで中身を見たのだが、確かに暗号化されていて復号する必要があるのだが、そもそも暗号化なんでキーがわからなければ復号出来るはずもなく、この開発者のところに行って、おもいっきりPC破壊したい衝動にかられてくる。