皆さん「Locky」って知ってますか?
2016年2月中旬ぐらいから世界中に広がっているウィルスです。
この新しいLockyウイルスに感染するとファイル名が32桁の英数字に変換され
さらに暗号化されてしまい現段階では復号化の方法がないというもの
更に壁紙が黒背景になり赤文字で『すべてのファイルは、RSA-2048およびAES-128暗号で暗号化されています。~~』等と書かれたものに変更される場合もあるとか。
更に暗号化したことを示す脅迫テキストファイル「 _Locky_recover_instructions.txt 」もご丁寧についていて
中身は 日本語で記載されていて、感染マシン言語設定に合わせて多言語対応してるようで、
暗号化されたファイルを復号化するためにお金を払えとか
よくわからないソフトを購入しろだのといった内容が書かれているそうです。
(長々書きましたし、まだまだ長くなりますが、備忘録のため続けます。)
はい!!
難しいこと書きましたが、会社のサーバーが金曜日に感染しました!!!
お昼休みで自席で食べてて、食べ終わったころに
社員K 「がちゃぴんさん、ちょっとおかしなことになってるねん。ちょー見て」と呼びに来た。
私 「またぁ~変なこと言うんやろ~。私に言えば何でも解決してくれるって思ってるやろぉ~
おかしなことって私が教えてほしいわぁ。 」
社員K 「いや!解決すると思ってるに決まってるやん。まぁ、そう言わんと、見てみて。
見積書作ろう思ったらファイルがこんなことに・・・」
私 「えっなに?・・・あるやんここに(何個かあった)。この上の変なファイル名は?」
社員K 「それを聞きたいねん。もっとここにあってん。」
私 「LOCKYファイル?なにこれ?ググってみた?ググったらこんなん分かるって・・・・(検索する私)」
私 (・・・LOCKY ウィルス・・・が並んだ記事が何個かある・・・やばくないか)
私 「ちょっと待って!?ウィルス?何、何て書いてある?・・・・・これやばいやつかも」
私 「Yさ~~ん(情シスの上司)。ちょっと~~~。なんか大変!見てみて!」
取りあえず、私は必要だというファイルをバックアップファイルから救出して渡してあげて
Yさんは、サーバー保守しているパートナーに連絡中。
そんな中、私が、サーバー全体に「*LOCKY」で検索してみたところ・・・・・
「F67091F1D24A922B1A7FC27E19A9D9BC.locky」
「_Locky_recover_instructions.txt 」
こんなのが沢山!!!!!サーバーの中の案件が入ってる1つのフォルダ検索したら2万5千ファイルぐらい出てきた。
他のフォルダにも沢山見つかった!!
そっから怒涛のような状況がスタート
その時点で13時30分。
次のサーバーの同期化が14時に開始される。
パートナーがすぐコピーをストップさせてくれたので最新のバックアップデータを守ることができた。
確認したら昨晩24時のデータと朝5時のデータには異常がなかったので
朝から昼までの間で感染したと考えられた。
危険なので物理的にもバックアップ媒体を感染したサーバーと切り離し、
全社員に手動でウィルスバスターを走らせる広報をするとともに
サーバーの被害状況を捜査。
保守パートナーにも駆けつけてもらい、今後の動きを話し合った。
①本日更新したファイルを壊れる前にサーバーからローカルPCに救出できるものはしてもらう。また、本日から週末使うであろうファイルもローカルへ。
すでに変換されてたら安全のため切り離したバックアップサーバーから直接拾ってあげる。
②サーバー上のウィルスバスターは最新パターンだったが、検索方式を「従来型スキャン」から「スマートスキャン」に変更する。
◆違い
<スマートスキャン>
頻繁にアップデートされる最新のスキャンサーバのパターンに問い合わせをすることによって、常に最新の防御で守られている。
<従来型スキャン>
クライアントマシンにあるパターンファイルを使ってしかマルウェアを検出できないため、最新のパターンが配信されていない場合は最新の脅威に対応できない可能性が高い。
③クライントPC全台をスマートスキャン型にバージョンアップし、再度スキャンする
1台PC上で感染してるのが見つかった。感染源はこの1台か?
他にもあれば、せっかくサーバーを綺麗にしてもまた感染してしまう・・・
④ネットワークから感染したファイルサーバーを切り離す。(ここから社員はファイルサーバーには一切アクセスできない)
⑤サーバーにあるデータを全削除
⑥朝5時のバックアップデータに戻す
※感染ファイルだけをリストアするより、時間短縮
当社コールセンターも持っており、パソコンたくさん!!だし、
コールが終了後、データの書き出しをしたいので、サーバーの切り離しを
20時まで待ってくれと言われるが、遅れれば遅れるほど、当社のファイルの多さだと
来週の始業までに間に合わない可能性がある。
19時前に取った行動
取りあえず、私と上司とパートナーの3名は
夜ご飯
を食べに行った(笑)
お腹空いて、これから続く徹夜を覚悟して「とりあえずご飯食べに行きません?」って提案。
「そうね。そうね。長い夜になるしね」
ところが、私は食べたあとお腹いっぱいでちょっと眠かったwww
それからそれぞれ作業をして・・・上司は途中数回仮眠取ってたけどwww
最新ウィルスバスターにならないパソコンもあって手間取って
全PCにウィルスが入ってないことを確認したうえで、
取り外したサーバーをネットワークに戻したいけど、
なかなかチェックが終わらない。。。。
でも時間的にもうコピーを始めないと間に合わない
朝方、ヘロヘロになった私たちの脳では、もうあの1台で他にはないんじゃない?!
って安易な結論にいく。
パートナーに「GO!」を出した。
来週火曜日がドキドキだ。また感染しないことを祈る!!!
きっとまだ、パートナーががリモートで作業をしているはず。
会社を出たのは、朝の7時・・・
上司はどうも電車で帰りそうだった。
でも私はもう無理だった。このまま電車に乗ったらどこまでも行く自信があった
上司は途中寝たしねwww
私 「Yさん、それぞれタクシーで帰りませんか?私ちょっともう無理です・・・使っちゃダメですか?」
Yさん 「そうね。この時間だったら掴まりやすいだろうしね。承認するよ」
やったぁ!!助かった。
このまま1時間強電車で帰るなんて無理~の状態だったからホント良かった。
タクシー運ちゃんも私が住む地域に得意な人だったし。
(数日前も残業で乗ったタクシーの運転手は、全然ダメで時間もお金もかかった)
良くしゃべる運転手だったけど、私がどんどんトロンとしてきてたら
なんとか空気を読んでくれて「ナビ住所登録してよかったら寝てていいよ」と言ってくれ
迷ったが、睡魔には勝てずお伝えし眠りについたのでした。
とはいっても爆睡はせず、なんとなく道筋や状況をちらちらと確認は怠らない。
(不正な道通らないか、変なことはないかは自分で気を付けないとね。手には必ず携帯を握って乗ります。)
家ついてシャワー浴びすぐお布団に行くが、
隣の土地で家を建ててうるさいしのもあるし
脳が興奮してるのか、目は眠たいのに脳が寝れない。
アドレナリン出てたのかな??
明後日はもともと休日出勤予定の日。
世の中3連休だが、私はバタバタです!
