ドロップボックス内のファイルがランサムウエアに感染したらどうなるかを試してみました。
ランサムウエアに感染すると、ファイルが暗号化されて拡張子が書き換えられます。
例えば、 aaa.xlsxのエクセルファイルの場合は、aaa.wwwのように全く違う拡張子に書き換えるか、あるいはxlsxのような拡張子に.bbb を加えて、aaa.xlsx.bbbのように書き換えます。
感染した場合は、クラウド上のDropboxの動作は以下のようになります。
最初に aaa.xlsx を削除ホルダーに移動する。
その後、aaa.xlsx.bbbを追加する。
つまり、PC内のフォルダーは、完全に置き換えられるが、クラウド上では、正常ファイルは削除フォルダーに移動して、感染したファイルが追加されます。
削除ホルダーのファイルは復元できます。
ランサムウエアに感染した場合
実際にランサムウエアに感染させるわけにはいかないので、データの暗号化や復号化を1クリックで簡単に行える、EXOセキュリティーと言うSAASサービスの機能を使わせて頂きました。このシステムは低価格高機能のナカナカの優れものです。
前提条件
EXOTESTというフォルダーの中に2つワードファイルとひとつのEXCELファイル、さらに一つのPDFファイルがあるとします。
このファイルすべてがランサムウエアに感染して暗号化されたとします。
■感染前のPC内のファイル
EXOTEST>
y1-1.docx
r1y2-1.docx
r1y3-1manual.xlsx
見積書220210904.pdf
■感染後のPC内のファイル
EXOTEST>
r1y1-1.docx.exs
r1y2-1.docx.exs
r1y3-1manual.xlsx.exs
見積書220210904.pdf.exs
この例では、.exsの拡張子が付加されています。
本物の感染ファイルはexsではなく他の文字列です。
クラウド上のファイル
■削除ファイルフォルダー
■通常のフォルダー状況
復元手順
PC内の TEST>EXOTEST フォルダーを削除する。
ドロップボックスの同期が機能するので、クラウド上のTEST>EXOTESTホルダーが削除される。
クラウド上の削除ホルダー内の
y1-1.docx
r1y2-1.docx
r1y3-1manual.xlsx
見積書220210904.pdf
を復元する。
念の為イベントログで確認 https://www.dropbox.com/events
以上で完了です。
実際に感染した場合は、ドロップボックス内のデータファイルは復元できますが、システムファイルは復元できませんので、バックアップからシステムファイルは復元します。
従って、毎日何らかの形ですべてのパソコンとオンプレミスのサーバーのバックアップは取る必要があります。ネットワークから切り離すなり、バックアップ後電源を切るなりするバックアップ機器が必要です。
実際に感染した場合は
1,県警のサイバー犯罪対策室へ連絡する。
2,IPAへ連絡する。
3,侵入経路調査やウイルス駆除、システム復元を請け負う専門業者へ連絡する。
4,保険会社へ連絡する
等の処置が必要となります。
いずれにしても
1,エンドポイントセキュリティーの強化
2,最新データのバックアップを何らかの形で保存
3,あらかじめ、復旧依頼する業者を選定しておく
4,復旧にはかなりの費用がかかるので、サイバー保険に入っておく
等が必要です。