まず最初に
ファイル名.拡張子.[16進数コード].[メール@アドレス].makop*1
てな文字列が拡張子の後ろについてファイルが開けないからって「.makop」で検索してきた人へ2021/07/07時点では助かる方法はない
感染する前に予防
リモートデスクトップ機能を切る
リモートデスクトップ使う場合はパスワードを設定する
さらにVPN使う
ルーターで外部からアクセス可能なポートを閉じる
重要な話は終わったので以下日記
症状
ある日の夜、録画を撮りだめてパンパンになったHDDを突っ込んであるファイルサーバーの画面を見ると
ClearLock*2見覚えのない表示が出てきた当然覚えがないのでパスワードを適当に打ち込んでもだめでCtrl+Alt+Delete画面で再起動かけて操作できる状態に戻ったんでヤレヤレ思ってたら本当の地獄はこれからだった
ウィルスならWindows Defenderが反応するよなと思ってたら案の定感染してた
Ransom:Win32/Phobos.A!MTBと判定されて駆除はされたみたい実行後だけど
遅え
さっきまで命だったモノが辺り一面に転がる oh yeah
届いた脅迫文
脅迫状と和訳(DeepL)
::: Greetings :::
Little FAQ: .1. Q: Whats Happen? A: Your files have been encrypted and now have the "makop" extension. The file structure was not damaged, we did everything possible so that this could not happen.
.2. Q: How to recover files? A: If you wish to decrypt your files you will need to pay in bitcoins.
.3. Q: What about guarantees? A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests. To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc... not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.
.4. Q: How to contact with you? A: You can write us to our mailbox: honestandhope@qq.com
.5. Q: How will the decryption process proceed after payment? A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.
.6. Q: If I don稚 want to pay bad people like you? A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.
:::BEWARE::: DON'T try to change encrypted files by yourself! If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files! Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.
::: ご挨拶 :::
ちょっとしたFAQです。
1. Q: 何が起こったのですか?
A: あなたのファイルは暗号化され、現在 "makop "という拡張子を持っています。ファイル構造は破損しておらず、このようなことが起こらないように可能な限りのことをしました。
2. Q: ファイルを復元するには?
A: ファイルの解読を希望する場合は、ビットコインでの支払いが必要です。
3. Q:保証はどうなっていますか?
A: それは単なるビジネスです。私たちは、利益を得ること以外、あなたやあなたの取引については絶対に気にしません。もし私たちが仕事や負債をしなければ、誰も私たちに協力しないでしょう。それは私たちの利益にはなりません。 ファイルを返送する能力を確認するために、簡単な拡張子(jpg,xls,docなど...データベースではありません!)と低いサイズ(最大1mb)のファイルを2つ送っていただければ、私たちはそれらを解読して返送します。これが私たちの保証です。
4. Q: どのようにしてあなたと連絡を取るのですか?
A: 私たちのメールボックスに書き込むことができます: honestandhope@qq.com
5. Q: 支払い後、復号化プロセスはどのように進みますか?
A: 支払い後、当社のスキャナ・デコーダ・プログラムと詳細な使用説明書をお送りします。このプログラムを使って、すべての暗号化されたファイルを解読することができます。
6. Q: あなたのような悪い人にお金を払いたくないのですが?
A: もしあなたが私たちのサービスに協力しないのであれば、私たちにとっては問題ありません。しかし、私たちだけが秘密鍵を持っているので、あなたは時間とデータを失うことになります。実際には、お金よりも時間の方がはるかに価値があります。
:::BEWARE::: 暗号化されたファイルを自分で変更しようとしないでください。 データを復元するためにサードパーティのソフトウェアやウイルス対策ソリューションを使用しようとする場合は、すべての暗号化ファイルのバックアップを取ってください。 暗号化されたファイルを変更すると、秘密鍵が破壊され、その結果、すべてのデータが失われる可能性があります。
感染経路
このPhobos(フォボス)というランサムはなぜWDをすり抜けて実行されたのか?
多くの場合、PhobosはRDP(リモートデスクトップ)経由で攻撃対象に侵入することが知られています。攻撃者はインターネット上に開放されているRDPポートを探し当て、ブルートフォースアタック攻撃などを通じてRPDアカウントのパスワードを取得します。これを使ってRDPの不正ログインを行い、攻撃対象のネットワークに侵入して管理者権限への昇格を果たした後に、ファイルの暗号化や他端末への感染などを実行します。
コロナ禍に伴うリモートワーク拡大に乗じたランサムウェア攻撃に要注意!
リモートデスクトップから管理者権限を奪取されればなんの対策ソフトを入れてようが関係なしでなんだってできる
復旧目指して右往左往
本体そのものの駆除はWDとMicrosoft Safety Scannerで間に合ってたからいいが暗号化されたファイル治らない
調べてくとNO MORE RANSOM!ってサイトで種類の判別と復号ソフトの配布をやってくれているのを知った
なんとなく怪しくも感じるが日本サイバー犯罪対策センターからもリンクされてる由緒正しい場所
まあ無理だったんだけど
Avaddon(アヴァドン)と判定されて二種類の復号ソフトをおすすめされたが効果はなし
海外のフォーラムでmakop被害者の会を見つけたがやっぱり現時点では解決策はないとのこと
学んだことGoogle検索で出てくる 復旧ソフトや業社は詐欺で身代金より多額の請求をふっかけて何もできないとかもっとひどい状態になるってことぐらいか
余談
🔍Quick analysis notes on the Makop / Oled #ransomware (.makop) - TL;DR it's secure (AES-256 + RSA-1024, CryptGenRandom).https://t.co/lWq8gxbXAH pic.twitter.com/sRBVURvpXN
— Michael Gillespie (@demonslay335) 2020年2月25日
パスワードはセキュア(安全)ですってPostに対して誤読して
どうしたら復号できますかというリプが付いてるのあるあるすぎて笑う
犯人にコンタクトを取る
払う気はないが…
いや今年入ってマイニングでウハウハなので$100ぐらいなら払ってもいいかも
データ返してって言うとコンな内容で届いた
リモートアクセスをオフにするか、管理者とユーザーのパスワードをすべて強力なものに変更してください。
-
価格 全てのファイルを復号する場合は7000ドル(アメリカドル)、一部のファイルを復号する場合は同額となります。 BITCOINでのお支払いのみ可能です。ビットコインは分散型のデジタル通貨です。
-
2.ご注意ください。 暗号化されたファイルの拡張子を変更しないでください。 インターネット上のプログラムでファイルを解読しようとしないでください。これらのプログラムは機能しません。 復号化プログラムを試す場合は、その前に暗号化ファイルのコピーを取ってください。 私たちのメールだけが、あなたのファイルを解読する鍵を持っています。他の人を信じないでください。
-
3.保証としてのテスト復号 重要ではない任意のファイルを1つ、復号化の証拠として復号化します。 テスト用のファイルは、1メガバイト以下(アーカイブされていないもの)です。重要なファイルが送られてきたと弊社が判断した場合は 復号化を拒否し、別のファイルの送付をお願いすることがあります。
-
復号化処理を行います。 当社のビットコインウォレットへの支払いを待っています。"1LYXkx6VpUCRJazV8SJYiVDWqG6xwcyNiC "です。お金を受け取り次第、あなたにお送りします。 a) スキャンと復号化のためのプログラム。 b) 復号化とコンピュータの保護のための指示書 c) ファイルを復号化するための秘密鍵
アドレスのトランザクションを検索してみると2,000万円ほど振り込まれてら
2021/08/17 修正・追記
上記リンクが切れてたのでbitcoinabuseっていうアドレスを入力すると犯罪行為とかに使用されていないか検索サイトで検索すると3,600万円ほどに被害が拡大してた
詳細なレポートをこのサイトで売ってるけどそれが信頼できるかは不明
お試し復号で画像ファイルを一枚複合してもらった後に、$7,000は無理でしということでDiscount pleaseで今週中に払い込めるなら$5,500に負けるわとのこと
0.019 ETHなら即払えるわといったところこれが限界だそうで
終わりと乞食
みんなも気をつけようねリモートデスクトップ
かわいそうねって人はナニカ恵んでくれ
BitCoin bc1qdfkfr6ap6cl5887zezdlkvqz4akd9pm43kk98x
Ethereum
0x02f72Fc8D1142a02f34fbB1EaF74450c30EbB4c1