HOME技術ウイルス/マルウェアランサムウェア「muhstik」に感染したファイルを復元する

ランサムウェア「muhstik」に感染したファイルを復元する

自宅ではNASを使ってスマホの画像などを自動バックアップを取っています。
しかし最近自動バックアップがうまく動作していないことがありました。
うまくいかなければ手動であげればいいと、あまり気に留めていなかったのですが、先日NASの中身を見てみたら、ほとんどのファイルが.muhstikという拡張子に書き換えられ、開くことができなくなっていることがわかりました。

ランサムウェア「muhstik」

これは、muhstikというランサムウェアの仕業です。
muhstikは、ファイルを暗号化したうえで拡張子を.muhstikに上書きし、各フォルダに「README_FOR_DECRYPT.txt」というファイルを残します。

「README_FOR_DECRYPT.txt」を開くと、ビットコインで要求額を振り込めば復号する、というようなことが書かれています。

muhstikは2018~2019年に出回っているランサムウェアで、NAS(特にQNAP?)を狙って侵入してくるようです。

NASにブラウザを介してログインしようとしても、Proxy Errorと表示されてログインできなくなってしまいました。

muhstikにやられた場合の復帰方法

muhstikによって暗号化されたファイルは、復号するフリーソフトが配布されているので、元に戻すことができます。

ただし、NASのシステム内に本体が入り込んでいる可能性もあるため、念のためNASのすべてのファイルを外付けHDDに取り出し、それを復号化したうえで、NASはリセットして再構築することにしました。

復帰方法にはいくつかの方法があるようですが、今回は「EMSISOFT Decryptor For Muhstik」を使います。

EMSISOFT Decryptorにアクセスします。
「DOWNLOAD」をクリックします。

「decrypt_Muhstik.exe」をダウンロードして起動します。

decrypt_Muhstik.exeを起動すると、最初にライセンスの確認がでます。「Yes」をクリックします。

NASを直接選ぶ方法がわからなかったため(できないのかもしれません)、一旦NASのデータを外付けHDDに出します。
次に外付けHDDをUSB等でコンピュータに接続してドライブとして認識させます(この場合はGドライブ)。

EMSISOFT Decryptor for Muhstikの「Ransom Note」で、「Please select a ransom note:」の欄の「Browse」をクリックして、被害にあったデータのフォルダに新たに生成されている「README_FOR_DECRYPT.txt」を選択します。
このファイルはどこの階層のものでも構いません。

「Start」を押すと、以下のように復号キーが見つかったとメッセージが出ます。

復号化をするフォルダを指定します。
「Decryptor」フォルダに表示されているパスに暗号化されたファイルがない場合には、その項目を選択して「Remove object(s)」をクリックしてリストから消します。
「Add folder」をクリックして暗号化されたファイルがあるフォルダを指定します。
この場合は「Gドライブ」を指定しました。
「Decrypt」を押すと、復号化処理が始まります。

以下の表示が復号化処理を実行している間、表示されます。
「finish」と表示されたら終了です。

わたしの場合、途中で.net frameworkのエラーのような表示が出ましたが、確認したら最後まで終わっていました。

.muhstikファイルとREADME_FOR_DECRYPT.txtを削除する

これで一通り復号化は終わりましたが、このままでは「.muhstik」ファイルと「README_FOR_DECRYPT.txt」がゴミとして残ってしまいます。

これはバッチファイルをつくって消してしまいます。

テキストファイルに以下のように入力して、「del.bat」という名称で保存します(delは任意の名称で構いません)。

g:
cd QNAP\
del *.muhstik /S
del README_FOR_DECRYPT.txt /S
exit

1行目の「g:」は「gドライブをターゲットフォルダに指定する」という意味です。
2行目「cd QNAP\」は、「gドライブ以下のQNAPフォルダ」をターゲットフォルダに指定しています。
今回はgドライブの中にQNAPというフォルダをつくり、そこに全データを保存したので、このように指定しています。
3行目「del *.muhstik /S」は、「.muhstik」という拡張子がついているファイルは削除する、という意味です。
「/S」をつけると、「サブフォルダもすべて対象とする」という意味になります。
4行目「del README_FOR_DECTYPT.txt /S」は、「README_FOR_DECTYPT.txt」というファイルはサブフォルダも含めてすべて削除する、という意味です。
5行目「exit」は終了の意味です。
ここまで入力したら文字コードを「Shift JIS」で保存します。

なお、batファイルの挙動を調べたい場合には、途中の行に「pause」と書くと、それよりも後の処理をする前に何かキーを押すまで止まるようになります。
例えば、3行目にpauseと入力すると、ファイル削除前に一旦停止して、何かキーを押すとファイルを削除し始めるようになります。

後は、このbatファイルをダブルクリックして実行すると、.muhstikファイルとREADME_FOR_DECRYPT.Atxt」がすべて削除されます。

NAS(QNAP)を初期化する

すべての復号化が終わったら、NASをリセットしてデータを戻します。
初期化するには、まずNASの電源を落とします。
ブラウザからのログインができない場合には、最終手段として電源ボタンの長押しをします。
電源ボタンの長押しで終了するとHDDなどの内容が修復不能になる場合がありますので、必要なデータはすべて退避してから行うようにしてください。

NASの電源が完全に落ちたら、HDDを2台とも外します。

この状態でNASの電源を入れます。

「QfinderPro」を起動して、QNAPを認識させます。

「スマートインストールガイド」が表示されます。
「はい」をクリックします。

ブラウザに「ハードドライブが見つかりません」と表示されます。
ここでHDDをQNAPの本体に挿します。
ブラウザの表示が「ハードドライブが検出されました」に変わります。

「システムの初期化」をクリックします。
「工場出荷時の状態に戻す」をクリックしてみたら、私の場合は途中で止まってしまい、うまくいきませんでした。

「スマートインストールガイド開始」をクリックすると、システムを再設定するウィザードが表示されるので、すべて選択するとHDDが初期化されます。

初期化が終わったら、ブラウザ経由で設定したパスワードでログインし、ユーザなどを再設定し、NASのHDDに復旧したファイルをすべて戻します。

今後の対策

今後もこのようなことが起こらないとは限らないので、今後の対策を考えます。
まず、余計なアクセスをさせないために、なるべく外部への公開はやめましょう。
特にphpMyAdminを設定して、NAS上にWordPressを構築していると、ターゲットになりやすいらしいので、なるべくならばやめておきましょう。
もちろんログインパスワードを複雑なものにしておくことも大切です。
そして、App centerから「Malware remover」というアプリをインストールしておくとよいそうです。

関連記事

共有フォルダに接続できない(エラーコード0x80070035)

家で、無線LANを介してローカルネットワークを設定して、共有フォルダでコンピュータ同士、アクセスできるようにしていましたが、突然共有フォルダにつなげることができなくなりました。 共有フォルダに接続しよ…続きを読む

AdwCleanerで頑固なマルウェアを削除する

ネットサーフィンをして、フリーソフトをインストールしていると、コンピュータに余計な設定をされてしまうことが多々あります。 たとえば、ブラウザのデフォルトページを勝手に設定されてしまったり、余計なツール…続きを読む