ランサムウェアにやられたNAS

ファイル名がおかしいのに気がついて、
慌ててNASをシャットダウンしました。
進行中だったのか全て暗号化された後なのか不明です。

ネットワークから離した状態で次回電源入れたら、
スタンドアローンで進行再開されるのでしょうか？
それとも、原因となったクライアントPCがいたはずで、
そのPCから切り離されていれば静止した状態なのでしょうか？

QNAPのNASです。

No.2 ベストアンサー 回答者： Hoyat_for_goo 回答日時： 2020/12/16 19:31

#1です。

詳細な原因と対策は先のリンク先を参照していただきたいのですが、先にも書いているように、NASはそれ単体で１つのコンピュータなので、脆弱なパスワード利用が原因で悪用される（外部から直接侵入される）のです。

ランサムウェア自体がPCが感染したうえでNASが感染するわけではありません（PCとNASはそもそもOSが違いますのでPCには感染しないランサムウェアです）。

ランサムウェアに感染したという時点でランサムウェアそのものがNAS内に存在していますので、そのまま使い続けることはできません。
スナップショットで感染前の環境に戻すか、戻せなければ工場出荷状態、つまり初期化するしか無いのです。

この回答へのお礼

なるほど。

ランサムウェア→ある1つのプログラムであり、
1つのプログラムは、特定のOS用のプログラムであるため、
Windows用プログラムだったらQnapは侵されないし、
Qnap用だったらWindowsは侵されないわけですね。

プログラム＝視覚的には何らかのファイルだと思うので、
NAS内にあったとしたら、どこかに.exe、.comみたいなファイルが
存在すると思うのですが、目に見えない場所に送り込まれるのでしょうか？
厳密な事を知りたく、細かくてすみません。
ご存じでしたら教えてください。

お礼日時：2020/12/16 20:47

No.3 回答者： Hoyat_for_goo 回答日時： 2020/12/17 08:35

#1&2です。

> プログラム＝視覚的には何らかのファイルだと思うので、NAS内にあったとしたら、どこかに.exe、.comみたいなファイルが存在すると思うのですが、目に見えない場所に送り込まれるのでしょうか？

視覚的なファイルと言う表現はどうかと思いますが、プログラムは「表示させない」事も可能ですし、「擬態させる」事も可能です。
私自身、マルウェア対策のプロではありませんからQNAPのNAS向けのランサムウェアの詳細までは分かりかねます。
ただ、一般的にランサムウェアは見つけられても駆除できない様に巧妙に仕組まれるので、基本的に対策は「感染させないようにする」しかなく、感染したら「感染前に戻すしかない」のです。

この回答へのお礼

お話から察するに、様々な巧妙な手口はあるものの、
実ファイルとして存在すると理解しました。
手作業で出来る事を遠隔で行っているという事ですね。
ありがとうございました。

お礼日時：2020/12/24 10:07

No.1 回答者： Hoyat_for_goo 回答日時： 2020/12/16 13:14

まず、NASと言うのはそれ単体が１台のコンピュータです。

なので原因はQNAPのNASそのものにあります。
実例があるようです。
「QNAP NASがランサムウェアのターゲットに？！ 」
https://www.forcemedia.co.jp/blog/randsomeware

NASのスナップショット（要するにバックアップ）していれば、感染前に戻すことができますが、それ以外に対処のしようがありません。
万が一スナップショットを取っていなければ（設定していなければ）そのNASのデータ自体を諦めるしかありません（初期化するしか無い）。

この回答へのお礼

ありがとうございます。
NASがターゲットになるという場合、
どんな感染経路が考えられますか？

ネットワーク内には、
Qnap NAS
Windows10ノート
Windows7ノートが存在しています。

誰かのPCが感染してNASにおよぼすのか、
外部から直接NASに侵入するのか、ファイルを送り込めるのか。
またNAS内にその原因となるファイルが残っているんでしょうか？

五月雨な質問となってしまいましたが、今起きてる事なので焦ってます。
よろしくお願いいたします。

お礼日時：2020/12/16 15:06