QNAPのNASがDeadboltにやられたので復号してみた

やられた…。
ある日、自宅のNAS(TS-412)の管理画面にアクセスすると下記のような画面が表示された。

調べてみた所、自宅のNASがランサムウェアのDeadboltにやられて管理画面が置き換えられたのだった。

まさかNAS狙い撃ちのランサムウェアがあるとは考えもしなかった。
そしてNAS内の全ての写真や文書などが暗号化されてしまった…。暗号化されたファイルはすべて拡張子が.deadboltになっている。
とりあえずネットの情報を調べて以下を実行した。

　・上記のランサムウェアの画面が必要。これは上記に記載されているビットコインのアドレス「bc1q・・・」が振り込みの際に必ず必要になるから。これが犯人に振り込むための振込先となります。
　・SSHでアクセスして実行されているランサムウェアを停止してコマンドでファームウェアのアップデートを行う。

その後メーカーQNAPのサポートに連絡。
ただ、私もIT業界にいるのでメーカーに暗号化されたファイルは復号キーがなければ復元できる術はないのは、わかっている。
その後、メーカーサポートはQNAP NASにインストールされているリモートサポートツール（ヘルプデスク）でマルウェアの駆除はしてくれたが、バックアップやスナップショットがなければこれ以上どうしようもないとのこと。
TS-412にはスナップショットの機能もなく、バックアップも取得していなかったので、この時点でメーカにできることはもうない。

結果として自分で復号キーを入手するしか方法はない。
そこで腹を括り、犯人に要求されている0.05ビットコイン（約15万）を払ってみることにした。（金額は人によって違う場合もあるようだ。）
先に言っておきますが、払っても確実に復号キーが得られるとは限りません。私は最後の賭けとして実行しただけです。
幸いbitflyerのアカウントは持っているのでビットコインを送金してみようとした所、送金先の氏名などの情報が必要とのこと。マネーロンダリングを防ぐためトラベルルールというのがあり、その情報がないと送金できない…
しかし、犯人の送金先名などわかるはずもなく…

更に調べると同様に支払って復号キーを入手した人がいるブログを見つけた。
ここから、海外の取引所（バイナンス）のアカウントを開設し、bitflyerからビットコインを送金できると理解した。
そこでバイナンスで口座開設し、そこにbitflyerから送金した。ただ、ここで注意だが、バイナンスで犯人に送金できるのはバイナンスが先ほど書いたトラベルルールに従っていないからなので、日本でいつまでこのバイナンスが利用できるのかは不明。
またバイナンスではビットコインをクレジットカードで購入できるが多くのクレジット会社が仮想通貨を購入できないようにしているようで日本からは購入できなかった。そのため、bitflyerに現金を入金して、ビットコインを買って、バイナンスの自分のビットコイン口座に振り込むという手順を踏む必要があった。

バイナンスの口座開設は日本からスマホで完結できる。免許証があればすぐに口座が開設できる。
bitflyerからの送金先の口座の確認方法は、バイナンスにログイン後、画面右上の「ウォレット」－「フィアットと現物」を選択して画面内の「btc（ビットコイン）」の「入金」を選択すると下記のような画面が表示されるので「入金先」で「BTC」、「仮想通貨を選択」で「BTC」を選択すると自分のアドレス（※下記の黄色枠内）が確認できる。

そしてバイナンスから犯人のアドレス宛に0.05ビットコインを送金。
犯人のアドレスは最初の置き換えられてしまった脅迫画面に記載されている。

そひて、振り込んだ後はもう待つだけ。あとはバイナンスの管理画面から取引履歴を追うことで、復号キーが得られたか確認できる。

バイナンスの管理画面から確認する場合はログイン後「ウォレット」ー「取引履歴」から「出金」の記録を確認します。

下記のような画面が表示されたら取引欄の「TxID」（下記黄色枠）のリンクをクリックします。

下記のようなページが表示されたら画面下部の「Outputs」欄まで移動します。

Outputs欄では自分が「bc1q…（犯人あてアドレス）」に0.05ビットコインを入金したことが確認できます。
この欄の「Address」に記載されたリンク「bc1q…」をクリックします。

下記のようなページが表示されたら「Transactions」欄内にある「Hash」の上の段をクリックします。

すると下記の「Outputs」欄の一番下に「OP_RETURN」という欄があり、その値（下記ではea075…）が得られたことがわかる。ちなみに私もこの確認方法に手間取ったので、実際にこのページを確認したのは振り込んでから1日以上経過しているので、犯人がいつ復号キーをくれるかまではわからない。

問題なく復号出来ることも確認したので、あとは復号ソフトにひたすら復号してもらうだけとなりました。高い勉強代でしたが、結果として元に戻せて良かった。

ちなみに復号の際に、ご丁寧に犯人は復号用のコマンドも用意してくれていて、上記の脅迫画面で復号キーを入力すると復号してくれるのですが、これはたまに実行に失敗するケースもあるようです。私はさすがにそれを使う気にはならなかったので、下記から復号のソフトをダウンロードして復号しました。

このソフトを利用した場合、間違った復号キーを入力しても当然復号できないので何も問題は起きません。面倒なのは一度QNAPからローカルPCに暗号化されてしまったファイルをコピーする必要がある点です。これはこのソフトがローカルPCのドライブ、フォルダしか指定できないためです。

https://www.emsisoft.com/ransomware-decryption/deadbolt/

もし、これを読んで運よく復号できたらお礼にビットコインくれたらうれしいな、とか言ってみたり。(^^;
ビットコインアドレス　1CRoHooAJqZ7UwE3KsGmj5S2xGkgwtQ8g8