株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

Kaspersky製品ナレッジ 第7回 ~疑似的なランサムウェアによって暗号化されたファイルを"修復エンジン"で復元させる~

皆様、こんにちは。カスペルスキー製品担当SEの小池です。

 

以前お客様から、「ランサムウェアをランサムウェアとして検知するまでに暗号化されたファイルを、自動で復元できるか?」というご質問頂戴したことがございます。

このご質問に関してカスペルスキー製品に限定してお答えすると、修復エンジン (旧機能名はシステムウォッチャ―) という機能で上記のご質問の内容を実現することができます

 

百聞は一見に如かずと申しますので、今回は「疑似的なランサムウェアを実行し、KESW で検知/削除 されるまでに暗号化されたファイルが修復エンジンによって復元できること」を確認してみようと思います。

今回の検証は以下の通りです。

  1. KESW 11.5.0.590 をWindows Server 2016に導入する。
  2. 修復エンジンをOFFにして疑似的なランサムウェアを実行し、結果を確認する。
  3. 修復エンジンをONにして疑似的なランサムウェアを実行し、結果を確認する。

なお、本検証で利用した疑似的なランサムウェアにつきましては詳細を割愛致しますが、GitHubに存在するテスト用ツールをお借りしたとだけ申し上げておきます…。

 

では早速検証してみます。

 

1. KESWをWindows Server 2016に導入する。

今回は修復エンジンの効果を検証することが目的なので、導入方法については割愛致します。

また、今回のテストでは実際に暗号化が開始されないと意味がないので、疑似的なランサムウェアファイルを [信頼するアプリケーション] に追加しました。

(登録せずに疑似的なランサムウェアを実行したところ、ファイル暗号化が始まる前にカスペルスキーが処理をブロックしてしまいました…。)

f:id:networld-blog-post:20201211192441p:plain

 

2. 修復エンジンをOFFにして疑似的なランサムウェアを実行し、結果を確認する。

まず修復エンジンをOFFにします。

f:id:networld-blog-post:20201211192522p:plain

 

疑似的なランサムウェアを実行する前に、暗号化対象フォルダーに.jpgファイルを2個入れました。

f:id:networld-blog-post:20201211192544p:plain

 

疑似的なランサムウェアを実行します。

f:id:networld-blog-post:20201211192602p:plain

 

はい!数秒で暗号化されました・・・。

用意したチョウチンアンコウと皇帝ペンギン親子のイラストもがっちり暗号化されています…。

f:id:networld-blog-post:20201211192701p:plain

 

一応皇帝ペンギンの親子のファイルを開こうと試みましたが、無理でした。

f:id:networld-blog-post:20201211192718p:plain

 

修復エンジンを動かしていないと、暗号化されたファイルは復元されないことがわかりました。

なお、復元はされませんでしたが、疑似的なランサムウェアのファイル自体は悪意のあるオブジェクトとして検知され、削除されました。

f:id:networld-blog-post:20201211192831p:plain

 

3. 修復エンジンをONにして疑似的なランサムウェアを実行し、結果を確認する。

では続いて修復エンジンをONにした状態ではどうなるかを検証してみます。

今後は修復エンジンをONにします。

f:id:networld-blog-post:20201211193102p:plain

 

今回も疑似的なランサムウェアを実行する前に、暗号化対象フォルダーに.jpgファイルを2個入れました。

f:id:networld-blog-post:20201211193122p:plain

 

疑似的なランサムウェアを実行します。

f:id:networld-blog-post:20201211193138p:plain

 

暗号化されて・・・ここから復元されるか・・・!!?? ソワソワ。

f:id:networld-blog-post:20201211193303p:plain

 

即、復元!!とはならず、検証やり直しかな・・・???

と思っていた矢先

卵かけご飯とあさりのお味噌汁が復元されているーーーー!!!!!!

f:id:networld-blog-post:20201211193543p:plain

 

実際にちゃんとロールバックしたイベントが残っていました。

f:id:networld-blog-post:20201211193610p:plain

f:id:networld-blog-post:20201211193628p:plain

 

検証の結果、疑似的なランサムウェアを実行し、KESW で検知/削除 されるまでに暗号化されたファイルが修復エンジンによって復元できることが確認できました!!!

 

今回の疑似的なランサムウェアを用いた修復エンジンの検証は以上です。

今回、修復エンジンの効果をわかりやすくするために画像ファイル (.jpg) を使いましたが、これ以外で修復エンジンの対象となる拡張子は以下のページをご参照いただければと存じます。

https://support.kaspersky.com/KESWin/11.5.0/ja-JP/181512.htm

今回の検証では、修復エンジンによる復元を確認できたほか、暗号化されたファイル自体は削除されずに残るという結果になりました。

この結果については環境依存の可能性もあるかと存じますが、こういった挙動になる可能性もあるという例となれば幸いです。

 

この度は最後まで記事をご覧いただき誠にありがとうございました。

記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。

https://www.networld.co.jp/product/kaspersky/

 

それではまた次回にお会いしましょう!