TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼
がんばれマカフィー Part99 / McAfee
フリーのアンチウイルスソフト Part31
最悪ウイルスバスター2007
☆彡Kerio Personal Firewall 2.1.5 Rule 21☆彡
◇Avira Internet Security 2013 Part.4◇
ノーガード戦法こそ最強
セキュリティ関係のMLの太田敏文ってどうよ。
【最強】ガンガンウイルス【新種】
JAVAスクリプトを無効にしてる人、その理由は
Norton2007 VS Windows Live Onecare

ランサムウェア総合スレ Part5


1 :

話題のランサムウェアの情報を共有しましょう。

ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。

残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。

攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)

■前スレ
ランサムウェア総合スレ Part4 [無断転載禁止]©2ch.sc
http://tamae.2ch.sc/test/read.cgi/sec/1468625700/

■テンプレ
スレ立て時には本文の文頭に「!extend:checked:vvvvv::」を入れて立てて下さい。
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。
VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured

2 :
>>1
乙です

3 :
>>1

vvvvvですねGJ

4 :
WannaCryのまとめページ

http://d.hatena.ne.jp/Kango/20170513/1494700355
(一番詳しくまとまってる)

https://blog.kaspersky.co.jp/wannacry-faq-what-you-need-to-know-today/15594/
(Kasperskyのまとめ)

5 :
今回の攻撃で使われたのは
NSAから4年前に盗み出されたツール
つまりWindows10には通用しない

去年の強制10アップデートは結果的に正しかった?
てか、Microsoftはこの脆弱性(の外部流出)を知ってたからムリヤリ10にアップさせようとしてたんじゃ…

6 :
ランサムウェア対策まとめ(日本語)
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
感染したランサムウェアの特定サイト
https://id-ransomware.malwarehunterteam.com/index.php?lang=ja_JP
Bleeping Computer Ransomeware Help
http://www.bleepingcomputer.com/virus-removal/threat/ransomware/
Ransomware Overview
https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#
セキュリティベンダーのファイル復号ツールの紹介
https://blogs.yahoo.co.jp/fireflyframer/34185038.html

7 :
>>1
GJでした!

8 :
Cybereason、ランサムウェア対策ソフト「RansomFree」を無償提供 〜「WannaCry」対応
イスラエル軍でサイバーセキュリティに携わったメンバーらによって開発
http://forest.watch.impress.co.jp/docs/news/1060585.html

9 :
以前こう言うフリーソフトを落として感染したからもう信用しない

10 :
>>1

11 :
>>5
Shadow BrokersがNSAから機密情報を盗み出したのは去年の8月のことで、4年前じゃないぞ
スノーデンと勘違いしてないか?

12 :
せやな

13 :
OSを再インストールする際にWannaCry用のパッチを当てていない状態でインターネットと接続し
て認証しないといけないですがその際に感染することは無いのでしょうか。ルータ経由で接続し
ていれば別に問題ないのでしょうか。

14 :
>>13
ルーターかましてれば大丈夫

15 :
KB4012218とかKB4012225とかは今回のランサムウェア対策には有効なの?
一覧には書いてないけど
どれもロールアッププレビュー(オプション)らしいけど

16 :
訂正KB4012225→KB4015552

17 :
>>14
IPv6だとルータでインバウンド許可してしまってるとアウトでは?

18 :
https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d
メモリ上を走査してWannaCryが使ったRSAの鍵らしき素数を見つけて復号
感染即実行なら成功確率高いかもね

19 :
多分警戒し過ぎなんだとはおもうけど今回の騒ぎと時を同じくして
外部といってもアメリカなんだけど侵入が500回/分とかスゴい試みられてたんだよね
何となくどうしてもWindowsを使わなくていいならAndroidかiOSで済ませちゃう自分がいる

20 :
前スレ>>993

> 993名無しさん@お腹いっぱい。 (アウアウカー Sa5b-hKny [182.249.244.32])2017/05/19(金) 15:06:22.83a
> >>992
> これってMalwarebytesやBitdefenderのAnti-Ransomwareみたいに既存のアンチウイルスソフトと共存できるタイプなのかなぁ?


出来るよ。
アンチウイルスの他にMBARWやBitdefender Anti-Ransomwareも一緒に入れてるけど問題は起こってない。

21 :
データ保管しバックアップはあるのだから大丈夫なはずだけど元に戻す労力たるや考えるだけでぞっとする
万が一にも浸食されて大丈夫な方で様子見

どうやってPC内に侵入するのか、潜伏期間はどの程度なのか
本当は既に侵入されているんじゃなかろうか
不安におもうだけ無駄なんだろうけど

22 :
>>20
そうなんだね、ありがと

https://japan.techrepublic.com/article/35097837.htm
でも評判悪くないみたいなので入れてみるわ

23 :
楽をしたい情シスは
鉄壁系のアプリケーションコントロールか
デバイスガード、サイランスがええね
シグネチャ型は枕を高くして眠れないってのが今回の感想
個人はハッカーの攻撃対象から外れたMacで対岸の火事ってのが気楽

24 :
macって本当に安全なのか?
windowsマシンとつないでいて感染した外付けHDDを
新たにmacマシンに接続した場合そこから感染するのでは?

デザイン事務所などでドライブ共有していることもあるし

25 :
>>24
いやいやいや、、そのレベルの質問ならさすがに知恵袋とかで聞いてくれ

26 :
https://news.infoseek.co.jp/article/19reutersJAPAN_KCN18F06J/
大規模サイバー攻撃、旧ウィンドウズの感染拡大は限定的=専門家

>「ウィンドウズ7」への被害が全体の67%を占めた。最新OS「ウィンドウズ10」への被害は15%。
>残りは「ウィンドウズXP」や「ウィンドウズ・ビスタ」などの古いバージョンだった。

27 :
Windows10ってEternalBlue/DoublePulsarは効かないはずだから
自分で実行したお馬鹿さんが相当数いたってこと?

28 :
一番多いのは今も昔もヒューマンエラーだから

29 :
感染マップhttps://intel.malwaretech.com/botnet/wcrypt/?t=24h&bid=all

30 :
前スレで malwarebytes anti-ransomware お勧めあったからDLして
入れようとしたら Unchecky 先生が警告メッセージ出してきたから
インストールするの止めた

31 :
>>30
おすすめはネタだぞ
http://tamae.2ch.sc/test/read.cgi/sec/1468625700/282-283

32 :
これならどうよ?
ttp://forest.watch.impress.co.jp/docs/news/1060585.html

33 :
>>32
入れてみたけど何も起きないな
大丈夫みたいだ

34 :
前スレの>>988って感染したパソコンをその変の公衆無線LANに繋げたらアウトってことはそこに繋げてる他のパソコンも死ぬのか?

それか感染したパソコンを親機にして誰でも繋げれるようにすればそこに接続したパソコンはみんな感染するん?

35 :
まず今回のWannaCryはWindws10以前のosは感染するけどwin10は発動しない、亜種が出てくれば別だけど
それとは別のリスクでファイル共有の脆弱性に関してはうpデートして無い&未知のウイルスだと死ぬ
現時点でosのうpデートしていればファイル共有の脆弱性からの感染は無いけど実行ファイルを叩けば当然感染する

36 :
>>34
まともな公衆無線LAN事業者がやってるようなサービスだと、(ルーターメーカーによって若干呼び方が違うけど)プライバシーセパレーターの機能があるので、普通はそういうことにならない
http://faq.buffalo.jp/app/answers/detail/a_id/16054/c/1109

個人喫茶店で、マスターが普通のコンシューマー向け無線LANルーターをお店で使ってるようなのは知らんけどな

37 :
>>36
なるほど
分かりやすくありがとう

38 :
なんかWanaCryは脆弱性のあるPCがネットに繋がった時点で感染するらしいね
今後感染しないかどうか心配してる人は現時点で発症してなかったら大丈夫そう?

39 :
>>38
ルーターがある環境なら大丈夫だって

40 :
>>34
前者

41 :
>>40
平気で嘘を書くなよなー

42 :
>>34
脆弱性の滞在してるマシンではそうだよ

43 :
失礼、内在の間違え

44 :
>>34
てめーでインストールしているセキュリティソフトにファイアーウォールとかあるだろうが
公衆LANに繋ぐと普通は自動で何処につないだのか?聞いてきて、答えるだけでポートのセキュリティ設定してくれるわな
Windowsにもファイアーウォールがあるから、自分で全ポート遮断設定しておけば、どこのLANに繋ごうとも勝手に感染などしないわ
てめーの内部からインターネットとかにアクセスした場合は、ランダムにポートを使ってアクセルしているから、
その待ち受けているポートに対して一定時間内に攻撃がされなければ、ハッキングなんてされない仕組みなんだよ
初心者はルーター越しにパソコンを使っているのなら、サーバー設定なんてどうせ出来ていないんだから、
無駄な心配なんてすることはない
WAN側からのパケットなんて、自分からアクセスしない限りルーターで全部遮断されているっての

45 :
個人に関していえば、
・動画配信してるヤツ
・スマホから、自宅PCへ接続して動画とか見られるようにしてるヤツ
・ゲーマー
でかつポート開放なにそれ?レベルの人が感染してるんだと思ってるが

46 :
ルーターがあるからまず大丈夫なんだとして
タブレット型でLTEのSIMさせる奴あるけどあの通信はアウトなの?

47 :
10年来ADSLなんだけど不安になって確かめたらファイル共有関連のポートはデフォルトでは開放!になってたよ
メタルの人は要チェックだね

48 :
>>46
感染例はあるらしい
モデム直結と同じだから更新や設定してなければ当然と言えば当然か
http://news.mynavi.jp/news/2017/05/18/289/

49 :
>>46
Windows7なら、Windowsファイアウォールがパブリックプロファイルになってるなら大丈夫なはず

プライベートプロファイルになってるなら感染する可能性が高い

http://www.atmarkit.co.jp/ait/spv/1003/18/news097_2.html

50 :
LTE回線で全ポートを確認したが、オープンになっているポートはないからその記事の内容はウソだな
そもそもが、ファイル共有などもやらしてくれないからな

51 :
>>50
だから、Windowsファイアウォールなりセキュリティベンダーのファイアウォールなり、それらの設定次第ということでしょ >>49

52 :
>>51
LTE回線では、キャリアそのものがそもそもポートを開いていないから<
パケットが445ポートに到達しないんだよ

53 :
>>52
あー、そうなの?
moperaとかでもそうなんだっけ?

54 :
そう思っているのなら、テザリングで繋いでおいてリモートデスクトップとかを試してごらんよ

55 :
>>53 に自己レス

やはりmoperaの特定APで制限なしのようだ

http://www.drcom.co.jp/support/tec/105

mopera Uでは、本サービスを適用しない、フィルタリングフリーアクセスポイントをご用意していますので、万が一ご利用になれないアプリケーション等があった場合には、お手数ですがフィルタリングフリーアクセスポイントをご利用ください。
フィルタリングフリーアクセスポイント:open.mopera.net
https://www.mopera.net/service/option/internet/packet_filter/index.html

56 :
>>54
へ?テザリング??
テザリングだとスマホがルーター化してるからそれじゃなんの検証にもならんのだよ
テザリングしてる時、複数のデバイスが繋がるだろう?

今いってる話は>>46>>48があえてSIM内蔵PCの話をしてるってことの意味が分からなかったのかい?

57 :
>プロバイダをSPモードからmoperaUに変更し、プロバイダーによって445番ポートをブロックしている

なるほどね
moperaUを使っていて、プロバイダーがポートをブロックしていない条件ね!
だとすると、
大抵のプロバイダーはポートのブロックはしていないから、moperaUでファイル共有とかを使っている人限定かな

58 :
>>56
ネット経由でのリモートデスクトップだよ
プロバイダーなどがサポートでリモート操作とかするだろ

59 :
>>44
そっか
理解出来た
ありがと
アクセル

60 :
Regeditでsmb1無効化にして再起動しても
sc.exe qc lanmanworkstationで調べると
MRxSmb10が残ってるんだがなんでだ
値のデータも0になっているのに

61 :
解決しました
1を停止させたら以後有効化しなくりました

62 :
誰が何のために?--マルウェア「Wannacry」で残る3つの謎
https://japan.zdnet.com/article/35101453/

大規模サイバー攻撃、専門家を悩ませる「奇妙な謎」
http://jp.reuters.com/article/oddities-wannacry-idJPKCN18D0H1

63 :
>>24
君はWii U用のソフトがPS4でも動くとでも思ってるひとなのかね?

64 :
Windows10だけは感染しないとかAmazonプライムだけは
マケプレのアカウント乗っ取り関係ないとか、企業に都合
のいい被害状況になる所がマッチポンプ臭を感じる

65 :
>Windows10だけは感染しない
という件と

> Amazonプライムだけはマケプレのアカウント乗っ取り関係ない

とかいう全然関係のない話を同列視して語っちゃってるところにものすごい頭の悪さを感じる

66 :
全然関係のないと言ってるけど意外と根は同じかも知れんぞ

67 :
そういうのを陰謀論って言うんだぞ

68 :
>>65
頭の悪いやつはすぐ陰謀論と結びつけるからw

69 :
かぶったw

70 :
>>8のRansomFreeってアプリ変なフォルダ作るのな
一瞬感染したとおもたわ
大丈夫なんかこれ

71 :
>>64
>>26

72 :
>>70
それはおびき寄せる罠
http://uirusu.jp/%e6%96%b0%e3%81%97%e3%81%84%e3%83%a9%e3%83%b3%e3%82%b5%e3%83%a0%e3%82%a6%e3%82%a7%e3%82%a2%e5%af%be%e7%ad%96%e3%83%84%e3%83%bc%e3%83%ab-ransomfree-%e3%81%aa%e3%82%89%e6%9a%97%e5%8f%b7%e5%8c%96/

73 :
>>72
今朝まではなんともなかったのに突然表れたからびっくりしたわ、ありがとう。

74 :
要はおとりファイルを設置してそれが暗号化されたことを察知する機能みたいだな
(勿論、別途振る舞い察知機能も備えてる)

最終防衛ラインとしては面白い発想だと思う

75 :
コマンドプロンプトでsc.exe qc lanmanworkstation打ってチェックしたら
dependencies bower
mrxsb20
nsi

こうでたんですが、これは例のSMBv1を無効できていますか?

76 :
おまいらセキュリティ企業の提灯会見に踊らされすぎ

ほとんどのセキュリティ企業は何がどんな風に起こったのかまったく認識
できていないので、多少なりとも解析できている企業の情報を元にそれっぽい
ことを並べて、最終的にはうちの製品でコレだけ被害が防げましたって論拠の
ない宣伝をしてるだけ

基本的には1次感染元はまったく判明していないので、Windowsのパッチが
当たっていないとか、メールの添付ファイルからとか言うのもまったくないとは
いえないけど、主な感染源はWebの広告等からクリックしなくてもプロセスを
実行される系の攻撃なので1次感染したかどうかは運みたいなもの
その後爆発的に感染が拡大したのはWindowsのパッチが当たってなかった
マシンが大量にあったからだけど

Wannacry(WanaDecryptor)の感染開始を2007/05/12 18:00(日本時間)以前と
言っている企業以外は、基本的に自社独自に検体も入手できていないし
まともな解析も出来ていないと思ったほうがよい

現在はWannacry自身のKill機能でDNSの名前解決が出来る環境であれば
プロセスが終了するので、インターネットに直接繋がっている環境のほうが
この件に関してだけは返って安全な可能性も高いけど、Proxy経由のみや
中途半端にインターネットから隔離されて感染しているマシンがローカルLAN
内に存在してWindowsのパッチが適用されていないと非常に危険

携帯のティザリングや公衆WiFiは、仕組み上待ち受けポートを開くことが
出来ないのでSMB経由での感染の心配はないはず

まぁ何にしても色々と挙動不審な感染騒ぎであったことは確か

77 :
>>64
そもそも「Windows10だけは感染しない」というのが間違い。
Microsoftのサイトによると、3月のMS17-010の修正パッチを適応していないOSはwindows10でも感染すると書いてある。
感染しないのは、既に脆弱性修正済みで4月から提供されているwindows10のCreators Updateだけ。
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/

78 :
まずこんなのにひっかかるのってまさにセキュリティって何レベルの放置環境ぐらいしかあり得ない
その上でなんにも考えず日頃からIE使ってるようなのだけ

79 :
>>75
できている

>>77
そのURLのどこに
「、3月のMS17-010の修正パッチを適応していないOSはwindows10でも感染すると書いてある。 」
なんて書いてる?

80 :
>>79
「Windows 10 Creators Update (バージョン 1703) は対策済みのため MS17-010 を適用する必要はありません」の部分だけど、ちょっと深読みすしぎたかな?

ま、MS17-010の修正パッチはwindous10でも出てるしな。
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx

81 :
>>80
WannaCrypt で使用されている悪用コードは Windows 10 には無効であることを確認しています。
ttps://news.microsoft.com/ja-jp/2017/05/15/170515-information/

別にCUに限定してないみたいだけどな

82 :
>>81
それは深読みとかいうレベルじゃなく読み間違いレベル
脆弱性があってWindows10用のパッチが出てること自体は事実だが、パッチが当たってなかったら攻撃を受けるという話ではない。

https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

"The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack."
と書いてある。

83 :
>>82
う〜ん、そうか…
こっちが間違えたようだ、すまん

84 :
>>83
いえいえー

85 :
まあ、なんにしても初心者レベルの何も知らないユーザーは、アローンでルーターを介してネットしているのなら
攻撃対象にならなかったのは幸運だな
企業は以前からそうだが、サーバーの脆弱性に関して危機感のない所ばかりだから勝手にしろって感じですね
指摘されていてもずっと放置しているウェブサーバーがたくさんあるから、
ホームページを書き換えられたりする
クロスサイトリクエストフォージェリの脆弱性だって知らんぷりしてずっと放置していましたからね

86 :
素人向けの対策

・WindowsUpdateは自動にしておく
・LANが不要であってもルーターを使う
・まともなセキュリティ対策ソフトを入れる

実際、これやってるだけで今回は感染しないわけでな・・・・・・

87 :
>>86 お年寄りが感染しているという事実をどうみますか。
初期設定のままだろうに。

88 :
ポート閉じるとかやっておきたいけれども、
正直やり方分からないw

89 :
>>76
> 主な感染源はWebの広告等からクリックしなくてもプロセスを実行される系の攻撃なので

WannaCryに関してはこれは間違い。他の記述はあってるけど。
意外にも、外部から445番ポートでアクセスできるPCは結構多かったということ。
>>47氏が使ってる古いルーターとかね。

2017年5月18日に行ったインターネット検索エンジン「SHODAN」の検索結果によれば、インターネット上で445番ポートを開放している Windows環境は全世界で 50万件以上が確認されました。
日本でも同条件で 3万件近くが稼働しており、そのうち Microsoft が使用停止を求めている「SMBv1(サーバー メッセージ ブロック 1.0)サーバ」の使用が推測されるものが 7割以上を占めていました。
http://blog.trendmicro.co.jp/archives/14920

90 :
>>87
86じゃないけど、>>47のようなADSLルーターもあるみたいなので、WindowsUpdateしてないことと相まって感染したのでは

91 :
ADSLのモデムルーターね

92 :
WannaCryptじゃないけど実際それだけやってても感染したぞ>>86

93 :
今回の件であまりパソコンに傾倒しすぎるのも良くないなと思った
パソコンは1台でいいや

94 :
めちゃくちゃ古いルーターとかなじゃけりゃ普通は閉じてるよ
http://www.js-sys.com/port/
とか
https://www.akakagemaru.info/port/tcpport.php
で閉じてるか自分で確認もできるよ
今回のだったら445でチェック

95 :
あー、>>94>>88宛てでした。
>>93 質問に答えたやったのにスルーとかR

96 :
>>95
すいません
飛ばしてました
ありがとうございました!

97 :
>>95
135,137,138,139,445 全て解放されていないそう
ありがとう

98 :
ポートを閉じるんではなくて、この場合445番をフィルターするんだよ。

99 :
紆余曲折あって現在MSEに原点回帰しているのですがやはり変えたほうがいいでしょうか

100 :
>>99
前スレの>>282-283>>940を見るとそう言えるかもしれませんね

101 :
例のほとんどが防いでいたというあのテスト結果ですよね
やはり検討します

102 :
OSとアンチウイルスの会社は分けたほうがいいかもしれませんね。気休めですが。

103 :
今回の件はNSAが作ったSMB1の脆弱性をついたウイルスがハッカーに盗まれてしまった事を公開しセキュリティパッチを積極的に当てさせる行動をとるべきだったんじゃないかと思ってる。

104 :
>>92 多分だがフラッシュなどの脆弱性つかれたか単純にランサムウェア入りのファイルを気付かず実行したか、怪しいメールから感染とかもあるからランサムウェアは注意しなければならない

105 :
>>94
ルーター側がポートを開いていたって、ローカルIPアドレスにそれをマッピングしないと
パソコンまでパケットが到達しないので、外部からの攻撃は不可能だ
どこでそんな知識を入手しているんだ?
モデム直付けなんだろうね
おまけにファイアーウォールが適正に設定されていない
このレベルはもうどんなアドバイスしてもダメだろうね

106 :
>>88
ポート自体を完全に閉じたければ、445番関連のファイル共有のサービスなどをを無効にする
そもそも、ポートを開くのは該当プログラムだから、起動させなければ開かない
ただし、ネットとメール以外で色々と障害が出るのが予想される

107 :
>>92
そもそも>>86は「今回は感染しない」と書いてるのに、
> WannaCryptじゃないけど
ってどーいうことよw
意味不明にもほどがある

>>103
NSAからウイルスがハッカーに盗まれたわけではない

>>105
結果が閉じてれば問題って話だろう

108 :
最後のやつ、ミスった

閉じてれば問題ないって話だろう

だった

109 :
ルータで意図的にポートを閉じる必要は普通はない
UPnPで無理やりNAPTテーブルを作られた場合に安全という程度

110 :
Kaspersky Labによると、ランサムウェア「WannaCry」に感染したPCのOSの98%は既にセキュリティパッチが公開されていた「Windows 7」で、
「Windows XP」はほとんどなかったという。

 世界中で猛威を振るったランサムウェア「WannaCry」に感染したPCの98%は「Windows 7」搭載だった──。
ロシアのセキュリティ企業Kaspersky Labのグローバルリサーチ担当ディレクター、コスティン・ライウ氏が5月19日(現地時間)、
自身のTwitterアカウントでバージョン別感染率グラフをツイートした。

https://twitter.com/craiu/status/865562842149392384/photo/1

 「WannaCryのWindowsバージョン別感染で、最悪だったのはWindows 7 x64だった。Windows XPはほとんどない」と説明する。
http://image.itmedia.co.jp/news/articles/1705/20/yu_wanna1.jpg
WannaCry感染のWindowsバージョンでの内訳(資料:Kaspersky Lab)

 「Windows 7」はまだ米Microsoftのサポート対象であり、WannaCryを回避するためのセキュリティアップデートはWannaCryまん延の2カ月前には公開されていた。

 MicrosoftはWannaCry発生直後にサポートを終了したWindows XPなどに対してもセキュリティパッチを公開したが、Kasperskyの調査によると、
被害に遭ったユーザーのほとんどが、正規のセキュリティアップデートを適用していなかったことになる。

 米分析会社Net Applicationsが毎月発表している世界OS市場のバージョン別シェアでは、4月の時点でWindows 7のシェアが48.5%でトップだった。
Windows XPは7.04%だ。

http://image.itmedia.co.jp/news/articles/1705/20/yu_wanna2.jpg
2017年4月のバージョン別世界OS市場シェア(資料:Net Applications)

http://www.itmedia.co.jp/news/articles/1705/20/news034.html

111 :
>>110
感染したパソコンの件数じゃなく、感染してしまった企業の件数と個人に特定したデータを是非公表して欲しいね
セキュリティ企業だから、大げさに発表したくてウズウズしているんだろうけど・・・
今回のものの特徴は、WAN網じゃなくて最初に感染した1台がLAN網でワーム活動をして、感染を広げるのが特徴
.exeを踏んだ以外でのネット網経由での個人の感染件数なんてほんの一握りだけだよ

112 :
そもそも7とVistaとWS2008以外はexe踏まないと感染しないんじゃないかな
今回のバージョンはメール経由で拡散された形跡はないらしいからexe踏んだ人は4月以前から出回ってた古いやつに引っかかった、と

113 :
http://i.imgur.com/woDZIqR.jpg


http://i.imgur.com/ASZNs98.jpg


http://i.imgur.com/kLXz0fW.jpg

114 :
>>113
それきっと、WAN網から445番ポートにアクセスしてきたパケットの件数だけだよね
今回の件で企業の脆弱なサーバーは、ワーム攻撃で感染はしただろうけど、
それはほんの一例に過ぎず自己責任です
感染した企業例は少ないはずです
多くても怠慢だと笑うだけですけど・・・

115 :
暗号化されてあぼんするだけだろ山田やキンタマに比べたら余裕だわ

116 :
>>87
基本は初期設定でもいいというだけで、初期設定=安全ってわけじゃねーからな

セキュリティ対策ソフト、ちゃんと更新してねーとか
WindowsUpdateは自動だけど、更新に失敗しているとか
そもそもOSが古くて論外ってパターンもあるでしょ

まぁ分かるなら、今回について言えばSMBv1を明確に無効化したほうがいい
(SMBv1無効にしても、Win7以降のファイル共有は問題ないので)

117 :
なんでぇ、正規のWUやってなかったのが原因なのかよ
自業自得じゃねーか

118 :
パッチ当たってない445ポートから感染したのとかはもういいから
それ以外の愚弟的な感染経緯の情報って出ました?

119 :
脆弱性対策をしてセキュリティソフト入れて怪しいメールは開かない
あとは変なサイトにはいかないのが最低限の対策か

120 :
android(asus zenfon3 laser)でFirefox使って以下にアクセスしたら
firefoxをロックしましたって出たんだけどこれってウイルスですか?

http://www.vitron.pl/jfdya-fudnyxe-riljr-wlbrzgt-hmsi-y43265-lxqiwj-ufvcp-b320175271-msbax-whzmwhgt-glgcxgu-cykyvnkl-vhkw/&sa=U&ved=0ahUKEwjI5YPqyv_TAhXKKJQKHcMgAVEQFggRMAM&usg=AFQjCNFG4GjJpp_8wQ6dRV-QApcPR17bSA

121 :
android(asus zenfon3 laser)でFirefox使って以下にアクセスしたら firefoxをロックしましたって出たんだけどこれってウイルスですか?

http://www.vitron.pl/jfdya-fudnyxe-riljr-wlbrzgt-hmsi-y43265-lxqiwj-ufvcp-b320175271-msbax-whzmwhgt-glgcxgu-cykyvnkl-vhkw/&sa=U&ved=0ahUKEwjI5YPqyv_TAhXKKJQKHcMgAVEQFggRMAM&usg=AFQjCNFG4GjJpp_8wQ6dRV-QApcPR17bSA

122 :
>>118
>パッチ当たってない445ポートから感染したのとか

こいつまるで何もわかってない

123 :
>>121
ポーランド語で建設中としか書いてないページですけど?

124 :
>>120
もしそのURLがウイルス撒くサイトだったらキミはお縄になる可能性がある
特に女性様が涙ながらに訴えたら終わり

125 :
脆弱性っていつも決まって、実行権限が昇格されてしまって、
ブロックしていて実行しないことになっているプログラムコードが実行されちまうんだろ?
脆弱性っていつもバッファオーバーフローなんだよなぁ
配列渡しを考慮しないでポインターからの相対アドレスでどこまでも
処理してしまうプログラムを書いていた昔のプログラマーたちの負の遺産なんだよな
コードが膨大すぎてマイクロソフトは、もうすべてに対処仕切れないんでしょうかね?

これって、ユーザーアカウント制御ダイアログが表示されないで、システム権限とかで実行されちまうんだよな!
これで合っていますか?

126 :
>>119
ありがとう
そう、知りたかったのは一般的なPCセキュリティ対策を講じている前提で
この問題特有の具体的なあるいは新たな原因とその防御法が何かあるのかなあと思った次第です

>>122
ごめんね
わかってないです^^;

127 :
>>110
Windows 7 - 98.35%
Windows Server 2008 - 1.52%
Windows 10 - 0.03%
その他(XP?)合計 - 0.1%

ほんまかいな
XPはこんなに少ないのか?

128 :
Windows10作る時1からプログラム組んでos作ればよかったのに
そしたら負の遺産もどうにかなるだろうし
プログラム経験一切ないから分からないけど

129 :
XPを使ってる人自体も少ないだろうし
XPを使い続けるリスクってのを理解したうえで使ってる人ばかりだろうから

130 :
>>128
何言ってるのかマジでわからん。
過去からの莫大なの資産の継承ができることがWindows最大のメリットなのに。

Windows RTがどうなったか知らん?
それにそもそもWindows 10はセキュリティに強いという謳い文句は嘘ではなかった。

131 :
>>128
枯れたコード使わずにOS作るって
どれだけ危険なことだか分かってるの?

132 :
>>127
XPも10もSMBv1の脆弱性でワームに侵入されての感染はない

133 :
>>130
すまんWindowsRT使ったことないからわかんね
>>131
1から作るとやっぱり危険か

よく考えると1から作ったら脆弱性とか凄いことになるのかwwwww
自分が無知すぎてワロタ
すまん!!!

134 :
前スレで、WannaCryの感染報告してた人が3人ほどいたけど、将来、暗号キーの流出等による暗号化されたファイルの復活に期待をかけて拡張子wncryのファイルを保存してるなら、
WannaCryの暗号化の仕組み上、一緒に生成されている00000000.ekyというファイルも復活の時に必要になってくるらしいので、それもとっておいた方がいいよ

135 :
ランサムだったからこれだけ問題になったけど、これに感染するような所は情報ダダ漏れしてても気付いてなさそうだ
ある意味大規模侵入テストみたいなもので、最低限の対策すらしていな所が炙り出された結果となった

136 :
>>127
XPでのwannacry感染例は世界中どこにも存在しないんよ。
セキュリティ業者が検体を使って故意に感染させたものはあるけど、その場合も伝染させる活動はできないそうだ。
MSはこれに気付いて善意の面をかぶってパッチを配り、XP最強という事実を隠そうとしたけどね。

137 :
>>136
じゃあ、あのXP用のパッチの中身は何だったの?

138 :
>>137
脆弱性自体はあるからパッチの意味はある
ただ今回のワームはXPで動作確認していなかったらしく
XPではワームに侵入されてもクラッシュしてWannaCryの起動までは至らないらしい

139 :
パソコン熟知した人でもランサムウェアとかにかかるとやっぱり動揺するものなのかな
俺はまだかかったことないから分からないけど
なったらたぶん動揺して何をしていいか分からなくなると思う

140 :
>>126
見た目でわかるサイトなんて今の時代そうそうないから無意味
怪しいメールも本人は怪しいと思ってないから開くわけで振込詐欺と同じ
どちらもこの問題特有ではなく、どんなに教育しても行動力のあるバカを止められない環境ではどうしようもない
被害をなるべく減らすようにバカが使う環境は隔離するとかそういう対処しかない

141 :
折角OSにSmartScreenとか装備しても
条件反射で解除してexe起動する馬鹿もいるからな

142 :
>>136
今回のランサムウェアの出来が悪くてそうなっただけで、同じ脆弱性を悪用した新種が出て来たら感染も伝染も出来ることには変わりはないからパッチを配るのは正しいだろう

143 :
これはその通り

144 :
>>138
こマ?もう何が何だかわからないよ

145 :
パッチを当てるOSを最新にするのは当たり前としてセキュリティソフトは本当にWindowsDefenderで大丈夫なのか…?

146 :
勘違いしてるヤツ多いけど
今回のパッチは進入経路をふさぐだけのもの
ウィルス(ワーム)の活動を阻止するものじゃない

147 :
マジかー

148 :
>>145
Proactive protection against the WannaCry ransomware
http://weblog.av-comparatives.org/proactive-protection-wannacry-ransomware/

149 :
ランサムだからこれだけ騒がれたって考えてるやつがまだいるのか
ランサムであることは話題作り一役買ったけど、根本的には大規模なワームだから騒がれたんだよ
たまたま身代金を要求してきただけで、データぶっ壊すこと自体は他のウイルスと変わらん

150 :
>>145

ファイル暗号化型ランサムウエア28種類のテスト
https://avlab.pl/sites/default/files/68files/ENG_2016_ransomware.pdf


検知しファイル暗号化を防げた数/ランサムウエアの種類

感染数0
28/28 Arcabit Internet Security
28/28 Comodo Cloud Antivirus
28/28 Emsisoft Internet Security 11
28/28 Emsisoft Internet Security 12
28/28 Foltyn SecurityShield
28/28 F-Secure SAFE
28/28 G DATA Internet Security
28/28 Kaspersky Internet Security 2017
28/28 Qihoo 360 Total Security
28/28 SecureAPlus Premium
28/28 Trend Micro Internet Security 2017
28/28 Voodoo Shield Pro
28/28 Zemana Antimalware Premium
28/28 ZoneAlarm Internet Security Suite

感染数1
27/28 Avast Internet Security 2016
27/28 Avira Internet Security Suite
27/28 Bitdefender Antivirus Free Edition
27/28 Bitdefender Internet Security 2017
27/28 Dr. Web Space Security
27/28 ESET Smart Security 10 (BETA)
27/28 TrustPort Internet Security

151 :
感染数2
26/28 Avast Free Antivirus 2016
26/28 AVG AntiVirus Free Edition
26/28 AVG Internet Security
26/28 Comodo Internet Security 8

感染数3
25/28 Ad-Aware Free Antivirus
25/28 ESET Smart Security 9
25/28 FortiClient Free
25/28 Norton Security
25/28 Panda Internet Security
25/28 Sophos HOME

感染数5
23/28 Malwarebytes Anti-Malware Premium
23/28 McAfee LiveSafe
23/28 Webroot SecureAnywhere Comlpete

感染数6
22/28 Avira Free Antivirus
22/28 Panda Free Antivirus

感染数7
21/28 Dr Web Katana

感染数17
11/28 Windows Defender

感染数21
7/28 Malwarebytes Anti-Ransomware (BETA)

152 :
ワームを発見して駆除する通信プロトコルが使われてるらしい先見の明が楽しすぎ。鳥類キャリアのアレな。

都立高校の公式サイトで学校見学の受け付けシステム画面に RFC 1149 なのよ。

スマホ画面画像の最上部に RFC 1149 Network って表示されてる。
http://www.mukogaoka-h.metro.tokyo.jp/site/zen/page_0000000_00017.html

去年の見学用の画面だが今年も見学やってたら誰かに行ってこいww

153 :
パソコンを立ち上げたらランサムウェアに感染してた
ってパターンがありますけど、それってどのタイミングで感染してるんですか?
起動した瞬間?最中?
立ち上げの時間はセキュリティ的には甘くなってるんですかね?
あまりパソコンはシャットダウンしない方がセキュリティ的にはいいんでしょうか?

154 :
>>153
起動した瞬間に感染します。
立ち上げの時間は、セキュリティ的に甘くなっているので
危険ですね。シャットダウンは、なるべく行わない方が良いでしょう。。

155 :
>このランサムウェアに感染してしまうと、パソコンの再起動時、
>Windowsが起動する前に身代金を要求するメッセージが表示され、
>OSを立ち上げることができなくなってしまいます。
ttps://www.is702.jp/special/1962/

再起動時に「感染していることに気づいた」ってだけじゃない?

156 :
>>153
大抵は前日とかの前回PC使ってる時、又は何日も前と思っといておk。
今時のはランサムもそれ以外も潜伏期間設けて元凶サイト等を判り辛くさせてる。
PC再起動するまでなら対処出来るが何もせず再起動したらアウトってのもある。

157 :
前スレの147とかにあるshadow explorer、Recuvaのような、
シャドーコピーからファイルを復活させる方法は、
今回のWannaCryでは、結局、ほとんどダメだったん?

158 :
今更だし、半分冗談だけど、拡張子を変更する取り急ぎの方法として、
拡張子を追加するのはどうだろw

コマンドプロンプトで、例えば
for /r %f in (*.*) do copy %f %f.バックアップ
とかやれば、.バックアップという拡張子を足したコピーを作れる

ディスク容量が2倍必要になるとか、チープな方法だがw
でも、ブームが過ぎたとかで消したくなった時は、
del *.バックアップ
で済む

159 :
あれ、144氏とワッチョイが被ってる
ワッチョイも、たまたま同じになる事が稀によくある?

160 :
>>153
種類によるかも知れんが、ランサムウェア側が勝手に落とすので、
そこから立ち上げたら・・・・ って事になる。

161 :
XPで導入可能なランサムウェア対策ソフトはBitdefender Anti-Ransomwareだけ?

162 :
>>157
今回は試した人はほとんど見かけないし成功例は見てないね
まぁご存じのようにransomwareの動作不良だったときのダメモトだし、別に可能性がゼロと確定したわけでもない
ごく短時間での感染拡大だったし、感染後の対処法より感染前の予防法の話ばかりになっちゃったからね

163 :
ここの人たちってRansomFreeとか入れてるの?

164 :
>WikiLeaks、CIA開発の新マルウェア“Athena”を暴露。攻撃対象OSはWindows XP以降すべて
>http://pc.watch.impress.co.jp/docs/news/1060755.html
セkリュティ会社が自作自演

165 :
>>158
拡張子変更での暗号化予防は、基本的に怪しい
というのも例えば、ransomwareの複合感染を以前からちょくちょく見かける
uniqueな拡張子のファイルをさらに別のransomwareに暗号化されるということはつまりはそういうこと
昔のように暗号化されるファイルの拡張子の種類が1桁の時代なら決め撃ちだったろうが、
今の百数十種類が云々なんて単に既存の(使われている)拡張子のファイル群を置いて感染確認してるだけだと思う
OSとransomwareの動作に必要なものだけ除外設定されてて、それ以外は対象、と考えた方がいいと思う
(要はホワイトリスト/ブラックリストと同じ)

2バイト文字拡張子がransomwareからどう見えるか、かかる諸々の手間を単なるofflineバックアップと比べてどうか、という視点は横に置いとくとして

166 :
>>164 これやばくね?ふせげるの?

167 :
>>158
バックアップ作るならISO形式にに固めておけばこれを簡単には改変できない。
マウントすればそのまま使えるし、その状態なら常にREADONLYだ

168 :
>>157
いつものランサムウェアと同じようにボリュームシャドウコビーも破壊されるから難しかったらしい。

ただ、デスクトップとマイドキュメント、外付けドライブの元のファイルはランダムな文字列で上書き後に消去されているので復元は困難だけど、それ以外の場所のファイルは単純に消去されるだけなので、復元ツールで回復可能とのこと

169 :
>>167
WannaCryはISOも暗号化するのに意味あるか?
http://d.hatena.ne.jp/Kango/20170513/1494700355

もちろん外付けハードディスクに保存していつもはケーブル抜いとくとかならわかるけど

170 :
>>169
マウントしているISOを暗号化できるなら、おまえを先生と呼んでやるよ

171 :
>>170
別のランサムウェアは稼働中のVMの実体ファイルも書き換えて起動不能にしてくれるよ?

172 :
>>170
マウントすれば云々は一行目の追加で書いてるんだろ?
なんで都合よく最初からマウント前提の話に変えてるんだ?

173 :
アメリカ製のマルウェアだったら、カスペが効くのかしらね

174 :
【ITpro Report】「WannaCry」が悪用したというNSA製のバックドアツールを試した
http://itpro.nikkeibp.co.jp/atcl/column/14/090100053/051900247/

なかなか興味深い

175 :
>>157
shadow explorerは、あんま使えん。全く見えん。
フリーなら、Glary Undeleteの方が良い。ちと怪しい気もしなくも無いが・・・
なんとなくだが。同一能力のもあるが、有料だ。

176 :
>>164
アメリカ様はやりたい放題だな
まじで国防のためにも国産OSに国産セキュリティ欲しいな

177 :
http://k.pd.kzho.net/1495357229675.jpg
XPじゃね?

178 :
>>177
そりゃ2009年ならXPが現役バリバリやからな

179 :
シャドーコピーってのは要するにシステムが自動的に行っている差分バックアップ
なんで、あらかじめ設定を行っておかないとシステムドライブにしか適用されないし、
当然バックアップ用に指定した容量以上に差分変更が発生した場合にはウィルスが
シャドーコピーを削除していなくても、シャドーコピーから復活することは出来ない

あと、SMBが開いていなければ感染しないみたいな記事が多いけど、SMBが開いて
いなければローカルLAN内での水平感染が防げるだけで、今回の件に関しては
1次感染者はSMB開放の有無とは関係ない

ただ、SMB以外の感染経路が判明していない現状で、何をやっても感染は防げない
かもとは業界的に口が裂けてもいえないのでSMB塞いどけって言ってるだけ

180 :
今回のランサムウェアはSMBv1を無効にしたり、445番とかが開いてなかったらまず
大丈夫という認識でいいんですか?

181 :
>>179
> 今回の件に関しては1次感染者はSMB開放の有無とは関係ない

それは間違い。
https://japan.zdnet.com/article/35101516/
http://blog.trendmicro.co.jp/archives/14920

182 :
>>180
今回のWannaCryに関してはそれであってる

183 :
>>182
そうなんですか
一安心です
ありがとうございました

184 :
まぁ、それを気にするよりWindowsやFlashのアップデートをちゃんとまめにする事を心がけたほうがいいけど

185 :
ソフトウェアの更新をチェックする非常駐ソフトないかな...

186 :
>>183
基本的な事だが、SMBv1と445の他に、Updateはきちんとかけておけよ

187 :
>>185
カスペであるよ
Kaspersky Software Updaterって名前
セキュリティ対策ソフトでカスペルスキー使ってる場合でこいつ使うとセキュリティ対策ソフト側が前回の起動に失敗しましたとかなる時があるけど
今はわからんが少し前はそれで失敗してたけどもう対策はされてるかも
Kaspersky Software Updater使うといいよ

188 :
つ http://jvndb.jvn.jp/apis/myjvn/vccheckdotnet.html

189 :
WannaCry結局メール経由での感染はなかったのか

190 :
RansomeFreeかなり優秀っぽいな
ダミーフォルダ勝手に作るのが難点だが

191 :
>>190
ほんとそれ
最初感染したかと思ってびっくりしたわ
消しても消しても即復活するし

192 :
そろそろ俺の.osiris戻す方法見つかった?

193 :
>>183
ランサムの種類は・・・
ここのずっと下の方の解号ってページの数の10倍はあると思ってたが良い。
上の「はい」「いいえ」は無視。そのずっと下の「復号」て場所だけ見りゃ良い.
https://www.nomoreransom.org/jp/index.html

一つのランサム系統ごとに多数の解号ソフトが組まれている。解号成功は少ないが・・・
それだけ、ランサムは多い・進化が速いと見てよかろう。

194 :
メモリ上で活動して再起動すると消えるタイプとかは個人では対策のしようがないな、企業みたいに通信内容を細かくチェックしてるわけじゃないし
ビットコインのマイニングや情報漏洩が目的のマルウェアならまず気付かれない

195 :
flashの最新て171だよな
adobeの確認サイトだと148になってるけど適当だな

196 :
25.0.0.171だよ
うちではIEでは常時無効にしてFirefoxでは実行時に確認するように設定を変更した

197 :
>>195
http://get.adobe.com/jp/flashplayer/about/
に25.0.0.171が最新ってAdobeのサイトにちゃんと出てるけど

198 :
>>195

>>197のYou have version 25,0,0,171 installedが148になってるのなら更新されてないから手動で入れるしかない
デフォだと更新チェックの間隔が長過ぎるから大分経たないと自動では入らない

199 :
ブラスターみたいでええな

200 :
脆弱性対策したけどノートンだけでは心配だからRansom Free入れてみた
どれくらいランサムウェアを防いでくれるのかねえ

パソコン起動した瞬間に身代金要求は怖すぎる

201 :
こまめにバックアップ、感染したら駆除の上バックアップから復旧

通称vvvウイルス感染者の意見
こまめにバックアップ取ってたのでダメージは大きくなかった(面倒ではあったけど)

パソコンそのものを壊さないだけウイルスよりマシだと思ってる

202 :
ワーム活動で外部からの感染なんて宝くじに当たるような確率なのに、
どれだけ皮算用なんだよ!バカじゃねぇの
自ら.exeを踏んだ時の心配をするんなら当たり前だけどバックアップしとけや
ハードディスクやSSDなんてのも、いつ吹っ飛ぶのかも知れねぇんだぜ!
バックアップ作業には目もくれず、データが吹っ飛んでから泣く初心者たち

203 :
Androidスマホだって、最低限でも連絡先のデータとかはGoogleのサーバーと同期して使うのが常識だけど、
それさえも初心者のバカたちは利用していないんだろ?
その上でスマホにはバックアップ機能もあるのだから、
なくなったら嫌なデータはSDメモリカードにバックアップして使うのは常識
いつ本体がぶっ壊れるかも知れないんだぞ!

204 :
ランサムフリーいれてみた アンチランサムウェアはアンインストールでおk?それとも起動したままのほうがいい?

205 :
エロ画像しか無いから困らないぜゲームはsteamで再ダウンロードすれば問題無い
NTT西でダダで使えるウイルスバスタとCOMO?の火壁を最低限のお守りとして使ってる

206 :
火壁ってカッコいい言い方ですね^^

207 :
テスト

208 :
「WannaCry」に対応したトレンドマイクロ製の無償ツール「ランサムウェア ファイル復号ツール」
拡張子が“.WNCRY”または“.WCRY”のファイルを復号可能
http://forest.watch.impress.co.jp/docs/news/1061129.html

209 :
うん?

210 :
>>208
メモリからキーを読み取る方法ってことは前に出てた復号ツールと似た感じか
wannacryが動作中のみ復号可能だからこれからは異常があっても安易に再起動できないのかな

211 :
>>208
キルスイッチは全て発動させたのでいまから感染するひとはいない

proxy内ではキルスイッチは働かないけど、あれだけ騒動になって10日も経ってるんだから、企業などではとっくに対策とってるはず

感染したパソコンもそのままの状態で10日も付けっぱなしにしてるはずがない

と言うわけで役に立つひともいない完全なるトレンドマイクロの宣伝行為

212 :
>>208

何かおかしいと思わないか?

これってWannaCryが動作していないと暗号化キー読み取れないのに
復号してるってことは復号したそばから暗号化されないか?

よしんばこのツールを動かして暗号化キーが読み取れるとWannaCryの
プロセスを終了するんだとしても、その瞬間に暗号化キー失われる訳
だから、1チャンスしかトライできないツールってことで、本当に復号化
可能なのか確認できないパターンの方が多いんじゃないか
一応元になってるGitHubのソースざっと読んでみたけどWannaCryの
プロセス止めてるコードはなかったぞ

IPAが感染実演の動画とか投稿してるけど、よく見ると感染はexeを
クリックして起動、そのexe名はwannacry.exeって完全に自作自演だぞ

何が何でも1次感染元をSMBにしたい人がいるみたいだけど、
20017/05/12 21:00(日本時間)から12時間くらいWindows7SP1に何も
パッチを当てていないMSEすら入れていない状態でWindowsF/Wは
標準設定で動作させてPPPoEで直接インターネットに接続したマシンは
まったく感染しなかったから
あ、SMB経由で感染しないと言ってるんじゃなくて、一番最初に
インターネットからどうやって感染したかって話だから

感染したマシンはもう少しましな状態(別のF/Wソフトが入ってMSEが
動作中)で違いといえばFireFoxでブラウジングしてただけだけど
感染したから

何にしても既に大元の感染元が動いてないので、何を言っても確認
しようがないんだけどね

213 :
>>211
脆弱性のある状態で直接ネットに接続してたからといって100%感染するわけでもあるまい。

それにWannaCryは日本時間の12日(金)午後5時頃から攻撃が始まりだし、午後9時40分頃に一気に激増、13日(土)の午前1時半頃にピークを迎えたあと、午前6時頃にはかなり攻撃が衰えたので、
土曜の午後9時頃からだと遅すぎるかと思うよ。

214 :
17日以降くらいで感染した
みたいな情報見なくなった気がする

215 :
常に同期させてるOneDriveを便利に使っているので恐らくは一台感染=PC全滅
無闇に不安を煽っても仕方がないがこれ本当に感染源が特定されたた安心だ
ふあんだからとバックアップに何時までも繋げずにいるわけにはいかないし

216 :
> 常に同期させてるOneDriveを便利に使っているので恐らくは一台感染=PC全滅

ここまで妄想が激しくなるとヤバいな

217 :
>>208
感染者の情報を集めるのが目的だろう

218 :
2ヶ月くらいPCつけっぱなしだから、そろそろ再起動したいけど、ランサムウェアが怖くて困る

219 :
馬鹿じゃねーの?
2ヶ月オフラインだったPCをいきなりオンラインにするなら恐いだろうけど
現状でオンラインだったPCなら再起動ごときでビビること無いだろ

220 :
>>218
イスラエルのランサム対策ウェアなら、再起動無しでぶち込めたな。

221 :
2ヶ月つけっぱで再起動してないってことはその間Windows Updateもしてないってことか…
それはたしかに怖いな、こいつのセキュリティ意識の低さが

222 :
マジかよ、メルカバ最強やな!

223 :
>>215
俺がvvvにやられたときはクラウドも全滅したよ

224 :
>>218
見事に何の知識もない低脳なんだな
オマエの環境はルーターもないのか?
その事に関しては、このスレに何度も書き込まれているわな

225 :
ワナの件、説明するの疲れたわ
感染させないのと拡散させないのは話が違うのに
適当な記事読んで、パッチ当てたら感染しないと勘違いされる

226 :
>>218
ランサムウェア以外のマルウェアは平気なのか?

227 :
ランサムフリー、なかなか良いみたいね
会社で使う場合は有償らしいけど
とりあえずいれとけば安心

228 :
>>227
そのレスからの有償版お導きですか
営業お疲れ様です・・・なんて誰も思ってないよR

229 :
RansomeFreeは囮ファイルを使って検知するとか言ってるけど
各ドライブの先頭と最後にダミーフォルダ配置してるだけじゃ
ランダムな順序で暗号化されたら検知できないんじゃないか

230 :
頭良い奴がやる行為だから
単純にC直下から対応拡張子のファイルを順番に壊すとは思えないよなぁ

でもマイドキュメント/ドキュメントフォルダから壊すとかはありそう

231 :
>>224
ルーターが万能と思ってるのか?

232 :
ルータに繋いでなかった端末だけが感染したとでも思ってるのかね?

233 :
低脳がまた湧いたのかw もうねって感じだな

234 :
最低限ルータに繋いどけよ、って話じゃないの?

235 :
プロバイダの方で悪意のある奴弾いてくれよって思うよ、本当に
若しくは、ルータに弾く機能付けて

236 :
>>229
もう>>74でも書かれてるけど、そのおとりも一つの方法であって、振る舞い検知機能も付いてるから

237 :
>>235
あるよ
http://www.ntt.com/personal/ocn-security/info/malware.html

http://akiba-pc.watch.impress.co.jp/docs/news/news/1043741.html

238 :
>>237
お返事ありがとう<(_ _)>
こういうのって今回機能したのだろうかね
個々で防御って考え方はもう止めた方が良いと思うのですよ

239 :
>>238
今回ってのはWannaCryのことをいってると思うんだけど、WannaCryはそんな特別なルーターじゃなくても普通のルーターがあれば感染しないから。

240 :
そりゃそうだ
基本的にWAN側起点の通信は受け付けないからね。
ポートフォワード設定しないかぎりね

ただし、ドライブ・バイ・ダウンロードのパターンではルータ云々は関係ない
受動的攻撃だから

241 :
いつの間にか、俺もランサムウェアにやられていたらしい
暗号化されて、読み込めない記憶がたくさんある

242 :
>>241
それ、ランサムウェアじゃなくて
ウイルス除去ツールが、恥ずかしい闇記憶を隔離してくれただけだから

243 :
>>241
ちゃんと脅迫されないと、ランサムウェアじゃないぞw

244 :
脅迫始まる前に病院行けw

245 :
>>241
キミの脳内にEverything走らせてみた
これがその一部なんだけど解除したいの?

「自作ポエム_0721.txt.pugerattyo」
「2015年_勃起時のチン長記録 9cm.bmp.pugerattyo」
「[2017] 女装グッズ購入記録.xls.pugerattyo」

246 :
9p w

247 :
イスラエル入れてみたけど
そのまま放置でいいのかな

248 :
ティーバックから金玉でてるアイコンがあればいいんだろ?

249 :
>>241
スマトラ警備隊の歌詞が真実だったことが証明されたな

250 :
ただのボケ

251 :
WannaCryの発信元は中国語話者か
https://trtpost-wpengine.netdna-ssl.com/files/2017/05/May-25-2017-WannaCry-Blog-Graphic.jpg

252 :
こっちのほうが詳しいな
https://japan.cnet.com/article/35101786/

253 :
拡散経路に疑問をもったやつを無能扱い

【HISYS】日立システムズ4【SPCで休出】&#169;2ch.sc
http://matsuri.2ch.sc/test/read.cgi/infosys/1489321401/

254 :
ランサムフリーたまに下に表示されないときあるけどタスクマネージャでみたら動いてるみたいなんだがおれだけ?

255 :
WanaCryに感染してから二週間たつけどランサムウェア駆除しただけでそのままPC使ってるわ
一旦ちゃんとクリーンインストールとかしないとアカンかな

256 :
>>254
カスペもどうあがいても表示しやがらん時あるが、
一応ブラウザやプロセスエクスプローラー見ると働いている。そんなもんだろう。
つかイスラエルのは消えて消されて増殖してやっと色物(本物)が出たり、動きが変。

257 :
AppCheckってランサムウェア対策ソフト使ってる人っている?
フリー版は少し機能が制限されてるが
他ランサムウェア対策と違い日本語で使える

258 :
>>255
ランサムウェアって、身代金とれなくなったら意味ないから、パソコンが使えないようにはしないんだな・・・・・・
再セットアップも面倒だし重要なデータがなく、普通に動いていりゃそのままでいいんじゃね?

259 :
>>258
シャットダウンとかはある。

260 :
>>255
他の人のためにも、一度初期化をお願いします

261 :
ウィルスに感染した場合の対処法の冊子を配るとかして欲しいわ
個人的には、クリーンインストールの方法が正直よく分からないw

262 :
ランサムに感染するような人のPCは既にマルウェアだらけだろうな

263 :
ウイルスな

264 :
>>261
税金で冊子つくって配れってのかw

265 :
クリーンインストールの方法なんてggrksで終わりやん
メーカーPCならサポートに電話すればいいだけだし
ググってわからん奴は仮に冊子作って配ってもわからんだろ

266 :
再インスコってMP4とか読み込ますのは面倒だな。
FLVにしろaxファイルによって読んだり読み込まんかったりする。
しかも再生ソフトによって。ありゃ確かに面倒。

267 :
www.ipa.go.jp/security/anshin/index.html
とか、
www.nisc.go.jp/security-site/handbook/index.html
とか、あるにはあるんだよ
ただ、詳しい人ほど知ってて、知らん人ほど決してたどり着けないだけで

ムダに凝ってた攻殻機動隊とのコラボ漫画も期間終了で見れなくて、
www.realize-project.jp/
とか
warpdrive-project.jp/
とか派生してカネが流れてるんだわ

268 :
>>267
上から2番目のが分かりやすい
ありがとう

269 :
ランサムウェアは、企業にとって本当に脅威です。
年間5000億円もの被害に達しております。
システム管理者はランサムウェアに対して完全な対応をしなければ、
会社に多大な被害をもたらします。
何か良いソリューションはありますでしょうか?

270 :
わたくしもシステム管理者として、いろいろと対応策を調べました。
RANSTOPというランサムウェア対策ソフトが最適なソリューションです。
6月から日本でも販売開始されるみたいです。
弊社でも既にこのランサムウェア対策ソフトを検討しております。

以下を参考してください。ランサムウェアが脅威ではなくなります。
https://www.youtube.com/watch?v=MN9zrxq36TU
https://www.youtube.com/watch?v=UgkODblWoXA&t=44s
https://www.youtube.com/watch?v=bLMibS1GKkM

271 :
録画鯖が今日感染した\(^o^)/

272 :
oh...

273 :
システム管理者がまずやるべきは
社内のPCをはじからすべて
win7の更新が自動になってるかチェックすること。

274 :
>>270
何このステマ?

275 :
ステルスじゃない
露骨だろ

276 :
最悪なタイミングでRansomeFreeが出てしまい
相当焦ってるんだろうな...

277 :
>>273
一台一台、調べろって? アホ抜かせ
ADのGP管理とWSUSで終わる話だろ

278 :
>>277
そもそもpcを自動更新にしてる=管理者権限振ってるような会社なんて
セキュリティ以前の問題じゃね

279 :
日本国内で、およそ10人に1人は最新パッチを当ててないらしい
http://internet.watch.impress.co.jp/docs/news/1062110.html

280 :
ファイナルランサムウェアディフェンダーって有料ソフトも出てるんだな
3年版で3000円程度なら安いけどどれくらいの性能なのか

281 :
>>278
ろくなセキュリティ管理者がいないのなら、自動更新にしていた方が最終的には安全だろうが、
アップデートによる不具合が嫌だからやらないんだろう
問題は、大多数の企業でセキュリティ部門の最高責任者たちが無能な存在だから、
セキュリティ管理者たちに最も有効な方法を提起出来ないんだよ

282 :
さて、今度は7月末〜8月くらいに、次の大規模感染が来るかもしれないな
http://mw.nikkei.com/sp/#!/article/DGXLZO17210240R00C17A6TJ2000/

次はWindows 10も対象らしい
http://pc.watch.impress.co.jp/docs/news/1060013.html

283 :
これだけ予告してるんだからそれでも対策せずに被害に遭った企業は
どれだけ大企業でも社会的信用が地に落ちて東芝やリーマン・ブラザーズ並に墜ちるね。

284 :
7もそのうち強制アプデに移行するだろうな
でなければ、再び10への移行を強制してくる可能性すらある

285 :
>>284
>7もそのうち強制アプデに移行するだろうな

7はメインストリームサポート期間が終了してるのでそれはあり得ない

>でなければ、再び10への移行を強制してくる可能性すらある

期間限定の無料バージョンアップ終了後にすでに有料で購入してる人がいるからそれもあり得ない

286 :
7は10の方針、One Windowsと同様に「同じように更新しろ」ってなったくらいか

287 :
>>136
XP最強という事実→Windows XPでランサムウェア「WannaCry」の被害が少なかった一因は「ブルースクリーン・オブ・デス」
http://gigazine.net/news/20170531-windows-xp-wannacry-immune/


XPはブルースクリーンを使ってマルウェアの攻撃から身を守る(爆

288 :
>>287
なんつーかマジにXP見直されてきたよな…
10最悪すぐる

289 :
https://support.microsoft.com/ja-jp/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows-server
ここを参考にレジストリパッチを作ってみた
自分で作る場合はエクスポートしてから編集するといい


SMBv1無効
---------------------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters]
"SMB1"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation]
"DependOnService"=hex(7):42,00,6f,00,77,00,73,00,65,00,72,00,00,00,4d,00,52,00,\
78,00,53,00,6d,00,62,00,32,00,30,00,00,00,4e,00,53,00,49,00,00,00,00,00

---------------------------------------------------------------------------------

290 :
SMBv1を無効にする方法、コマンドを見て理解できないやつが、
中身のテキストだけ見て何をどうすればいいかなんて分からんと思う

じゃあどうしたらいいかっつーと、
MSサポートページのコマンドをバッチにして、xxx.batの形式でアップロード
右クリックから管理者として実行しろ、ということになるわけだけど

コマンドを見て理解しようともしないやつは、
「掲示板からDLしたどこの誰が作ったかもわからんバッチ」の中身を自力で判断しないだろうから、
悪意のあるやつが、中身を例えば「$mft」関連のコマンドにしておいても、
たぶんそのまま実行してシステムがおかしくなって初めて慌てるんだろうな、と

MSのサポートページがわかりにくいことは認めるけど、
一からコマンド作って打てといってるんじゃない、
このとおりに打てと指示された程度のコマンドくらい、対処できたほうがいい、と思う

291 :
>>288
最悪なのはどう考えても未だに7使い続けてる病原まき散らしの自称情強さん()だろw
7全盛期にxp最高とかほざいてたxp信者にも劣るわ

292 :
>>288
アホ?

293 :
>>291
必死だな
まあそんなにイライラすんな

294 :
未だに7というけど、サポートが続いているOSを、きちんと脆弱性対策して使って何が悪いんだ?

295 :
ランサムカーボーイ

296 :
Этти

297 :
>>294
貴様みたいな対策しているのはいいんだよ
問題は対策していない輩なをだよ

298 :
>>297
対策してないWindows10はどうすんの?

299 :
>>298
Windows10は強制アップデートじゃん

300 :
>>299
で、でたーwwww
アプデで何でも防げると思って奴wwww
ウイルス対策ソフトやらバグ持ちソフトの更新
変な実行ファイルの注意とか
色々あんだけど自動更新だけで防げるんだな
すごいな10って

301 :
>>300
何でも防げるとは一言も言ってないが?

>>294から始まってる脆弱性対策の話をしてるのに、
「変な実行ファイルの注意とか」
なんて言っちゃうとか、読解力ないというか、頭悪いというか...

302 :
wwwwとか草生やしまくってるやつは間違いなくアホだからスルーしとけ

303 :
>>299
Win10でもPro以上なら、アップデートの時期は選べるよ
中途半端に対策され、中途半端に対策されてないWin10があればそれはそれで問題だろ
逆にWin7だって、自動にして勝手にアップデートされてりゃ問題ないでしょ

それと、294から始まってるというが、俺としては>>291から始まってるつもりなんだ

304 :
>>303
そりゃ選べるけどな、手動にするにはグループポリシーエディターいじったりレジストリいじらにゃならん
そこまでやってるやつは、少なくともある程度のスキルはあるだろ

>それと、294から始まってるというが、俺としては>>291から始まってるつもりなんだ

あっそうw
まぁ、文章理解力がないってことだな

305 :
6/5(月) 12:17 掲載
<身代金ウイルス>作成容疑で中3逮捕 神奈川県警
他人のパソコンをロックして金銭などを要求する身代金要求型ウイルス「ランサムウエア」を作成したとして、
神奈川県警サイバー犯罪対策課などは5日、大阪府在住の中学3年の男子生徒(14)を不正指令電磁的記録(ウイルス)作成容疑などで逮捕した。
男子生徒は任意の調べに「自分の知名度を上げたくてやった」と話し、容疑を認めているという。ランサムウエア作成容疑での摘発は全国で初めて。(毎日新聞)

306 :
でもWindowsUpdateは、過去に自動更新しないとしておいても、WU倉が強制適用されたことがあるよね。7で。2012か2014頃

307 :
実は今でもMSがやろうと思えば強制適用出来るようになってる
MSがやるかやらないかだけ

308 :
1週前からWin10にしたが、WUが半強制みたいになったんだな、まあセキュリティ上から
は仕方ないのか。

309 :
アップデートしたが為には過去何度もやらかしているだろ
極一部の脆弱性回避するためにOSふっとんだり
さらにヤバイ脆弱性抱えたりしたら何の意味もない
あと7であった32と64間違えたテヘペロなどな

310 :
これぞ老害ガラプーw
いまだにvistaとか使ってそうw

311 :
「悪意の半導体」I検知 製造時に情報漏洩回路埋め込み 早大
https://headlines.yahoo.co.jp/hl?a=20170606-00000063-san-bus_all
半導体などの電子部品に組み込まれた「悪意の回路(ハードウエア・トロイ)」を検知するため、
政府と早稲田大学が人工知能を使った検知技術の開発に着手することが分かった。

312 :
イスラエル入れてるけどまったく無反応
これ必要あるんだろうか

313 :
http://www3.nhk.or.jp/news/easy/k10011006811000/k10011006811000.html

Amazonギフト5000円

314 :
そんな怪しいurl踏むかよカス

315 :
NHKが悪質サイトw

316 :
NHKという文字列が入っていれば間違いなく本当のNHKだと判断しちゃう人?

317 :
>>316
日本引きこもり協会

318 :
Sporaに感染したんですがウィルスは潜伏してるんですかね?個人でランサムウェアに感染した人はどうしてます?

319 :
>>318
俺はOS再インスコした

320 :
OSの容量が一日で30GB膨らんだ
まさかと思うが万が一を考えてイメージバックアップで戻した
やられると業務出来なくなるから死活問題なんだ

321 :
>>319
ありがとう。個人PCでSporaに感染して別に困った事は無いんですがbotとか心配なので再インスコします。

322 :
自分が開放してるルーターのポート番号って悪意ある他人に特定される事ってあるん?

323 :
>>322
ポートスキャンてのがあってな

324 :
なんか変なフォルダー増えてるんだけど、フリーランサムウェアがダミーフォルダ作ったでおk?
avstでスキャンしたけどなにもでなかった

325 :
avstじゃあな

326 :
avstとはなんぞ

327 :
2017年版アンチ・ランサムウェア8選
http://news.mynavi.jp/news/2017/06/12/159/

1.Bitdefender anti-ransomware and antivirus
2.Malwarebytes anti-ransomware tool
3.Kaspersky anti ransomware tool
4.Trend Micro Security
5.Avast Antivirus
6.Zemana Antimalware
7.McAfee Ransomware Interceptor
8.各種復号化ツールなど(Nomoreransom.org、Noransom.kaspersky.com、Avast、Trend Micro、AVG、McAfree)

328 :
あれ?サイバーリーズンは?

329 :
ランサムフリーにエラー出たんだが俺だけ?再起動したら消えた

330 :
>>329
これ何の反応もしないし
動いてるんだろうか

331 :
>>330
そら、ランサムウェアを検知したときにしか動かんからな

332 :
WannaCryやSKYSEA Client View脆弱性への耐性を診断できる「自診くん」、ラックが無償提供TCP 22/23/139/3389/5900ポートのインターネットアクセス可否の診断も可能
http://internet.watch.impress.co.jp/docs/news/1065261.html

333 :
ランサムフリーのアイコンにビックリマークあるけどなんだ?ランサムウェアを検出した画面は出てない

334 :
朝いちでWU更新でガリガリやっててなかなか画面が出なかったから、ランサムに
ヤラれたかと思って焦ったわ (^^;

335 :
ワナクライにかかりたくてVMwareとWinPEでパッチ未適応機で丸一日445オープンにしたけど無理だった
流行はおわったのか

336 :
大量に拡散したのはキルスイッチ付きで早々にDNS sinkholeで対処されたから
ほとんど活動してないんじゃない

337 :
>>335
ウチのPCに冷凍保存してるWNcryあげようか?

338 :
Macユーザーを標的にしたマルウェアがダークウェブに出回っている
http://gigazine.net/news/20170615-mac-computer-ransomware/

339 :
Macのマルウェアはこれから増えていく
ガキに触らせてるからそいつらが作るようになる

340 :
IOSは最早スタンダードだものね

341 :
PCやスマホを人質に取られて再起動すらできないらしいけど、そうなるとファクトリーリセットもできないよね。
携帯ショップに持ち込めとか言われてるけど 格安SIMの人はどうするんだろ?

342 :
>>341
再起動もできないとかあり得ない
どこソース?

343 :
バッテリーが尽きれば電源は落ちる。

344 :
再起動できない、とは
・再起動の機能がロックされて再起動できない
・再起動すると暗号化が始まる、と脅迫メッセージが表示されているため再起動できない
のどちら?あるいはそれ以外?

345 :
ホンダの生産システムにサイバー攻撃 一時操業停止
18日、各地の生産ラインを制御するシステムが「ランサム(身代金)ウェア」と呼ばれるコンピューターウイルスに感染した。事務系のパソコンも感染したが、現在のところ、目立った被害は確認されていないという。

346 :
ランサムって身代金って意味だったんか
ランダムなSUMから来てる造語かと思ったては

347 :
キングズランサム(王の身代金)っていうウィスキーがある。

348 :
>>345
WannaCryらしい
いまさらなぜ?w

ホンダが工場など複数拠点でWannaCry感染、一部の生産に影響:ITpro

ホンダが2017年6月18日夕方、世界の複数拠点でランサムウエア「WannaCry」に感染したことが日経コンピュータの取材で分かった。

349 :
今回は大手企業ピンポイントで攻撃とか点検再起動で活動開始とか?
マクドナルドも同時期にマルウェア感染して電子マネーやポイント使えなかったって話だけどWannaCryなのかね

350 :
韓国企業が身代金を払ったのは既出ですか?

351 :
なんかそれマネロンの香りするよな

352 :
>>346
そんなんだと、マルウェアがどんなものかを勘違いしていたんだろうな

353 :
>>349
亜種かもな

354 :
通信の穴突いて感染可能となるとWifi接続で感染拡大
時間を置いて活動開始とか洋ドラで見たような事もできなくはないんだよなぁ
本田は良く分からんけどマクドナルドはFREEWifi有るから怖い

355 :
最近はランサムウェア対策フリーソフトが増えてるな

356 :
>>352
マルチウェアの略・・・?

357 :
マクドはPOSシステムという決済関連に感染があったのに、説明があっさりだね

358 :
>>357
顧客に影響が及ぶ可能性があるならそれ相応の説明が必要だけど
マック自身と株主にのみの影響なのだとしたら余計な公開情報は不要かも知れない
てことで影響がどこに及ぶのかだけは明確にしてほしいね

359 :
ttps://enterprisezine.jp/article/detail/9449
2ページ目は会員じゃないと見れなくなってるけど、ここの三輪さんの話だと7でMS17-010のパッチを適用せずにグローバルで445だけを解放しておくと
短時間でランサム以外の何かに確実に感染するらしいから、やはり同じ脆弱性を狙った亜種の活動が活発化してるのかもしれない

360 :
ランサム以外の何かというかDoublePulsarでは

361 :
confickerじゃないかね? 

362 :
ランサムウェア「WannaCry」の亜種に感染したPCからの感染活動とみられる445/TCPポート宛てアクセスの観測について
ttps://www.npa.go.jp/cyberpolice/detect/pdf/20170622.pdf

363 :
SMBv1でまた攻撃されてるなヨーロッパ

364 :
CybereasonRansomFree 2.3.0.0
アップデートきた

365 :
チェックフォーアップデーツ押してもアップデート出きひん

366 :
なんか再び猛威をふるってけど対策してなかったのかね

367 :
今回はwannacryじゃなくてPetyaなのか

368 :
>>367
だね
いま@ITセミナーで盛んに出てるわ

369 :
ttp://itpro.nikkeibp.co.jp/atcl/news/17/062801786/
やはり亜種だったか

370 :
まぁウイルス流す方も馬鹿じゃないから
いつまでも古い手を使わないだろ

371 :
Petya / NotPetya / Petna / SortaPetya / wowsmith123456@posteo.net Ransomware:

とりあえずの予防法
Vaccine, not Killswitch, Found for Petya (NotPetya) Ransomware Outbreak
www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

詳細ほか
www.bleepingcomputer.com/news/security/petya-ransomware-outbreak-originated-in-ukraine-via-tainted-accounting-software/
www.bleepingcomputer.com/news/security/email-provider-shuts-down-petya-inbox-preventing-victims-from-recovering-files/

372 :
>>371
呼称追加: GoldenEye

373 :
007かよ

374 :
無料版はランサムウェアに対して無防備だよ
Windows10では無料版入れるとDefenderが無効になるから、かえって危険だよ

375 :
じゃあ何のためのソフトなんだよw

376 :
ランサムウェア作成者にとって、
検知法とその回避策を考える材料を与えてくれる有難いソフト

377 :
Windows 10、ランサムウェアからファイルを守る制御下フォルダ機能を導入
http://news.mynavi.jp/news/2017/07/02/108/

378 :
OS側で対策が進むことでチップやドライバに対して攻撃が増えるのは間違いなさそうだな

379 :
所詮イタチごっこだからな

380 :
>>377
「Windows Defender Security Centerで設定する」

何だと?
Defender使えってか? それこそ有り得んぞ。

381 :
>>380
バスターにはもうすでに同機能があるよ

382 :
avast!(有償版) avg(有償版) にもね

383 :
自分は大丈夫だと思っていた者ですが、今朝パソコン起動したらランサムウェアに感染してた
MOLE00って拡張子に置き換わっていて対処法ない感じなんだけど、
パソコン初期化しないとダメかねこれって

384 :
ファイアウォールやSmartScreenを設定するところがWindowsDefenderセキュリティセンター
Defenderの設定場所でもあるけどDefender使わなくても問題ないよ

385 :
Windows7なんだよこれが

386 :
>>385
あらまぁ
セキュリティソフトは入れてなかったですか?

387 :
ノートなら初期化だな
デスクだったら、HDDを新品に換えるわ

388 :
>>385
windows updateやってなかったから、かかった?

389 :
>>385
なんのセキュリティ対策ソフト入れてたん?

390 :
ランサムウェア対策が「Windows 10 Fall Creators Update」に追加! さっそくトライ
http://forest.watch.impress.co.jp/docs/serial/yajiuma/1068908.html

他のランサムウェア対策ソフトと競合はしないのだろうか。

391 :
そもそもWannaCryというかDoublePulsarは特権モードに昇格される脆弱性でやられてるんだから
そんな機能あっても気休め程度にしかならんよ
全てはMSとNSAの掌の上

392 :
やるなら、まるまる全ドライブ保護しろよ

393 :
OneDriveですらデータが一週間前のに置き換わってたりするから
結局外付けHDDが必要だってことなんじゃないか?
MSとNSAがやってるバックアップ啓発活動キャンペーンの一環なんだよきっと

394 :
test

395 :
きのうCybereasonRansomFreeがCPU50%くらい使ってて
大したファイルも入ってないし再起動してみたら静かになっちゃった
何だったんだろ

396 :
データぶっこ抜かれたんじゃね

397 :
なんか昨日あたりからavastが
ポップアップ SMB:CVE-2017-0114 [Ecpl]
通知 オブジェクトsmb//[IP?]/nsacve-2017-0114_EternalBlue
って出るわ、大体3.4回連続でIP部分は違う
ブロックされてるしWUもしてあるから大丈夫なんだろうけどいきなり出始めた
感染してるPCが総当りしてるのかね

398 :
2月くらいにSporeランサムウェアってのにやられて
その時は諦めてOS再インスコしたんだけど未だにIEが一切開けなかったり
Excel使おうとするとその都度officeの修復しないとダメだったりで後遺症みたいなのが残っていて困ってる

この場合現在使ってるHDDとSSDを新しくすれば治る?

399 :
>>398
OS再インスコだけじゃなくて、HDD・SSDを初期化しないとダメよん

400 :
>>399
わかった外付けHDD買ってから初期化してみる

レジストリとかがやられてこういう状態になってるのかなと思ったんだけど
そもそもレジストリってPCパーツの内どこに依存してる?

401 :
>>400
レジストリはHDDとかだね

402 :
>>401
なるほど、とりあえずHDD初期化やってみます

403 :
>>402
必要なデータとかあるのならバックアップしてから、
メディアからブートしてインストール時にコマンドプロンプトに入って
diskpart
select disk 0
clean all
exit

この後に再インストールすれば完璧です

404 :
PC起動直後からESETが騒ぎっぱなし。
何だと思ったら、googleドライブとdropboxのファイルの拡張子が
「.[averiasw@qq.com].aleta」に。

自動同期にしていた為、c:\ユーザ/ユーザ名/dropbox 等はやられたが
その他ローカルは今のところ無事。

オンラインストレージは捨てるとして、ローカルは大丈夫なのだろうか…。
そもそも、先にオンラインストレージが感染していて同期したためESETに引っかかったのか?

405 :
>>404
有名所のオンラインストレージならファイル履歴から復帰可能だと思う
https://www.dropbox.com/ja/help/security/recover-older-versions

406 :
>>404
何をしたらそうなったの?

407 :
>>403
ご丁寧にありがとう
給料入ったら外付けHDD買ってやってみます

408 :
>>405
知らなかった・・・
vvvにやられたときに知っておいたら((T_T))

409 :
Do you want to return your files? Write on mail: komar@tuta.io I accept payment in bitcoins.
What is bitcoin? Read here: https://bitcoin.org/en/faq

こんなファイルが多量に作られていた。
今から再インストールする。

410 :
そういうのってやっぱメールからの感染なん?

411 :
感染経路みたいな情報は、組織でも出てきにくいんだって

ttp://www.nhk.or.jp/kaisetsu-blog/100/271051.html
>今回、被害にあった企業に、感染したパソコンをどのように使っていたのか
>聞いたところ、「セキュリティーに関わることなので一切教えられない」と
>回答したところがあります。システムの詳細なセキュリティー対策を公開す
>ることは問題があるにしても、感染経路さえも全く公開しません。

ttp://www.nikkei.com/article/DGKKZO18763880S7A710C1KE8000/
>サイバー攻撃に関する情報共有の枠組みも重要だ。現在、我が国でも様々な情報
>共有の仕組みが作られているが、自己が受けたサイバー攻撃情報を提供すること
>に抵抗感のある組織が多く、共有が促進されにくいという問題を抱えている。

412 :
感染経路をここに書き込んでも、
ダメ出しされて叩かれるだけ、と思ってる人もいたりするのかも
一応、感染経路を質問したって無駄だ、とか言いたいわけじゃない

413 :
メール経由ならわかりやすいが、
サイト経由だと事実上辿れないことが大多数だから
サイト改竄にしても、昔は2~3時間だけinjectするとかだったけど、
今は0.5秒以内とかさ
広告配信にしてもターゲティングやらhttpsやら
昔マルウェア感染サイトへリダイレクトされる瞬間を見たことがあるけど、
waitを置いたりあれこれ噛ませたりまぁ気付かれんようにしてるから
後からurlを辿るくらいなら素人でも出来そうなもんだけどまず滅多にお目にかからないし、そもそもほぼ参考にならん

414 :
内蔵型HDD・SSDも駄目
クラウド駄目
NASも駄目
つまり素人に出来る対策は外付けHDDにデータコピーをとることだけ?

415 :
で必要ないときは外しておく

416 :
>>413
そういうのはここ1.2年で急増して来てるね、発覚を遅らせる為に犯罪者が本気出してきた
とりあえず、既知の広告はブロック、ポップアップブロッカーでリダイレクト対策、Noscriptで必要なものだけ許可の3つの方法で自衛してるけど、どこまで効果があるかは分からない

417 :
>>414
感染に気づかないで外付けバックアップHDDもやられてた人がいたな

418 :
>>414
クラウドでも>>405みたいに履歴から復帰可能なものなら良いけど
速さと容量考えると全部ファイルってわけには行かないよね

419 :
無償ランサムウェア対策ツール「Cybereason RansomFree」に日本語版が登場
http://forest.watch.impress.co.jp/docs/news/1071007.html

420 :
日本語版はありがたいね

421 :
利用規約まで日本語だ
たいしたもんだ

422 :
>>419

これ、なにが出来ているのかモニタリング機能はないのだが。
パソコンの情報、ガッツリ搾取されちゃうのかな?

423 :
>>419
Cドライブのルートに、変なフォルダが2つ作られた。

このフォルダ内の変更を監視しているのかな?

424 :
>>423
>>70-74

425 :
ルート以外にもUsers、各ユーザーのdocument にも作ってる。

426 :
ついに、WannaCryのビットコインワレットから全てのビットコインが引き出された。

The hackers behind the WannaCry ransomware attack have finally cashed out
https://qz.com/1045270/wannacry-update-the-hackers-behind-ransomware-attack-finally-cashed-out-about-140000-in-bitcoin/

427 :
1 540万円ってそんなもんか

428 :
Nortonのパワーイレイサーで検出されるCybereason Ransomって何なんだろう?
削除しても問題なく機能してるから偽物っぽい

429 :
>>428
調べるとRansomFreeのフリーソフトが出るね
RansomFreeの対策ソフトでも入れてたらそれが原因かと

430 :
そういう意味じゃなくね

431 :
そういう意味じゃなくなくね?

432 :
      ¶
     ミ⌒彡
 __ ( ´・ω・)_ 
 \__, @|lyl|@_/ どっちでござる?あるのかないのか・・・
   ∪─|∞ト∪     
   く__」_|_|_|_,ゝ

433 :
猛威を振るったランサムウェア「Locky」が再び拡散を開始
https://japan.zdnet.com/article/35105921/

434 :
ふたを開けて観測するまで有りするし無いとも言える

435 :
ネコかよ

436 :
>>432
かわいいな…。

437 :
かわいいかわいい

438 :
>>432
かわいいそれw
お殿様?

439 :
馬鹿じゃねーの

440 :
んなことねーよ

441 :
ここの人って生きてるの?w

442 :
生ける屍

443 :
www

444 :
死せる仲達を走らす

445 :
なにそれ

446 :
「死せる孔明生ける仲達を走らす」のもじりかと

447 :
「簡単に例えると、焚き火で得られる熱エネルギーは、木を育てる労力と釣り合わないってことさ」
「エネルギーは形を変換する毎にロスが生じる」
「宇宙全体のエネルギーは、目減りしていく一方なんだ」
「だから僕たちは、熱力学の法則に縛られないエネルギーを探し求めて来た」
「そうして見つけたのが、魔法少女の魔力だよ」
「僕たちの文明は、知的生命体の感情を、エネルギーに変換するテクノロジーを発明した」
「ところが生憎、当の僕らが感情というものを持ち合わせていなかった」
「そこで、この宇宙の様々な異種族を調査し、君たち人類を見出したんだ」
「人類の個体数と繁殖力を鑑みれば、一人の人間が生み出す感情エネルギーは、その個体が誕生し、成長するまでに要したエネルギーを凌駕する」
「君たちの魂は、エントロピーを覆す、エネルギー源たりうるんだよ」

448 :
>>447
でも女の体で一番シコいのは尻だよな

449 :
話題がなくなってきた

450 :
シコいって業界用語?
カッコイイー

451 :
美人の腋だろ

452 :
.arenaってのに感染したわ
crysisの亜種らしいが
値段によっては金払う

453 :
感染経路含め詳しく教えて

454 :
感染経路はRDP
CrysisやDharmaの亜種らしい
先月下旬に発見されたようだけど、先月中旬から一昨日まで家を空けてたから、常時稼働のサーバの定義ファイルを更新してなかった(WUやWinDefenderは手動更新)
ウイルス対策ソフトはWinDefenderだけ
提示された身代金は0.7BTC
OSはwin8.1
将来複合ソフトが公開されるかもだし、暗号化された外付けHDDと表示IDだけ取っとく予定

455 :
>>454
0.7BTC !?
めちゃくちゃ高いな
31万円くらいじゃん

456 :
>>455
そうそう
馬鹿じゃねーのクタバレって送っといた

457 :
消えたのはエロ動画だけで済んだとか?

458 :
その他に家族写真とか音楽とかかなりあったけど、30万なんて払う気にならんし諦めたよ
wannacryの対策(SMBの脆弱性埋め)はしてただけに悔しいわ

459 :
WUは兎も角、常時稼働のサーバーでDefenderの手動更新が一番不味かったですね
Defenderだけ自動更新する手段もありますけど、サードパーティーのウイルス対策を導入すべきです
自分だけしかアクセスしないならP制限もしないと駄目でしょうね

460 :
P制限じゃなくてIP制限ね

461 :
>>454

RDPってWindowsFirewallの標準設定だと受信アクセス不可に設定されて
いたはずだけどアクセス可にしていたのでしょうか?

そもそも論でサーバはインターネット直結で、インターネット側からリモート
デスクトップアクセス可能になっていたってことでしょうか?

WannaCryのときはSMBがインターネット側に開かれていなくっても感染
したって言ってた方もいて、メール経由で感染したんだろうとか言われてた
けど、結局感染経路不明とか言う話もあったみたいなのでインターネット側に
開かれていない状態で感染するのかなって不思議に思いまして

462 :
1) LAN側の端末がマルに感染してRDP経由でローカルのサーバが感染した。

2) インターネットから直接RDPアクセス可能にしておいたローカルサーバが感染した。

どっち?

463 :
>>462
おそらく2でしょう

464 :
仮に2だとして
a)RDPやWindowsの脆弱性を突かれた
b)ブルートフォース(パスワード総当たり)
のどちらの手口でしょうかね

465 :
>>461
firewallは受信アクセス可にしていました
スマホからアクセスするためにRDPを有効化していたので
>>462
2だね
>>464
新種だって言われてるくらいだから、aだと思うがな..
ただftpも使ってて、主に中国からのログイン試行が多かったのは確か

466 :
>>459
サードのアンチウイルスは入れてませんが
&#183;OSをセキュリティ高い(らしい)win10 CUに
&#183;ransomfreeのインストール
&#183;今まで使ってたDDNSを不使用に
&#183;バックアップはオフライン型に
を行いました

RDPは使い続けるつもりですが、パスくらいは変えたほうがいいんですかね..

467 :
RDP使うのはいいけど、その前にVPNでも張れよ。
そうしないと、いぶれまた被害に合うぞ。

468 :
>>467
この手の件ではVPNはあまり言わないほうがいいかもよ

約2年前のIP電話の乗っ取り騒ぎのときに、
ベンダーは悪用対策としてVPNを使っていたと公表したが、
そもそもVPNはアクセス制限のための技術ではないだろ!!!、
とかなり批判が出てたような気がするので

なお、VPNを張るためには普通は認証が必要になるし、
信頼できない回線での傍受対策にもなるから意味はあるはず

469 :
直接RDPとか開放するんじゃなくて自前でVPNサーバも
導入してそこにつなげってことならありでない

クライアント側もVPNクライアント通すとか面倒くさいとは
思うけど

470 :
>>469
俺はスマホにロック掛けないから、vpn接続設定できないんだよね
セキュリティ的に悪いのは承知なんだけどどうも面倒でね

471 :
>>468
ネットエージェントが調査してたあれのこと?

472 :
>>469
そうですね
誰でも彼でもは直接RDPにアクセス出来なくなりますから
>>470
今の運用形態は見直されたほうが良いかと思います、
またいつSMBのように新たな脆弱性が発見されるか分かりませんし

473 :
昔々)SMBやRDPはインターネットから遮断必須だった

クラウドの浸透)暗号化技術の実装によりクライド上にWindowsサーバを置きインターネットを介しサービスを利用したりRDPでメンテナンスすることなども行われるようになった

ランサムウェアの台頭)ブルートフォース攻撃やOS脆弱性攻撃などハッカーの技術も進化し、素のSMB/RDPなどをまたインターネットに公開できなくなった

みたいな感じでしょうか
もしかすると端からVPNでやるものであり2番目は無かったかもしれませんが

474 :
>>472,473
セキュリティと利便性は若干トレードオフみたいなとこもありますかね
サーバ構成し直すのもまた面接なのでvpnとrdpの使用を見直します

475 :
>>473

いわゆるクラウドっていうのはOfficeとかAdobeのソフト群とかGoogleドライブ
みたいなサービスが遠隔から使えますってものなのでSMBとかRDPとか基本
関係ない

というか、SMBとかRDPをインターネット側に解放しているサーバで運用されて
いるクラウドサービスなんて危なくて使ってはいけないレベルのサービス

仮想サーバを貸し出すレンタルサーバであれば、OSの導入や設定等はユーザ
任せなのでSMBやRDPを開放して運用している人もいるかもしれないけど
サーバレンタル会社がこういう運用は危ないですよとか、このようなことをやり
たい時にはこんな機能を当社では提供していますって感じで危険そうなことは
ある程度啓蒙活動とかしてる

昔ホームページレンタルとかって言ってたサービスも最近ではレンタルサーバと
言う名前でサービスしてるけど、これは単なるサービスの提供だけでシステムの
設定とかはサービス提供会社でやっているので、普通SMBとかRDPの開放は
ありえない

なので、今も昔もその間もインターネット側にSMBとかRDPを解放するというのは
危険なことですよ

476 :
HTTPやHTTPSなら安全です

477 :
↑嘘つきw

478 :
RDP使うにしてもVPN張った上で使うのが普通だと思う

479 :
ネットワークの脆弱性をついて侵入してくるのはわかるけど
最初の感染源は何なんだろうねメールやブラウザという話も聞かないし

480 :
脆弱性というか単純なブルートフォースアタックもやってくるぞ

481 :
今週頭くらいからブラウザでメモリを食い潰すおかしなWeb広告
でてきてるから気を付けろw

482 :
>>481
これとは違うのかな
閲覧者のPCを無断でマイニングに利用するサイトが多数--5億台に影響の可能性も
https://japan.cnet.com/article/35108804/

483 :
昨夜からウィルスバスターが,OPS_MS17-010-SMB_REMOTE_CODE_EXECUTION_EXPLOIT-2を頻繁にブロックしてます。
昨夜2回、今日PCを起動して一時間ほどの間に3回。
ブロックされているので当然感染はしていないけど兎に角気持ちが悪い。
ブロックしてやり過ごすしか無いのでしょうか?

484 :
ウィルスwwwwwwww

485 :
存在するから反応する

486 :
いや実際に観測しない限り、活動状態のウィルスと無効化済みのウィルスが
50:50で重ね合わせで存在していると考えるべき

487 :
重大な個人情報を盗まれる前にフォーマットしたほうがいいな

488 :
ご丁寧にMS17-010とかSMBとかREMOTE_CODE_EXECUTION_EXPLOITとか知らせてくれてるのにこれでわからないとはバカにも程がある

489 :
一個前のスレに書き込みしてた。。

スレ違いで申し訳無いんだが
ランサムで搾取したBTCって
ネット上では個人情報必要無いから
匿名でいられるけれど
それを現金化する段階で足つかない?
ミキシングとかも追えない事は無いし
架空名義口座使うくらいしか
方法が思いつかないんだけど。

490 :
ランサムウェア「BadRabbit」が猛威、交通機関やメディアに被害

ロシアやウクライナで地下鉄などの公共交通機関や報道機関、政府機関などに被害が広がっている。
http://www.itmedia.co.jp/enterprise/spv/1710/25/news053.html

491 :
あのCMで有名なアイカ工業がやられたようだな

492 :
>>491
こりか
https://twitter.com/GroupIB_GIB/status/922972032098291718

493 :
ru ロシア
bg ブルガリア
ro ルーマニア
ua ウクライナ
cz チェコ
jp 日本
なんでやねんw

494 :
.niだったらいいの?

495 :
>>494
ん?
>>492に.niなんて無いよね?あったかな?
ちなみに
被害を被っているの旧東側系ばかり中に混じってなぜ日本の企業が?、、、
って意味のレスですw

496 :
>>495
>>494は君が「日本の国際名称が「にほん」では無く「じゃぱん」でjp
は納得出来ない」って意味で言ってるのかと思ったんだと思う。

>被害を被っているの旧東側系ばかり中に混じってなぜ日本の企業が?、、、

去年あたりから政府がロシアに接近してる報道は普通に他の国でも流れてるから。

497 :
483です。

あれからダメ元でイメージバックアップからの復元でブロックが発生しだす前の状態にリストアしてみたところブロックは発生しなくなりました。
復元から4日経ちますが一度も発生していません。
ウィルスバスターとMalwarebytes Anti-MalwareでもPC全体のフルスキャンをして何も検出されなかったのですが、
セキュリティソフトでも検出されない何かが潜んでいたと言う事でしょうか・・・くわばらくわばら。
皆さんもどうぞお気をつけ下さい。

498 :
>>496
そうそう、そうなんだよ!

499 :
>>491で動きが
> 調査の進捗状況
メモ
http://toolbar.netcraft.com/site_report?url=www.aica.co.jp

500 :
アイカやられてんのかよwwwwwwww

501 :
>>497
exploitって言うのは脆弱性を利用するものなんだが
分類的には外部からのコードを実行させる類っぽいぞ。
そのコードを検知したからブロックされたんだと思う。
ワームとかが無差別に狙ってきたんじゃないの

502 :
>>499
ブロックリスト北
http://dns-bh.sagadc.org/domains.txt

503 :
未だにvvvを復号したいけど出来ん・・・
英語さっぱりダメだし、(n)inja csirt見ても何が分からんのかも分からん・・・
誰か助けて・・・orz

504 :
パソコンに詳しいヤツに頼めよ

505 :
無駄な努力をするな、新しいの買えw

506 :
>>504
いないお(´・ω・`)

507 :
>>506
んじゃあ、金だして業者にやってもらうか、諦めるかだな

508 :
vvvのすべてが復号できるわけじゃないしな

509 :
>>507
業者の価格見てみたら身代金より高い・・・

>>508
そうなの?
家族写真だからなかなか諦められないわ

510 :
>>509
ランサムウェアに感染したファイルを復号しますっていってるような業者はめちゃくちゃ高いけど、個人が営業してる町のパソコン修理屋とかあるじゃん?

ああいうところに頼んだら作業料(1〜2万くらい)でやってくれると思うんだけど

511 :
>>510
まじで?
ちょっと探してみる。ありがとう。

512 :
ランサム来たー!!拡張子.losers ファイルがどんどん汚染されてクー 4TBがぁー・・・

513 :
とりあえずセーフモードでスタートアップ調整で再起動。タスクマネージャーで変なの動いてたら停止

514 :
5種類ぐらいウイルス一度にくると対策ソフト無効化されて意味なかった

515 :
写真、動画、TXT、アプリ、dll、などなど拡張子変えても死んでる・・・

516 :
ネットワークのほかのPCにも・・・感染してた・・・

517 :
.losersについて 復号などの情報はないでしょうか?ちなみにisoファイルは無事でした。

518 :
「DriverMax」っていうドライバまとめ更新ソフトが便利で、youtubeからやり方をまねたのが失敗でした。クラック実行したらとたんにワラワラと湧き出てきて収拾がつかなくなりました。

519 :
>>511 おいおいw
もうパソコン辞めた方がいいな君は

520 :
そんなに大切なものならまともな業者に依頼したほうがいいとおもうが
カスペのやつじゃダメなの?

521 :
安物買いの〜になる未来しか見えないけどなw

522 :
Win10 FCU に標準で、アンチランサムウェア機能が付いたな。

523 :
安い業者は大手からノウハウを買って商売してる単なる代理店みたいなものだよ
店で出来ないやつは大手に依頼する
流石にランサムでやられたHDDを1、2万では無理かと

524 :
>>523
いや、彼のは解除ツールでてるやつだよ

525 :
今日はじめてCybereasonRansomFreeがdllhost.exeやexeplorerがファイルを暗号化してるって検知した
C:とユーザーとD:に暗号化されたファイル入りのフォルダがその度にできて削除するとCybereasonRansomFreeがまた反応してフォルダを作るみたい

どうも暗号化してるのはこのソフトじゃないのかって感じがするんだけど

526 :
ちょっと何言ってるか分からない

527 :
それが普通の挙動

528 :
え?じゃあこのフォルダは永遠に置かれたままなの?

529 :
あのフォルダが罠って言うか囮になってるんじゃねぇの?

530 :
囮なのはそうたけと、検知するのはおかしいよね

531 :
>>528
うちもそんな感じで、消しても消しても意味不明内容のtxtやxlsx、pdfとかそこに置かれてフラグメンテーションの元に
なるから、アンインストールしちゃったよ。

532 :
>>531
だからそれは囮で仕様なんでそういうもんだっての

533 :
知らないうちにウェブコンパニオンというソフトが入ってたんですが、普通に削除すれば大丈夫でしょうか?

ESETで検索しても異常は出てきませんでした

534 :
>>533
ここはランサムウェアスレですよ
スレチです

535 :
>>533
>ESETで検索しても異常は出てきませんでした
だったら別に削除する必要はないんじゃないの?ESET信用してんだろ?

536 :
保守

537 :
誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。

グーグル検索⇒『加藤のセセエイウノノ』

PR30Q7ZS3X

538 :
風呂上がりの鏡に映った俺がいつもより格好良く見える
ハンサムウェアに感染してしまったかもしれん

539 :
でこから上が輝いてるぞ

540 :
鏡にトロイの木馬が仕込まれていることにも気付いていないのかよ

541 :
今年はもっとランサムウェアが凶悪化すると思ったがそうでもなかったな

542 :
保守

543 :
捕手

544 :
テレビでやってたけどランサムウェアって北朝鮮がつくってたんだってな
嫌がらせしてそれがいったい国になんの利益をもたらすのか
目的がさっぱり理解できな

545 :
身代金だろフツーに考えて

546 :
>>545 ランサム の意味をいまだに判ってない奴がいるんだよ >544みたいに
きっとリアルで同じようなこと言って指摘され顔真っ赤にしてる

547 :
>>546
いいことして皆をよろこばせれば評価は上がるんだぜ?
身代金だって引き出ししてたのほぼなかったらしいし

548 :
うん

549 :
北朝鮮は底抜けのアホだからな、身代金で大儲けを企んでたけど、払う人は
そんなにいないうえにすぐに対策ソフトが出たりして思惑が大きく外れてしまった
って事なんだろうね。

550 :
ウィルス対策変更したらアンチランサムフリーがやられてたみたいでウィルスだって削除されて
再インストールしてスキャンしても無反応なのよ
いつやられたんだろう?
結構気をつけてたんだけどな

551 :
アクロニス、ランサムウェア対策ソフトを無償公開、AI技術を使った「Acronis Ransomware Protection」
https://internet.watch.impress.co.jp/docs/news/1103039.html

552 :
現在って暴露ウイルスとか流行ってないの?
win10なら感染しない?
自営業で顧客名簿扱ってるから怖いんだが

553 :
>>552 金にならない愉快犯的なのは減ったね
でも、無くなったわけじゃない

554 :
心配ならオフラインにするしかない
データ置き場にするなら安いノーパソでもいいだろ
NASは逆に危険

555 :
>>554 ルーターのNAT設定入れてないNASなら怖くもなんともないだろ・・・

556 :
ウイルスにやられたらアウト

557 :
>>556 屁理屈レベルだな

558 :
>>557
やられてからでは遅いと思うよ?

559 :
安全神話でもあるんだろうな

560 :
>>558 気持ちの問題? 根拠ないじゃん このスレはそういう迷信的なのは要らないから

561 :
自己責任だから好きにしなよ

562 :
GandCrabってランサムウェアに感染した。
調べたら最近見つかったものらしい、注意してください。

563 :
>>562
どこで感染したの?ネット?フラッシュ?メール?

564 :
>>563
感染源は現在のところ不明です。
会社のネットワークドライブから感染したファイルが見つかりました。

565 :
「アクロニス、無償で使用できるAIベースのランサムウェア対策機能を発表」
https://securityinsight.jp/news/13-inbrief/2973-180129-2

アクロニス・ジャパンは1月25日、独自に開発したAIベースのテクノロジーを採用したランサムウェア対策機能「Acronis Active Protection」を、「Acronis Ransomware Protection」として無償で提供することを発表した。

566 :
>>565 挙動監視だね
あんまり負荷はなさそう
ただ、どこまでこれで守れるのかちょっとわからない
常駐アプリの監視はしてるけど、タイマー式にどこまで対応するのかがわからない

567 :
ランサムウェア「GandCrab」、2種類のエクスプロイトキットで拡散--Malwarebytes
https://japan.zdnet.com/article/35114045/

 新種のランサムウェアが出現した。多くのランサムウェアと異なり、2つのエクスプロイトキット(うち1つは姿を消したと考えられていた)によって拡散され、やや知名度の低い暗号通貨での支払いを要求する。

 米国時間1月26日に初めて確認されたランサムウェア「GandCrab」は、2つのエクスプロイトキット「RIG EK」「GrandSoft EK」によって配布されていることがわかった。セキュリティ企業Malwarebytesの研究者が詳細を報告している。

 GandCrabは、RIG EKを通じて配布されている。このRIG EKは、「Internet Explorer」や「Flash Player」の脆弱性を突いて、JavaScriptやFlash、VBscriptをベースにした攻撃を開始し、ユーザーにマルウェアを配布する。

568 :
「Adobe Flash Player」にゼロデイ脆弱性 〜Adobe、修正版を5日にリリースへ
https://forest.watch.impress.co.jp/docs/news/1104489.html

 米Adobe Systemsは1日(現地時間)、「Adobe Flash Player」にリモートから任意のコードが実行可能な致命的な脆弱性(CVE-2018-4878)があるとして、セキュリティアドバイザリ(APSA18-01)を公開した。
本脆弱性を悪用したWindowsユーザーに対する標的型攻撃も確認されているとのことで、警戒が必要だ。

569 :
ランサムウエア保管の疑い、香川 22歳の男性を書類送検【社会】- 徳島新聞社
http://www.topics.or.jp/worldNews/worldSociety/2018/02/2018020801001577.html

送検容疑は昨年8月28日、48時間以内にビットコインで1万4千円相当を支払うよう画面に英語で表示するランサムウエアを外部記録媒体に保管した疑い。
海外の掲示板を通じて購入したといい、「ランサムウエアを使って生計を立てようと思った」という趣旨の供述をしている。

570 :
Win10のランサム対策機能使ってる奴いるかな?

571 :
ランサムはウイルスだから、Win付属の対策機能なんか使わずとも、
専用のアンチウイルスで十分だわ
ただWinはいわゆる迷惑ソフト(詐欺ソフト)を駆除するようだから、そっちはありがたいかも

572 :
>>571 ゼロデイ攻撃で仮想通貨が散々やられてるのに、頭湧いてんのか?

573 :
>>571 は無知という盾を手に入れた

574 :
やりすぎ防犯パトロール、特定人物を尾行監視 2009年3月19日19時7分配信 ツカサネット新聞
http://headlines.yahoo.co.jp/hl?a=20090319-00000026-tsuka-soci

この記事で問題になった通称やりすぎ防パトは、創価学会と警察署が引き起こしていたようです

掻い摘んで説明すると

・創価学会は、町内会や老人会、PTA、商店会等の住民組織に関し、学会員が役員になるよう積極的に働きかける運動を
 90年代末から開始し、結果、多くの住民組織で役員が学会員という状況が生まれた

・防犯パトロールの担い手は地域の住民と住民組織で、防犯活動に関する会議や協議会には、住民組織の代表に役員が出席する為
 防犯活動や防パトに、創価学会が間接的に影響力を行使可能となった

・防パトは住民が行う為、住民が不審者や要注意人物にでっち上げられるトラブルが起きていたが
 創価学会はその緩さに目をつけ、住民組織を握っている状況を利用し、嫌がらせ対象者を不審者や要注意人物にでっち上げ
 防パトに尾行や監視、付き纏いをさせるようになった

・防パトは地元警察署との緊密な連携により行われる為、創価学会は警察署幹部を懐柔して取り込んでしまい
 不審者にでっち上げた住民への嫌がらせに署幹部を経由して警察署を加担させるようになった

・主に当該警察署勤務と考えられる創価学会員警察官を動かし、恐らく非番の日に、職権自体ないにもかかわらず
 私服警官を偽装させて管轄内を歩いて回らせ、防犯協力をお願いしますと住民に協力を求めて回り
 防犯とは名ばかりの、単なる嫌がらせを住民らに行わせた(防犯協力と称し依頼して回っていた警察官らの正体は恐らく所轄勤務の学会員警察官)
 ※これに加えて防犯要員が同様のお願いをして回る

・こうして防犯パトロールを悪用し、住民を欺いて嫌がらせをさせつつ、創価学会自体も会員らを動員し、組織的な嫌がらせを連動して行った

つまり警察署に勤務する学会員警察官、警察署幹部、創価学会が通称やりすぎ防犯パトロールの黒幕

詳細は下記スレをご覧下さい
やりすぎ防犯パトロールは創価学会と警察署の仕業だった
https://rio2016.2ch.sc/test/read.cgi/bouhan/1516500769/

575 :
>>565のレビュー
https://forest.watch.impress.co.jp/docs/review/1105908.html

576 :
>>575
年間980円で250GBってかなり安くね?

577 :
ランサムはソフトウェアだったりアドオンのアプデとかでやられるサプライチェーン攻撃が一番怖いな
メーカー開発環境とか鯖の脆弱性が狙われて、いつ混入するか分からんしね
今のマルウェアはマルウェア本体を後からDLするタイプとかだから検知するのが困難だし

578 :
学園ランサム

579 :
ほとんどのウィルス対策ソフトが検出するようなこんな物怖くなんかないわ
例えネット経由でダウンロードされたとしても実行時にUACもブロックするし対策ソフトも警告するわ
そもそもが、発見当初でも感染した少数のアホな奴らは.exeファイルを叩いた奴とポート丸開けの企業サーバーだけだよ

580 :
あっそ

581 :
久しぶりに来たら
前は>>2あたりにいろいろ対処法載ってたのに
今はまともな対処法が載ってないサイトへのリンクだけになってて草

582 :
だって、わかりやすい感染パターンとかないし、暗号化されたら復旧できるかどうかウイルス作った当人でさえ判らないとか。
そういうまともじゃないウイルスなので、PCから切り離された場所にバックアップして被害を抑えるくらいしか対策できないじゃん。

583 :
未だに多いのは素人の脆弱性放置とメールで添付されてくるパターンだよ
チェックを掻い潜る為にpdfとかエクセルで送ってきて、それ自体に実行ファイルは入ってない

584 :
YESYESYES連打は一定数いるからなぁ
どんなにガードしても

585 :
それとは別に、無意識のうちにクリックしてしまうヒューマンエラーもある
だからこそ企業は専門家を雇って様々な対策をしている
侮るとコインチェックみたいになる

586 :
これもランサムとは直接関係ないけど、このスレでも口酸っぱく言われてたことが書かれているね
http://www.itmedia.co.jp/news/articles/1803/13/news015.html

587 :
基本的には解読ツールがない種類はデータの復元できないよな

588 :
>>586
http://www.itmedia.co.jp/news/articles/1803/13/news015_3.html
>TCP/80やTCP/443番といった、誰もが利用し、サービスに不可欠なポートはなかなか止められないことも課題です。

個人のユーザーならWAN側に対してはルーターを噛ましていれば、設定が何も出来なくてもパソコン側へのロケーションはされませんから
初心者さんであればあるほど安全という事になります
家庭内のWebカメラとか機器へスマホなどの外部環境からアクセスしたい場合には、
ルーターの設定が必要になりますので開いているポートの脆弱性について熟知している必要があります

また、企業についてはバカとしか言えませんから、セキュリティに関して脆弱なところは勝手に感染してろよですね
個人ユーザー側として被害を被らないのならば、そんなのどうでもいいですよね

589 :
これなんか>>454さんの状況と殆ど同じだな
https://news.mynavi.jp/article/20180318-ransom/

590 :
だ!

591 :
な!

592 :
ん!

593 :
ランサムウェア「GandCrab」、Flashの脆弱性で拡散開始か
https://japan.zdnet.com/amp/article/35117475/

594 :
>2月にAdobeが修正したFlash Playerの脆弱性「CVE-2018-4878」

拡散しねえし、Flashのアドオンを更新しないまま仕掛けられているサイトに行くやつがアホ
ついでにセキュリティソフトもGandCrabがダウンロードされた時点で実行される前に騒ぎ出すだろ

595 :
それが世の中にはセキュリティソフトの更新を手動にする馬鹿が居るんだよ
あと、7だとOSアプデが手動だったり、ノーガード状態が多数存在する
そもそも感染する奴の殆どが基本的な対策すらしてない奴ばっかりなんだし

596 :
>>595
その理屈だとそんな奴らはこんなとこも見ないし、URL貼り付けたって何の意味もねえよな
俺はその記事を見た奴らが、ちゃんとセキュリティ対策をしていれば心配するこっちゃねえんだよと言いたいだけ

597 :
>>596
ランサムウェアスレだから、ランサムウェア関係のニュース貼られてるだけだろ

588は一般的なこと話してるのに急にスレ限定の話とかし出して頭大丈夫か?

598 :
ランサムウェアDMA Lockerに感染したHerrington & Companyは、1700ドル(18万円)の身代金を支払う代わりにIT企業Proven Data Recovery社に6000ドル(65万円)でデータの復元を依頼したが、
FBIの調査でProven Data Recoveryは犯人に身代金を支払ってデータを復元したことが判明

https://twitter.com/kitagawa_takuji/status/989379591482499072?s=21

599 :
無理なものは無理だわな

600 :
日本の業者もたぶん同じことしてる

601 :
18万の身代金の代わりに、65万でデータの復元を依頼する時点で気が付くだろと・・・
身代金払って駄目だったのなら分かるけど
記事は読んでないけど、業者は最初に料金を提示しなかったのかな?

602 :
会社イメージ的に犯罪者との直接取引は避けたかったとかじゃない?
現にProven Data Recovery社は犯人に資金提供したと情報開示されてるし

603 :
それはあるかも

604 :
今日初めてランサムウェアに感染したわ
仮想マシンだったから本体は無事だったけど書き込み許可してた共有フォルダは全部死んだ

605 :
何をして感染したの?

606 :
>>605
多分ウェブブラウジング
必要があっていくつかヤバそうなサイト潜ってた
時だと思う
サイト特定出来なくて申し訳ない

607 :
ワナクライ以降は危ないサイトとかは行かないようになったなぁ

608 :
ブラウザやセキュリティソフトは何を使用していたのか、見たのはどこのサイトだったのか気になる

609 :
OS、ブラウザ、セキュリティソフトは気になるな

610 :
OSはwin7pro、ブラウザはIE11、セキュリティソフトは切ってました

611 :
ノーガードはあんま参考にならんなw

612 :
まぁ仮想マシンだから分かってやってたんだろうけど
参考にはしにくいなw

613 :
すごくおもしろいパソコン一台でお金持ちになれるやり方
参考までに書いておきます
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』

GOTQ0

614 :
で、実際、本当にバージョンが上がって検知能力がアップしてるのか?という疑問だが、セキュリティソフトの能力比較テストで、以前、ランサムウェアの検知能力を調べているのがあった
https://avlab.pl/sites/default/files/68files/ENG_2016_ransomware.pdf

ここではESETのV9とV10 Betaで同じランサムウェア28種類をテストしてるが、V9の検知率は25/28、V10 Betaでは27/28となっていて、明確に差が出ている

615 :
すまん、誤爆したわ

616 :
初めてランサムウェアの被害にあったのでご教授いただきたく書き込みをさせていただきます。

Windows7にてネットに転がっていたexeファイルをうっかりクリックしてしまい主にCドライブ以外のファイル名が、
[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india
となってしまい、主に2TBの2台と3TBのHDDの中身もすべて暗号化されてしまいました。
転がってるEXEをクリックなんて怖くて一度もやったことが無いのに、就寝間際でボーっとしてました。。

なんのウイルスの特定と復号をしたいのですが、 >6 の方法ではうまく動作しませんでした。
まもなく寿命を迎えるであろう2頭のワンコとの写真をはじめ、多くの思い出を健忘症によって部分的に忘れ消えてしまうのがしんどいです。

この状況をどのように脱したらよいのか、どのような情報をお伝えしたら改善するのか、お教えいただけたら嬉しいです。
どうぞよろしくお願いいたします。

617 :
>616 の訂正です。
[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india
ではなく
[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india.com
です。

618 :
>>616
そのランサムウェアはCryptONの亜種だが。。
復号出来るかの情報は持ち合わせてないな。。

ちなみに身代金はいくら?

あと参考までにセキュリティソフトは反応しなかったのか教えてほしい

619 :
>>616
https://www.bleepingcomputer.com/news/security/crypton-ransomware-installed-using-hacked-remote-desktop-services/
これ?
https://www.bleepingcomputer.com/forums/t/635859/crypton-ransomware-support-help-topic-id-number-x3m-locked-r9oj/

メアドの、というかindiaっていうとここでは2度目かな、随分と久しぶりだ まだやってるんだな

620 :
>>616
セキュリティソフトは入れてたの?まさかノーガード?

621 :
ID:zb/4U/do0 です。

>>619 さん、英語は一切読めないので何なのですが、
> https://www.bleepingcomputer.com/news/security/crypton-ransomware-installed-using-hacked-remote-desktop-services/
の中の
https://www.bleepstatic.com/images/news/ransomware/c/crypton/may-2018-campaign/crypton-ransom-note.jpg
のhtmlファイルが各フォルダに置かれています。

>>618 さん、
CryptXXX系かなとは思っていたのですが、CryptONの亜種ですか…。
セキュリティソフトは「Microsoft Security Essentials」のみで、今回に至るまではそれなりに働いてくれていたので安心しきっていました。
今回のexeクリック直後から自動的に検疫・削除を終始繰り返していましたが、いかんせん、就寝直前でボーっとしていたのでランサムであることが表示されていたのかは覚えていません。
気が付いた直後、ああだこうだとやっているうちに履歴を削除してしまいました…。
ちなみに、原因になったウイルス入りデータの配布場所は何となく把握しています。
まさかこんなことになるとは思わず、近々全面的にバックアップをやり直すつもりだったのでバックアップのバックアップが入ったHDDもPCに繋いでおり、半日ほどPCを起動したままだったのでこれらも被害に遭ってしまいました。

身代金は1000から500にダウンしました。
以下、メールのやり取りです。(認証番号は一切伝えていません)

>2018-05-25 19:43 GMT+09:00 ransomed me <ransomed@india.com>:
>last price 500$

>At 25 May 2018 09:35:20 +0000 (+00:00) from maga mail <■■■@gmail.com>:
>そんなお金は手元にありません。
>どうか■■■家族との思い出を返してください。お願いです。

>2018-05-25 15:53 GMT+09:00 ransomed me <ransomed@india.com>:
>Hello. Price for full pc decryption is 1000$ in bitcoin or etherium

>At 24 May 2018 20:07:29 +0000 (+00:00) from maga mail <■■■@gmail.com>:
>ファイルが見れなくなりました。
>どうやったら見れるようになりますか?

622 :
>>620 さん、
ID:zb/4U/do0 です。
ほぼノーガードと言わざるを得ない感じですよね。。
健忘症には逆らえないんです…思い出を取り戻したいです。
お知恵をお貸しください。

623 :
Windows 7でSecurity Essentialか
ノーガードとは言えないかな

EMSISOFTがCryptONの復号Toolを出してる見たいだけど試してはどうかな?

ランサムウェアをばらまく方も復号Toolで復号できちゃうランサムウェアを新規に作るとは思えないので可能性は低いけど

だめなら残念な言い方になるけど、どうしてもデータを復活したいなら500ドル払うしかないと思う

時が経てば、ランサムウェアの脆弱性が判明してあとで暗号化されたファイルが復号できるツール等が出る可能性もあるけど、これは運がいいケースで、永遠に復号出来ない可能性のほうが高いので

624 :
ID:zb/4U/do0 です。
>>623
>ノーガードとは言えないかな
お気遣いのお言葉、ありがとうございます。

>EMSISOFTがCryptONの復号Toolを出してる見たい〜
https://decrypter.emsisoft.com/ の「Emsisoft Decrypter for CryptON」ですかね?
暗号化されたファイルをドロップすると
「Please drag and drop both an encrypted and unencrypted file onto the decryptor at the same time.」
アプリ翻訳によると「同時に、暗号化されたファイルと暗号化されていないファイルの両方をデクリプタにドラッグアンドドロップしてください。」と読み取れるのですが、暗号化されていないオリジナルのファイルが必要という事ですか?泣

お金払って元に戻った話し、見かけないんですよね…。不安。。

625 :
写真ならスマフォに残ってねーの?
そん中に暗号化されたファイルの元ファイルあるんじゃね

626 :
ID Ransomwareで確認するとか?

627 :
>>625
写真は無いのですが、過去に一部だけバックアップしていたword(.doc)とExcel(.xlsx)があったので、
・[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india.com
・[元ファイル名].[元拡張子]
を2個まとめてドロップしても同じメッセージが出ました。
これって、Emsisoft Decrypter for CryptON では無理という事ですよね…。(TT)

628 :
>>626
>Cry36
>このランサムウェアは現時点では復号する方法が存在しません。
と、表示されました。。

629 :
じゃあ無理じゃ無いかな。
どうしても復旧したいなら
あとは一縷の望みを掛けて500ドル払うくらいしか無いかと。
勿論払い損になる可能性も有るけど、
いつか復号ツールが公開されるのを延々と待つよりはまだ希望があるかなと個人的には思う

630 :
大事な思い出なら勉強代としてはまあ安いもんだろ

631 :
>>624
Emsisoft Decrypter for CryptONでだめでしたか

ページの説明に
".id-_locked", ".id-_locked_by_krec", ".id-_locked_by_perfect", ".id-_x3m", ".id-_r9oj", ".id-_garryweber@protonmail.ch", ".id-_steaveiwalker@india.com_",
".id-_julia.crown@india.com_", ".id-_tom.cruz@india.com_", ".id-_CarlosBoltehero@india.com_" and ".id-_maria.lopez1@india.com_".
とあったけど、ransomed@india.comが載ってないですね。

やはりCryptONの亜種の新型バージョンで現行の復号ツールでは対応できないみたいですね。

632 :
>>631
そうなんですよね、最近出回りだしたものなのかGoogleで「ransomed@india.com」で検索しても変な誘導サイトばかりで…。
こんなに大規模な被害は初めてなので、ほんと、しんどすぎます。。

633 :
ID:zb/4U/do0 です。
これまでにお金を払ってデータが戻った例ってあるのでしょうか…?
犯人はそれぞれ違うのでしょうけど。。

634 :
>>632-633
英語読めないならしかたないけど、612に
Emsisoftのdecryptorは今の亜種には効かないことも、
ID-Ransomwareのこともダメもとでできる(可能性がある)こともみんな書いてあるんだけどね
(てかgoogle翻訳も使えないの?)

最新情報が入るとすれば612のforumかemsisoftのサイトだろうし、
普通に検索したっていつものように詐欺ソフト誘導サイトばっかだろうし、
日本語で得られる情報って特にないよ

635 :
そもそもバックアップもしていないし、.exeファイルを叩いた上でなおさら実行まで許可しちゃっているんだから
データを全部削除されたってしゃーないよね
危機管理能力の欠如なんだから事項自得でしょう
データサルベージ不能になって右往左往している連中と何ら変わらないように見える

636 :
ランサムウェアに感染したらどうする? 本音で語るランサムウェア被害の復元と対策
ttps://mypage.otsuka-shokai.co.jp/contents/business-oyakudachi/it-security-course/2016/201608.html
>身代金を安易に支払うことを勧めるものではありませんが、
>事実から言うと、最近のランサムウェアは支払えば復元できるものが多いのです

2016年の記事だけど。
まぁ「過去の事例」なんて参考にならんよ。犯人によってスタンスが違うだろうし。
無駄金が嫌なら同一ウイルスの情報を海外のForumで収集しないと。
英語に触るのは嫌だけど無駄金も嫌なんて只の我が儘だろ

637 :
>>619 追加
https://support.emsisoft.com/forum/83-ransomware-first-aid/
の主に
https://support.emsisoft.com/topic/29517-ransomedindiacom/

638 :
>>633
ShadowExplorerを使ってボリュームシャドウコピーからファイルを復元する方法も626さんの場合、Cドライブ以外がやられているので、無理なので・・・

ということで結構厳しいっぽいですね。
ちなみにお金を払ってデータが戻った例ってあるのか?という話だけど、自分が見聞きした範囲では戻るほうの率のほうが高いです。
http://www.atmarkit.co.jp/ait/articles/1605/13/news101.html
とかね。この被害者は知人でした。

あとは、このスレのPart2で支払ってデータ回復できた人がいた。
https://tamae.2ch.sc/test/read.cgi/sec/1457785786/617-644

他にも
http://tamae.2ch.sc/test/read.cgi/sec/1468625700/5-6

https://tamae.2ch.sc/test/read.cgi/sec/1457785786/87

もちろん、だからあなたも大丈夫とは言えませんが。

支払いの締め切り日とか書いてませんでしたか?
ファイルを取り戻すために金払う気が少しでもあるなら、平行して仮想通貨の支払いができる環境を準備しておいたほうがいいです。
取引所との契約とかしておかないとすぐには支払えないので。

もちろん安易に金払うことをすすめてるわけじゃないですよ。
実際、最初の記事の被害者は当時、金払って解除しましたが、あとになってTeslaCryptの復号ツールができて、結果的には金払わなくても解除できたということもありました。
http://www.itmedia.co.jp/enterprise/articles/1605/20/news068.html

でも後になって解除ツールができるかどうかは神のみぞ知るくらいのレベルです。
犯人と連絡が取れなくなったら金払って復号もできないですし。

639 :
復旧業者も結局犯人に金払って解除してるとか聞くしなぁ...

640 :
>>638
この頃、身代金が1.25ビットコイン=6万円だったというのが驚きw

今は1ビットコインは80万円だけど、去年の12月には240万にもなってた
10ビットコインくらい買っとけば。。

641 :
ID:zb/4U/do0 です。

>>634 さん、
理解しました。。

>>635 さん、
仰るとおり右往左往しています。申し訳ありません。

>>636 さん、
英語が読めないこともありますが、そもそも知識が無いので理解に時間がかかるようです。
特に今焦っていますので。。
幸い?、犯人とのメールのやり取りに大して時間を要しておらず、元に戻る証拠として1個ファイルを送ってみろと言われています。
正しく復号されるようならば500$払おうかと思ってます。
ただ、bitcoin・etheriumをやってないので 何をどうしてよいのやら。。

>>638 さん、
仰るとおり、ShadowExplorerでは無理でした。
お教えいただいた記事、ありがとうございます。
熟読させていただきます!

支払い期限、いまのところ明記されていないような気がします。
返信されてくるメールも焦らすような文言は一切無いですし。
後々復号ツールが出てくるのでしょうけど、その保証はありませんし班員と連絡が取れなくなる前に勉強代として$を払う方向で考えています。
でもbitcoin・etheriumの知識が皆無なので、何をどうしたらよいのか調べなくちゃ。。泣

>>639 さん、
有りえそうですね。ちょっと笑ってしまいましたw
いまのところ業者に依頼するつもりはありませんが、情報をお教えいただきありがとうございます。


みなさま、差支えが無ければ引き続き復号出来る兆しが見えるまで お付き合いいただけたらありがたいです。
どうかよろしくお願いいたします。

642 :
>>641
あり得そう、ではなく、業者もやってることは、解除ツールが出てるやつは解除ツール使って、解除ツールが無理なのは身代金払ってやってる >>598

643 :
>>623
7のMSEなんてほぼノーガードに近い
あったら助かったかもしれない機能が全くないのだから

644 :
まぁ、2010年のSecurity Essentials 2.0以降、8年間も機能アップはされてないもんな

毎年機能強化されてる市販セキュリティソフトやクラウド機能で検知率の大幅向上を果たしてるWindows Defenderと比べると厳しいわな

645 :
windows7はメインストリームサポートは終わり、延長サポートもあと1年半強しかないからな

646 :
総合セキュリティソフト代をケチって、バックアップ代もケチって
それ以上の出費が必要となった悪いパターンだな

647 :
>>645
それは今回の問題とはなんの関係もないけどな

648 :
>>616
> ネットに転がっていたexeファイルをうっかりクリックしてしまい
転がっているEXEとはどういうこと(もの)でしょうか
いろんなソフトを扱っているサイトから有用そうなソフトをダウンロードしたということですか?
何かのソフト、または架空のソフトを装っていたのでしょうか?
また、ブラウザでローカルにダウンロード後実行したのでしょうか?
後学のためにもお手数ですがぜひ教えていただければと思います

649 :
私も
>>621
>ちなみに、原因になったウイルス入りデータの配布場所は何となく把握しています。
が気になってました。
一体どこからダウンロードしてしまったファイルなのでしょう?

650 :
アドレスを書くのが嫌なら、何を検索して辿りついたのか、サイトのジャンルだけでも書いてくれないとね
短縮URL踏んだ先にあったとか?
悪質なエロサイトでもexe単体なんてまず置かないと思うし、そういうサイトはセーフブラウジングでブロックされる危険もあるので広告収入のサイトではメリットが無いのでやらないよね
それとも、SmartScreenやセーフブラウジングでブロックが出来ないAWS上に置かれてたとか?

651 :
そう思い込んでるだけで、
実際はRDP開けっ放しでそこからだと思うが
記事にもあったように

652 :
RDP開けっ放しは普通だけど、ルーターがRDPを普通は通さない

653 :
「ウイルス入りデータの配布場所」って言ってるから割れ系じゃないのかね?
市販ソフトかゲームのクラック済みexeのつもりで拾ってきたとかそういうオチ。
非正規と自覚してるからSmartScreenの警告を無視して実行したとかなら割と納得できる

654 :
ID:zb/4U/do0 です。
風邪ひいて全身がぎっくり腰みたいに痛くて寝込んでました。。

>>648->>652
あらかた >>653 さんの仰る通りです。
URL載せようと思ったら、DLされるファイルが違うものに置き換わってました。

以下、経過報告です。
犯人とはチャットツールではなく、暗号化されたファイル名に書かれているメールアドレス先と直接やり取りをしているのですが、
「we can decrypt 1 small file for free. for this, pack the file into a rar archive, load it on sendspace.com and send me a link」
という事で暗号化されたJPEGを送ってみたら、復号されたものが届きました。。
という事で、賛否はあるとは思いますが500$払う事にしました。
犯人からは「my bitcoin wallet [34文字の乱数字]」の送り先口座番号?の情報が届いています。

とりあえずBitcoinに関しての知識が無く、開設までに時間が掛かることもあるという事なのでとりあえずGMOコインとDMM Bitcoinの2か所に申し込んで口座開設をしました。
いま現在、たぶんBitcoinが買える状態です。…いきなり500$分を買えるのか不明ですが。
さて、これをどうしたらよいのか、 >>638 さんからの記事を読んでいます。
Bitcoinの買い方〜送り方云々は専用板で聞いた方がここの皆さんにご迷惑掛からないですよね…?

655 :
>>654
買い方送り方は相談するならツイッターとかで接触出来る専門家に相談して、オープンでやったほうがいい
掲示板だと悪い奴が近付いてきて騙される可能性がある

656 :
>>655 さん、
なるほどです。
Twitterではあまり社交的なことをしていないのですが、相談してみます!

657 :
>>654
報告乙です
ひとつアドバイスしたいのは、払うと決めたなら、できるだけ早く支払いしたほうがいい

のんびりやってると、相手は騙すつもりがなくても、相手が警察などに逮捕されたり、または他の理由で活動を停止したりすることもあるので、ずっと連絡を取れるとは思わないほうがいい

658 :
>>657 さん、
アドバイスありがとうございます。
GMOとDMMの口座を開設したはいいけど、Bitcoinの買い方がいまいちよくわからないことと、
犯人から一言だけ「https://blockchain.info」と送られてきたんだけど、この使い方が全く分からないんです…。
ひとりで夜な夜なサイトを回って調べていますが。。

659 :
払うべきじゃないだろ

660 :
そもそも、人に言えないような実行ファイルをダウンロードしてなったんだから、次回も拾ってやらかすだろうな。

661 :
払わない方がもちろん良いのだろうけど、ほかにデータを回復する手段がない場合はやむを得ない

662 :
ID:zb/4U/do0 です。
ご報告が遅くなりましたが、
13日の夕方過ぎにBitcoinを送金予約、
14日の昼過ぎに送金完了、
15日の深夜に犯人からunlock.rarのダウンロードURLと起動用ID(暗号化されたファイル名内の9桁の乱数字)とパスワード(700桁の乱数字)が記載されたメールが届きました。
RARのファイルサイズは183,156 バイト、解凍後のunlock.exeは421,376 バイト。

で、さっそく作業開始すると、どんな大容量のデータでも一瞬にして復号化されていき、数時間で全てのデータが復号化。
但し、ファイルのプロパティにある「更新時間」が復号化された時間になってしまうという少し残念な結果ではありますが。。

最終的な被害金額は、交渉開始時に$500US相当のビットコインのレートが0.066BTCで日本円で55000円くらいでしたが、6/13時点では47000円ほど(諸経費除く)。

いろいろとご教授いただきました皆様、本当にありがとうございました。
以後、いろいろと気を付けたいと思います。

663 :
>>662
結果報告乙でした。
騙されなくてよかった。
ちゃんとデータ復元できたようでなにより。

あとは、マイクロソフト以外のセキュリティソフトに変えることをおすすめ。

AVLabというところで各種セキュリティソフトでランサムウエアに対するテスト結果が発表されていたけど、マイクロソフトのWindowsDefenderだけ成績が悪い。
Security EssentialはWindows Defenderよりも性能が劣るので論外・・・

https://avlab.pl/sites/default/files/inline-images/AVLab%20tabelka%20Ransomware.png
https://avlab.pl/en/best-antivirus-software-2018-based-three-security-tests

664 :
5万で済むなら安いもんだわな
業者ならそれ以上取りそうだし

665 :
業者は被害者から15万とって5万を犯人に払って復旧するからね

666 :
業者がランサム流して身代金ゲット!自分が流したやつ修理頼んできたら犯人に払う分も必要なく丸々ゲット!
とかそのうちやりはじめそう

667 :
ランサムなんて作ってばら撒く奴はその業者みたいなものだろ、実質

668 :
>>663 さん、
プロバイダがJcomなので、とりあえずはそこで配布してる「マカフィー for ZAQ」を久しぶりに入れました。
…時々重くなるので気が引けるのですが。
https://cs.myjcom.jp/knowledgeDetail?an=000477720

>>664 さん、
結果的に元に戻せた事とこの程度で済んだのはのは不幸中の幸いというか、勉強代として納得してます。。

669 :
>>665 さん、
なんだかなあ…
いい人ばかりじゃない世の中、切なくなります。。

>>666 さん、
>>667 さん、
案外多いと思います、いわゆる自作自演的な。
だって、ばら撒くだけでは誰徳?ってハナシですもんねえ。。

670 :
>>668
「気が引ける」の意味を辞書で調べた方がいいと思います

671 :
博多大丸なんとかに似てる

672 :
>>ばら撒くだけでは誰徳?ってハナシですもんねえ。。
金払った奴が言うことじゃなくねw

673 :
>>672 さん、
自分への恨み節というか、嫌味ですw

674 :
>>668
マカフィー重いなら、ESETおすすめ
たぶん重さを感じることはないと思うけど、とりあえず30日体験版試してるのがいいかも

1台用3年版 3980円
https://www.eset-smart-security.jp/store/order_esetsec_lp.php?page=eset_180403code_cp&type=input

5台用3年版 4980円
https://www.amazon.co.jp/dp/B06XPZCX11/

675 :
>>674 さん、
3年で3980とは!
メモメモφ(・ェ・o)

676 :
負け惜しみにしか聞こえないw

677 :
>>676
そりゃそうですよ。
だめですか?

678 :
>>677
レス乞食はスルーしといたほうがいい

679 :
>>678 さん、
はい、そうさせていただきます
ありがとうございます

680 :
>>674 >>675
5台用3年版 3980円セール
https://nttxstore.jp/_II_QZX0016823

681 :
ランサムウェア「Thanatos」の被害からファイルを復旧するツールをTalosが無償公開
https://forest.watch.impress.co.jp/docs/news/1130189.html

682 :
もうずっと遊んでいるフリーゲームを久しぶりに起動したら初めてランサムウエアが検出、 復元出来ないファイルしぶしぶファイル削除したけどどっから出たんど

683 :
いろんな企業が感染してるけど予防策ってないんだろうか

684 :
バックアップ 隔離

685 :
>>683 今だとレンタルUTMかな NTT東日本がやってる奴

686 :
>>683
メール使うのをやめるw
いや、以外とマジで効くと思うよww

687 :
>>685
箱置く奴か
結局パケット監視じゃないのかね

>>686
そりゃそうだバカが一番の原因

688 :
>>683
管理者権限を持っているユーザーがメールの添付ファイルが.exeでも実行しちまうんだから防ぎようがない
制限付きユーザーとして使わせて、これらの実行時に要求される管理者のパスワードは絶対に教えないことだな

689 :
屁の突っ張りにもならないことはないと思うので
とりあえずAcronis Ransomware Protectionを入れてみた

690 :
WebページのCMに含まれる怪しげなスクリプトとかを
完全遮断できるなら屁の突っ張り程度には役に立つかも

691 :
保守

692 :
甥っ子がGANDCRAB V5.2に感染して泣きついてきたので記念に書き込む
画面のホップアップが煩くて英語版ノートン落としたらしくて起動したらしい
ダウンロードボタンで1発で起動してディスクトップのソフト類が.lvucdファイルに次々書き換えられ
そのままセーフティにせずバックアップしてめでたくバックアップも感染で詰んだらしい

カペルぶち込んでみたらtrojan17オーバー個仕込まれ、試しにシェアソフトで復号化、復元ためしてみたができず
650,000個以上の.lvucdにされ削除クッソ時間かかるし不安らしくクリーンアップした
画像やソフト類を壊滅させるけど起動自体は出来るのは中々すげぇなこれ思わず笑ったわ

693 :
甥っ子のログみてたら多分このあたりだとおもう、確かではないが
norton cracked version  fenssy で検索かけると出ると思うがクリックすんなよ手が付けられん

694 :
 私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。

695 :
知り合いがnmijjtbっていうのを食らったらしい
くっそめんどくさい

696 :
ググっても中国語か朝鮮語しか出てこないな
あっ・・・(察し)

697 :
NO MORE RANSOMで、「GandCrab」の暗号解除ツールが公開された。
https://www.nomoreransom.org/ja/decryption-tools.html#GandCrabV1V4andV5versions
病院のカルテが暗号化されたのも解除されたかな?

698 :
復元出来ても単なる個人の環境とは違うから大変そうだな

699 :
GANDCRAB 5.0.4に感染してしまいました。
動画や写真が、すべて読み込めなくなりました。
配布されているツールも試してみましたが、だめでした。

700 :
ランサムウェア「GandCrab」対応復号ツール、100万ドル超の被害回避--Bitdefender報告

 ルーマニアのセキュリティ企業Bitdefenderは、先週ランサムウェア「GandCrab」に対応する復号ツールを無償公開してから、被害者がGandCrab攻撃の犯人グループに総額100万ドル(約1億1300万円)超の身代金を支払うのを防いだとしている。

 Bitdefenderによると、ツールをリリースしてから数時間で、少なくとも1700人以上の被害者がGandCrabによってロックされたファイルの復号に成功したという。

 Bitdefenderは10月25日、欧州刑事警察機構(Europol)やルーマニアの警察当局などの法執行機関と協力して、GandCrabの複数のバージョンに対応する復号ツールを無償公開した。

 このツールは、GandCrabのバージョン1(拡張子「.GDCB」)および4(拡張子「.KRAB」)、5(複数文字のランダムな拡張子、現時点の最新バージョン)に対応している。

Bitdefenderが復号ツールを公開した翌日、GandCrabの犯行グループもBitdefenderによる復号ツールに対抗できる新バージョン「v5.0.5」をリリースしたとしている。

 Bitdefenderによると、「最も被害が多いのはGandCrabのバージョン4と5」だという。

 多くのセキュリティ専門家が、ランサムウェアに暗号化されたファイルを置いておき、数カ月中に公開される無償の復号ツールを待つよう、常に被害者にアドバイスしているが、BitdefenderのGandCrab対応復号ツールはそうした理由を示す好例だ。

https://japan.zdnet.com/article/35127946/

701 :
>>699
5.0.4なら、BitDefenderの復号ツールで復号できるようなニュアンスのことが書いてるがダメなん?

702 :
感染したファイルの名前が、複合化ツールに記載されてるものは、おそらく復元できると思いますが、当方のファイル名は記載されてるものではなかったので、だめでした。

703 :
感染経路はメールの偽装添付ファイル?

704 :
感染経路はグーグルクロームのブラウザに、インストールされていないフォントが
あります、とかポップが出て、何気なしにインストールクリック。
ファイルが感染して開けなくなって調べてみたら、そのフォントをインストする
ポップがランサムウェアの感染の典型でした。

705 :
ohそれはまた典型的な。。。

706 :
とりあえず、USB接続のHDDにバックアップしていた動画や写真は被害無しだったのが
不幸中の幸いでした。バックアップは3つのHDDに取っていましたが、マザボにつなげて
いるものは全滅です。
なので、ネットサーフィンはノートパソコンかタブレットオンリーでやることにして
メインのディスクトップパソコンでは、ネットをしないことにしました。
ウィルスソフトは亜種などを含め、意味がないように思われるためネットは
被害が最小になるよう、端末は分けようと決めました。

707 :
そういう考え方もそれはそれでわかるけど、
696氏もいうように、
その感染経路というかパターンってもうたぶん2年くらいは前からある方法で、
ふだんからある程度定期的に、その手のセキュリティのニュースに何らかの形で接する習慣をつけたほうがいいと思う
もう判で押したように同じパターン、で流行り廃りがあるから
範囲が狭く済むだけで、またかかるよ

708 :
今回の件で、絶望の闇の底に突き落とされたのです。
唯一の救いが、外付けのHDDが助かっただけでした。
思い出の家族の写真や動画が、危険にさらされないようにするのなら
多少の不便はしかたないと、受け入れようと思っています。

709 :
>>708
で、ウイルス対策ソフトは入れないんか

710 :
>>704
exe系の実行には実行許可のダイアログが表示されただろうよ
ユーザーアクセス制御を無効にしちまっているんなら自分の責任だし、
脆弱性の云々は実行ファイルにゃ通用しないよ
管理者権限で使っているんならそれくらいは自覚しとかにゃいかんよな

711 :
>>704
セキュリティソフトは何も入れてなかったん?

それとも入れていたけどブロックしてくれなかったですか?

712 :
>>706
将来的に、復号ツールが5.0.4にも対応できるようになる可能性があるので、ファイル自体は残しておいたほうがいいと思うよ

713 :
>>708
絶望の闇の底、というくらいまでのダメージ受けてるなら身代金払ってデータ回復したらいいのに

このスレでもどうしてもデータが諦められないひとは金払って、データ回復してる例がある >>616-662
過去スレでもいた

もちろん100%戻るという保障はないから、最終的には自分で判断するしかないけどね

714 :
泡立てるパワーは凄く強いです。浅いコップだと、勢いがありすぎて、こぼれます。コップに蓋をするなどして、
こぼれない工夫が必要かと思います。また、本体を立てることができるスタンドがついているのは便利でした。
星を1つにしたのは、数日で壊れたことです。棒が折れてしまい、すぐに使えなくなり残念でした。

715 :
どう誤爆したんだ?

716 :
キッチン小物じゃね なんとなく

717 :
レビューっぽいが

718 :
コップからこぼさなくなるまでグンマーの豆腐屋で修行しろ

719 :
ランサムウェアってなにかなぁ
テロリストに捕まったとき着せられる
オレンジ色のやつかなぁ

720 :
tp://d2gfnym7wzulsm.cloudfront.net/pc_shleld_lite_2/index.html
---------------------------
Web ページからのメッセージ
---------------------------
Windows Security Center: Your PC Shield Internet Security subscription has expired today. Renew now to protect your computer from the latest Ransomware viruses.
---------------------------
OK
---------------------------
これってランサムウェアです?

721 :
>>720
違う
こんな簡単な英語読めないのか

722 :
>>720
Windowsセキュリティセンター:PCシールドインターネットセキュリティのサブスクリプションが今日満了しました。
最新のRansomwareウイルスからコンピュータを保護するために今すぐ更新してください。

723 :
広告ということですかね
すみません

724 :
というかランサムウェアだと思ったならそんな危険なアドレスを直接貼るなよw

725 :
ネカフェのPCに繋いだ外付けHDDがランサムウェア(GANDCRAB 5.0.4)にやられたみたいで
画像ファイルとかが拡張子変更されてたんだけど、これってHDDをフォーマットすれば大丈夫なの?
なんか拡張子変わってないファイルもあるけどそれは残しておいても問題無いのかな?

726 :
>>725 大丈夫

ただ、ネカフェにデータの入ったストレージを持ち込む時点で脇が甘いんじゃね?
普通に考えて、そういう脇の甘い奴は自宅でもやらかしてる

727 :
ファイルは消えるが、初期化してしまえばランサムウェアなんて関係なくなる。
勿論、バックアップは取ってあるんだよな?
無いのだとしたら脇が甘すぎるわw

728 :
>>726>>727
そうなのか情報サンクス
ランサムウェア初めてだったからネカフェでいきなり背景変わった時はアレ?くらいにしか思わなかったわ
やっぱりバックアップ取るのってめんどいけど大事なんだな…(初歩的)

729 :
まともなネットカフェだと電源落とす度にOSイメージが復元されてウイルスなんて気にしないでいいんだけど、そうじゃないところもあるんだな

730 :
まともなネットカフェとやらの区別がつかないしな

731 :
>>729
今どきのネットカフェって、そんなことになっているのか!
たまがったばい

732 :
>>731
今どきの、って言うけど、10年以上前からそういうシステムのネットカフェは多かったよ

こういうやつ
https://www.tbpress.jp/solution/recovery.html

733 :
以前と比べると最近はランサムウェアの感染の話、あまり聞かなくなったよね?

もちろんなくなったわけじゃないけど、一時は大騒ぎしてたのに今は全然って感じ

734 :
知名度が十分に上がってきたからじゃね?
大半がメールの添付ファイルとかネットに転がっているexeとかだから
まぁ存在と危険性を知ってれば避けることは容易だし。
勿論例外もあるから感染者は今もいるんだろうけど

735 :
マカフィー入れてたが
GandCrab5.1にかかってモーター

736 :
>>257
チョン製なんか使うなよ

737 :
RansomFreeはサポート去年終了してるんだな

738 :
>>737
マジで?

739 :
>>735
マジかよ
マカフィー防いでくれなかったのかよ
入れてるんだが
マジで怖いがな

740 :
Ransome free マジだった。。
https://www.cybereason.co.jp/news/info/3074/

無償版でまだ生き残ってるのはAcronisのくらい?
Malwarebytesのはずっとベータテストしてたけど有償版に機能統合されたよね

741 :
MalwarebytesのAnti-RansomwareはBeta版として提供され続けているよ。
https://forums.malwarebytes.com/topic/211708-latest-version-mbarw-beta-v-0918807-build-196-released-jan-16-2019/

Bitdefenderのは更新はされてないけどダウンロードは今でも出来るみたいだ。
https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vaccine-released/

742 :
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12202466437
716さんの仲間かもね

743 :
助けて下さい
出先で外付けHDDを繋いだところGandCrab V5.1にやられました。大切なデータが多く諦められません。
質問なのですが、
1.このHDDを他のPCに繋いでも大丈夫でしょうか(感染が広がったりしないか)
2.拡張子が変更されていないファイルもあるのですが使用しても大丈夫でしょうか
3.GandCrabを駆除するおすすめの方法を知りたいです
4.データの復旧は可能でしょうか、また、その方法はどうすればいいですか?

近日に使用するデータもあり、頭を抱えています。どうかお力添えをお願いします。

744 :
まあ無料でってなら無理だね。
現状金はらうしかない

745 :
>>743
1
たぶん大丈夫
でも最悪データが消えてもいいPCで体験版でもいいのでカスペルスキーかノートンの入ったPCでスキャンすることをおすすめする

2
大丈夫

3
どういう意味で「駆除」と書いてるのわからないけど、感染したのは「出先」のPCなので、外付けHDDにはウイルス(ランサムウェア)はいないはず

まぁ、万一という事もあるので、1で書いたようにチェックしたほうがいい
もし見つかればウイルス対策ソフトが駆除してくれる

4
GanCrab 5.1は現状、身代金を払う以外にデータ復旧する方法はありません
5.0.3までは復号ツールが出てるので、将来的に、5.1も5.0.3までと同じように復号できるようになる可能性もありますが、永遠に復号ツールが出ない可能性もあります。
どちらかは現時点ではわかりません。

どうしても暗号化されたデータを復旧させたいなら身代金を払えばデータが戻る可能性は高いですが、100%戻る保証があるわけではないので、おすすめするわけではないです。

このスレでも過去スレでも、身代金を払ってデータ回復した例はあります。
>>616-662

746 :
>>743
> 近日に使用するデータもあり、頭を抱えています。どうかお力添えをお願いします。

近日中にどうしてもデータが必要ならいつ出るかもわからない5.1対応の復号ツールのリリースを待てないだろうから身代金を払うしかないかもしれないですね

100%の保証はないがこういう話も
http://ascii.jp/elem/000/001/159/1159153/index-2.html

747 :
総合セキュリティソフトとは別枠(共存可)のランサムウェア専用対策ソフトって
大分下火になってきた気がするけど2019年現在で実用性的にどうなんだろう?

748 :
私もHDDのアクセスが激しいと思ったら5.1に感染していました、打つ手はないようなのでGMOとDMMの口座開設の手続きをしました。

749 :
>>745-746
ありがとうございます。
身代金を払う以外の復旧手段は無いのですね・・・
HDDが大丈夫そうなら残っているデータを確認して対応を決めたいと思います。

750 :
>>748
セキュリティソフトは何を使ってました?

751 :
訳のわからない添付ファイル実行したとか以外で感染するんか

752 :
>>750
マカフイーでWindows7です、感染元はわかりません、復旧したらWindows10にしようと思います

753 :
>>752
マカフィー使い続けるなら738の言うランサムウェア専用対策ソフトも入れたほうがいいですね

754 :
>>741
教えてくれてありがとう
Malwarebytesのがベータ版でも更新されてるのはありがたい

以前入れてて特に問題はなかったし、これをあらためて入れることにする

755 :
>>735氏と>>752氏って同一人物?!
別人だったらめっちゃ怖いわぁ、俺もマカフィー使ってるから。。
マカフィー、GandCrabの最新版を検知出来ないのかね?!

756 :
GandCrab感染経路
 1.Webサイト閲覧(ドライブバイ・ダウンロード)
   『条件』
    (1)最新のWindows Update が実施されていない
    (2)Adobe Flash Playerが最新版ではない
 2. ウイルスメール
    (1)迷惑メールの添付ファイルを開いた
    (2)迷惑メール本文中のリンクからダウンロードしたファイルを開いた
 3.exeを拾い食い

こんなとこ?
マカフィーに限らずウイルスとセキュリティソフトは所詮イタチごっこだから
今のは検知できても次の亜種を検知出来るとは限らないよ。

757 :
739です
複合までいけたので報告します
まず、作成されたtxtに書いたあったアドレスにTorでアクセスしたところ、身代金、送付アドレス、身代金倍増までの時間
が表示されました、身代金はDASHで$550US、BITCOIN(+10%)と提示されていました。
開設まで間に合いそうにないのでチャットで伸ばしてもらいました
1/30に開設できたので、DASHは取り扱いがないのでBITCOINで送金、30分後位に画面が変わりDecryptorがDLできるようになりました。
送金額は日本円で65000円ほどになりました。

DLしたDecryptorで複合中ですがコマンドプロンプトで実行されバックアップを取りながら複合しているので遅いです
24時間以上複合しているのですがまだ終わりません

高い授業料でした。

758 :
貴方はそれでよかったかもしれないけれど、
そのいわゆる身代金が次のランサムウェアの開発や拡散に使われ新たな被害者が増えていく、
という現実にもキチンと向き合って欲しいね

759 :
>>757
報告ありがとう
流れが参考になりました
高い授業にはなったかもしれないけど、身代金を払ったが復旧できないという最悪のケースにはならなかったようでよかった

760 :
24時間以上かかるとか復号ってそんなに時間かかるんだ
暗号化されるのはあっという間なのにね

761 :
ランサムウェア「Love you」、日本を標的とした大規模なキャンペーン
https://news.mynavi.jp/article/20190201-764924/

762 :
今流行るなら「即位しませんかスパムメール」も
立太子ボタン押したら暗号化させるタイプなんだろうな

763 :
>>758
大事な我が子が誘拐されました
身代金を払えば返してあげるけど、払わなかったらもう返ってこないよ、と言われてやむなく身代金を払った人を非難できるでしょうか?
いや、できないでしょう

もし彼が身代金の支払いをしなかったら、今後ランサムウェアの被害は減るのでしょうか?
いや、払っても払わなくても変わらないよね
タリバーンのテロ組織とは違うんだから

764 :
>>763
PCのデータは我が子ではない
非難してない
例えば、誰一人として身代金の支払いをしなければ経費倒れに終り次のランサムウェアの開発や拡散は不可能になる

> という現実にもキチンと向き合って欲しいね
という話
理解できない人はいちいち出てこなくていい

765 :
綺麗事ばっかw

766 :
>>761
俺のところにもおととい、「Erika Toda」を名乗るメールが
来てたな、速攻で消したけど。

767 :
「現実にキチンと向き合え」って具体的に何にどう向き合えって言ってるんだっつー話だよな

たぶん言ってる本人もわかんないんだろうが

自分が格好つけるつけるために言ってるだけじゃね

>例えば、誰一人として身代金の支払いをしなければ

ありもしない妄想かよ
アホくさ

768 :
データをバックアップしとけばいいだけじゃね?

769 :
言いたいことは分からんでも無いが
2016年時点でランサムウェア制作者が手にした金額は10億ドル以上って言われてるのに
2019年時点の6万円そこらに目くじら立てるのはなぁ

お前が海にしょんべんしたから津波の被害が増えたばりのアレだわ

770 :
中学生が新聞に投書するようなレベルの理想論w

771 :
おぉこんなことでえらいカッカするヤツ多いんだな面白い
被害者が、カネを払うことで犯罪者側に資金援助という形で加担する、
単なる被害者から被害者兼加害者になっちゃう、
という無色透明な話なのにな
ここで、テロ組織に身代金を渡すなー! とか書くと安倍がーの人が現れたりするんかな

772 :
>>757
報告乙です。

773 :
>安倍がーの人が現れたりするんかな
でたw論点ずらしw

>誰一人として身代金の支払いをしなければ経費倒れに終り
>次のランサムウェアの開発や拡散は不可能になる
こういうことをのたまうのは、無色透明というより純粋無垢だよ。
無学無能と言い換えても良いレベル。

774 :
ボクが考えた最強のランサムウェア撃退法ってかw

775 :
>>757はこのスレにあくまで厚意で、ランサムウェアに感染後の対応という役立つ報告をアップしてくれてるのに、何様か知らんが無関係の>>758があんなただの理想論で上から目線で諭すとか笑止千万だわ

こんなやつがおると今後、事後報告してくれる人が減るかもしれない
せっかくの生のリアルな情報がやりとりされる場なのに

ということも分からず無意味なチャチャチャ入れるようなやつだから馬鹿なんだろう

776 :
誰か研究用として検証できるような端末を持ってる人、
https://freesoft-100.com/security/ransomware.html
にあるようなランサムウェア専用の対策ツールがGandCrab 5.1でも有効なのか確認してみてくれないかい?
https://twitter.com/abel1ma/status/1092001030416433152?s=21
(deleted an unsolicited ad)

777 :
>>757
警察には被害届はだしたんですよね?

778 :
>>777
ハハハ、ナイスジョーク

779 :
捜査情報の入ったCD-Rからウイルス感染、福岡県警がイントラを一時停止
ttps://tech.nikkeibp.co.jp/atcl/nxt/news/18/04092/

780 :
>>779
ファイルをコピーした事実が正しいのならその後に.exeを実行しているからだ
コピーなどしていなくてもCD-R内にあった.exeファイルを直接実行しているかも知れない

781 :
>>780
そこまでアホじゃないんじゃないか

俺の妄想では、捜査情報ってのは押収した電子メールで、添付ファイルがWord形式
開いてマクロが実行されてランサムウェアを呼び込んだパターンかな、とか

782 :
福岡県警に入っているセキュリティソフトはウイルスバスターらしい
https://twitter.com/itnews_jp/status/1093457225115267072?s=21
(deleted an unsolicited ad)

783 :
ウイルスでPCがバスターされちまったな

784 :
やっぱランサム対策にはそれ専用のアンチランサム入れないと
駄目か?
win10の設定が飛んじゃって、面倒臭いからしばらくほっぽって
Linuxを使ってたら、いつの間にかサイバーリーズンのアンチラ
ンサムのサポートも終わってたしなぁ、どうしよう・・・

785 :
最終的にはユーザーアカウント制御画面の警告確認画面が表示されているのに
(添付ファイルでも展開後に最終的には実行ファイルに対しては確認画面が表示されます)
どの実行ファイルに対して制御が掛かっているのかも確認しないで使用ユーザーがOKしてしまうんだからムダです

786 :
UAC回避のランサムウェアなんて数年前から出回ってるけどな

787 :
特権昇格の穴と組み合わせているのに引っかかっているんなら
さっさと穴を埋めるの方が先だよな
そんなヤツらは勝手にどんなものにでも引っかかっていて下さい

788 :
何言ってんだこいつ

789 :
意味不明ならもっと知識が必要だな
こんな所でアドバイスなんてしていないでもっと勉強しましょう

790 :
ぼくのかんがえた系の発言は無意味 だからw

791 :
ユーザーアカウント制御を回避するランサムウェアやマルウェアなんてなんて数年前から出てるのに
https://www.mbsd.jp/blog/20171012.html
https://tech.nikkeibp.co.jp/it/atcl/news/15/020900463/

>最終的にはユーザーアカウント制御画面の警告確認画面が表示されているのに
(添付ファイルでも展開後に最終的には実行ファイルに対しては確認画面が表示されます)
>どの実行ファイルに対して制御が掛かっているのかも確認しないで使用ユーザーがOKしてしまうんだからムダです

とかしたり顔で言う無能

792 :
Windowsの仕様ザルすぎて草

793 :
>>775
仰る通り。

そもそも >>758 は何故上から目線なのか?非常に不愉快。

794 :
ユーザーアカウントの制御画面をパスするって事はsysytem権限で実行されるって事だぞ
管理者権限で実行されていたら確認画面は表示されます
その最初の画面でOKしてしまっているから感染しているのですよ
それらのサイトの内容は全く信用なりませんw

795 :
脆弱性の穴を突いて実行して権限昇格ってのは管理者権限で実行すると
勝手にウィルスなどの実行プログラムがsystem権限に昇格されて実行されちまうって事だぞ
だから、ユーザーアクセス制御画面をスルーする
嘘っぱちな記事なんて信用しているんじゃないよ
まあ、今の所サイト閲覧だけで実行されるようなものはここのところずっと発生していないようだから
問題なさそうだけどoffice製品の穴辺りは放って置くとヤバいかも知れないけどさ・・・

796 :
>ユーザーアカウントの制御画面をパスするって事はsystem権限で実行されるって事だぞ

797 :
>>791
https://tech.nikkeibp.co.jp/it/atcl/ncd/14/457163/020900436/
> 1)Dridexが、アプリケーション互換性データベース($$$.sdb)、バッチファイル($$$.bat)、Dridexのコピー(edg3FAC.exe)を作成する。
> 2)アプリケーション互換性データベースのインストール・アンインストール用コマンド「sdbinst」を使用して、$$$.sdbをインストールする。
> 3)iSCSIイニシエータのコマンドラインツール「iscsicli」をDridexが起動。$$$.sdbの設定に従って、iscsicli.exeが$$$.batを管理者権限で実行する。
> 4)$$$.batがedg3FAC.exeを管理者権限で実行する。
>
> 以上が可能になるのは、sdinst.exeやiscsicli.exeのような自動昇格プログラムは、プログラム起動時にUACの警告を表示することなく管理者権限に自動的に昇格するためだという。
>
> JPCERT/CCでは、今回紹介した新手法は従来の手法によりもシンプルなので、今後Windowsの仕様が変更されたとしても、継続して用いられる可能性があるとしている。
> また、Dridexだけでなく、別のウイルスで使われていることも確認しているという。


シンプルに悪質な手口で草生える
ユーザーアカウントの制御画面はいつも使っているアプリケーションでも毎回表示される設定なせいで
そもそも動作が習慣化しやすい人間が毎日継続して使うことを前提にした設計になってないし
いつか自分も被害に遭う可能性を考えると頼りないな

798 :
>信頼できる企業・組織にデジタル署名されているプログラムと、
>sysprep.exeのような自動昇格プログラムを組み合わせて、ウイルスを管理者権限で実行させるという。

これは、いつも問題になっているバッファオーバーフローなどの脆弱性を利用しているものと推測される
こいつはいつもsystem権限に特権昇格して実行されてしまうので、決して管理者権限としての実行ではない
管理者権限で実行されたものはUACアカウント制御の画面が必ず表示されます
でも、マイクロソフトのOSなので確実ではない可能性は十分にありますよ

799 :
GANDCRAB v5.1用の複合ツールはまだか!?

800 :
UAC回避機能を複数搭載したランサムウェア「HkCrypt」

https://www.mbsd.jp/blog/20171012.html

たったのこれだけでUAC回避って・・・

801 :
まあ、UACなんて80%くらいの人が無効にしてるだろう

802 :
検索したんだけど「HkCrypt」の実態がわからん
これは自体は実行ファイルですよね?
普通にクリックしたのでは、最初に一度だけUAC制御画面が表示されると思いますよね
脆弱性を利用して普通の実行ファイル以外のものが走った際に主にやられてしまうものなんでしょうかね?
実行しちまうとUAC制御画面をスルーするだけですか?
この説明を見る限りは各ベンダーがリアルタイムスキャンで対応していて当たり前の挙動だと思いますが
未対応なんですかね?

803 :
『「HkCrypt」が実装していたUACバイパスの手法は、今年になり海外のウイルス対策ソフトウェアベンダーの
 セキュリティ情報サイトで言及(※)されたUACバイパスの手法と同一であることが判明しました。』

Fileless UAC Bypass Uses Windows Backup and Restore Utility
https://threatpost.com/fileless-uac-bypass-uses-windows-backup-and-restore-utility/124579/

>>This attack, similar to a UAC bypass using the Event Viewer feature disclosed
>>by Nelson last summer, is fileless

>> “From an attackers perspective, this reduces the risk of their malware/payload getting detected
>>and quarantined by different security products.”

804 :
読む限りrootにsetuidされたプログラムが走らせるスクリプトのパーミッションが777に設定されてるようなもんだと思うんだけど
修正されずに放置されてんの?

805 :
お前のセキュリティーソフトは新種・亜種すべてに対応してる、完璧なものなのか?
実行ファイル???
お笑いものだな

806 :
totalvirusってあるよね
あれのハッカー版があるんだよ
作ったウイルス検知されないか調べるHPがある

807 :
https://www.mbsd.jp/services/ransomware_defender.html

ランサムウェア対策の難しさ

ここ読めばいい

808 :
>>805
>脆弱性を利用して普通の実行ファイル以外のものが走った際に主にやられてしまうものなんでしょうかね?

この言ってる意味がわかるか?
トリガーになる「HkCrypt」になる実体ファイルは実行ファイルなのか?あんたにはわかっているのか?
それならば説明が欲しい
私が >>800 の最初にexplorer.exeの配下で起動されているものを見る限りは
実行ファイルだと思われる
てことは、一般的な感染ルートとして何らかの脆弱性の基でこの実行ファイルが起動されていると考えます

809 :
ランサムウェア「GandCrab」の復号ツールが機能強化 - 最新版にも対応
http://www.security-next.com/102646

810 :
なお、5.1までの復号ツールがリリースされたため、2/19に復号ツールが効かない5.2がリリースされた模様

811 :
おー 5.1対応してるみたいだね。

812 :
RSA-2048の鍵をどうやって生成するのかよく分からんけど
1ファイルは無料で復号できるってのが穴になってるんだろうか?

813 :
GandCrab 5.1の複合ツールで早速復号させて頂きました。
ありがたやありがたや。

814 :
>>812
それは関係ないんじゃないかな
一時猛威をふるったLockyも1ファイル無料で復元サービスあったけど、結局、復号ツール出なかったし

GandCrabも流行ってるけど、復号ツールと新バージョンのいたちごっこになっている
脆弱性が見つかりやすいのかな

815 :
>>813
ホントによかった
復号にはそれなりに時間かかるの?

816 :
>>813
ワロタ

感染する人いるんだな

817 :
>>815
物凄く速かったよ。バックアップ有り(オプション)でも。
ただ、セーフモード(+ネットワーク)で実行しないと、途中で進まなくなる事があった。

818 :
GandCrab 4/5はファイルの先頭1MBしか暗号化しないと書いてあるね

819 :
>>817-818
なるほど、そうなのね
ありがと

820 :
>>813
改善報告有り難い
よければURL載せていただけると助かります

821 :
本当にこれ国内で相当数の感染あるのかな?
どうもマッチポンプの気がするな

822 :
>>820
君は何を言ってるんだね?

823 :
The No More Ransom Project
https://www.nomoreransom.org/ja/index.html

824 :
最近、芸能人の名をカタり、圧縮ファイルを添付した変なメールが
くるもんなぁ。
いつも速攻で削除してるが、先週は「戸田恵梨香」、今朝も「金城武」
からメールが来てたw

825 :
>>820
>>809の記事にリンクはってあるだろが

826 :
>>824
日本語の壁は大きいよね

完璧な日本語で巧みに添付のマクロ入りWord文書を開かせるような文面だったらもっと感染者はもっと増えると思うわ

827 :
>>823のサイト右下部にある「GandCrab (V1, V4 and V5 up to V5.1 versions)」で5.1の復号化できた
貴重なエロDVDのデータだから助かったわ

828 :
「Takayuki Yamada!」など、日本の芸能人(男女を問わず)の件名の不審メール、午後もバラ撒かれています。
添付されたファイルは、GandCrabランサムウェアに感染させるマルウェア(広義にはウイルス)ですので、絶対に開かないよう、お気を付け下さい。
https://twitter.com/harugasumi/status/1099917637117591552?s=21

これ、GandCrab 5.2を落としてくるマルウェアらしいが、新種(亜種)が出たばかりではセキュリティソフトの定義ファイルではほとんど検知できないな
https://www.virustotal.com/ja/file/736895b5b6b194e55499c6ee6004fe2be2c90d079d7d59ed319c510a12ec675d/analysis/1551073656/

ヒューリスティック検知とかで見つけてくれるのかしら
併用可能なランサムウェア専用のセキュリティソフトもいくつかあるけど効果があるのかいまいちよく分からない
(deleted an unsolicited ad)

829 :
さっきチェックしたら、また来てたわ〜
今度は、「阿部寛」と「クリスタル・ケイ」w

830 :
天然痘のようにいつか根絶する日が来るんだろうか?

831 :
挙動自体はファイルの暗号化&元ファイルの削除一括処理.batだから
OSの機能として暗号化が行われる際はバックアップを取るようにして
削除含めた複数の処理が行われた場合はユーザーに確認を促して続行するか中止して復元するかを選ばせるだけでも止まるんだけどな

832 :
ランサムウェアに感染するようなレベルのやつの言うことなんて説得力ゼロだわ

833 :
元ファイルが生のまま別途保存される暗号化処理って何の意味があるん?

834 :
暗号化処理するのはランサムウェアの挙動で
その暗号化処理が行われる前にOSがバックアップを作っておくってことじゃね

835 :
普通に考えて暗号化したブロック毎に逐一元ファイルに上書きだろうに

836 :
別にOSに暗号化をお願いするわけでもないから
ファイルを読んで読み込んだ内容を何か処理して上書きするってプログラムにしか見えないよ
もちろん誤爆を恐れないならそういう挙動をヒューリスティックに検出するってのはありうるけど

837 :
>>834
暗号化処理がランサムウェア由来か判断できないから
OS側で暗号化処理を察知したら毎回元データのバックアップを取るようにしろって話やぞ

838 :
ファイル上書きの場合はユーザーに確認獲れるまで別途バックアップ領域に一時保管しておくってのは良い線行ってるかもな
OneDrive/GoogleDrive/iCloud普及させたい思惑とも一致するだろうし

839 :
そもそもアプリのアップデートでファイル更新される事との違いすらOSにはわからんだろう
一体何Gのバックアップが必要になるんだよと

840 :
GB程度で済むなら設定する人多そう
アプリケーションのアップデートの時もどの領域が書き換えられているのか明示されたら
偽のアップデーターとかアドウェア混入の判別も付きやすいだろうし

841 :
GBオーダーの上書きと削除を毎回ユーザーに続行するか中止するか確認せるのか

842 :
スナップショット系のバックアップで5分ごとにバックアップをとる製品はあるから無謀ではないよね

843 :
今朝もいろんなやつからメール来てたな、「中森明菜」や「新垣結衣」
既に故人の「藤圭子」からも来てた (^^;

844 :
拡張子がqweuirtksdに代わってしまった。それとビットコインで支払えというtxtが貼られている

845 :
バックアップから復元して犯人たちをあざ笑ってやればいいだけ

846 :
NASでpassなしor簡易なpass?
モスクワの子がまたヒマになったか

847 :
>>846
はい、これはNASでPASSなしでした。

qweuirtksdはNASを狙ってくるんですか?

848 :
yes

https://www.bleepingcomputer.com/forums/t/684349/qweuirtksd-ransomware-support-topic-readmetodecrypttxt/

849 :
>>848
情報ありがとうございます。
NASの中にできたexeファイルを何回も削除しても生成されちゃって困ってましたが、

PASSを掛けたら 止まりました。
ということは外部からずっと入ってきたんでしょうか。。

とりあえず復元できる情報がなかったので
qweuirtksdの拡張子を消してそのまま使えるか試しました。

結果 mp3ファイルは 出だしの数秒が消えていましたが他は再生できました。

850 :
日本の芸能人の名前を件名にした悪質メールが拡散、ダウンロードされるのはランサムウェア「GandCrab」やスパムボット「Phorpiex」など
https://internet.watch.impress.co.jp/docs/news/1178925.html

851 :
cryptotesterがkasumiとかmistyにも対応してくれてたらなぁ

852 :
パソコンのファイルの拡張子の後ろに.lodetという拡張子が書き加えられてしまいファイルが開かなくなりました。
.mp3.lodet
.pdf.lodetなど

これもランサムウェアでしょうか?

853 :
挙動を見る限りそれっぽいね
金銭を要求されてるなら確実

854 :
>>853
ありがとうございます
やはりそうなんですね…
この状況を解決する手段などあるものなんでしょうか?
調べてみても.lodetの症状は見つからなくて…

855 :
「No More Ransom」プロジェクト
https://www.nomoreransom.org/ja/index.html

とりあえずここで確認してみるといいよ。
多分、一番情報が集まってるサイト

856 :
>>855
情報ありがとうございます。
ここに2つのファイルとテキストデータを入れた所、エラーが表示されてしまい何も得られませんでした…

857 :
まぁ今の時点で感染発病する時点でもうまともな対抗策は出てこないよ
諦めたほうが速い

858 :
>>857
そうですね…
ありがとうございます…

859 :
一応情報の共有というか…
ここのサイトに誘導されました。
http://www.torproject.org/

860 :
ところで金銭の要求はされてるの?
ビットコインで払え的な

861 :
>>8
まだ要求されるような画面には入って無いのでわかりません…
犯人がパソコンのいたるところに残した同じ内容のテキストデータを見ると、上のサイトに誘導されるような内容だったのですがまだ怖くてみてません

862 :
いまテキストデータを読んでて気がついたのですが、ウイルスの種類はgland crabというもののようです。

863 :
ご愁傷さまです
諦めましょう

864 :
GandCrabなら復号ツールが>>855で公開されてるね。
バージョンが合えばだけど

865 :
自分の知識が足らなくて感染したバカだと思って諦めましょう
次回からはきちんとバックアップしてオフラインとして置いておきましょうね
企業内でやらかしたのならば相当なアホですねw

866 :
参考になるなぁ

867 :
拡張子にcodnatがついてますが、これは何にランサムウェア何でしょうか?
対策は?

868 :
対策:クリーンインストール
今後:AI、ふるまい検知強化のアンチウイルスを入れる

去年からファイルレスなマルウェア・ランサムが増えてきたんで
ファイルR/Wをトリガに検知するアンチウイルスは無抵抗・無防備状態
ゼロデイも増えてきたので考え方の切り替えが必要だと思う

Cylanceとかかなぁ

869 :
「WannaCry」型マルウェア再来の恐れも 
Microsoftが5月の月例更新プログラムを公開

Microsoftは、5月の月例更新プログラムで79件の脆弱性に対処した。2017年に猛威を振るった「WannaCry」のようなマルウェアに利用されかねない脆弱性も含まれる。
https://www.itmedia.co.jp/enterprise/articles/1905/15/news075.html

ことの重大性に鑑み、なんとXPにもパッチ提供とのこと

870 :
>>867
これ、複合できないの?

871 :
GandCrab 5.2って対策出てないんやね

872 :
アカウントハックもランサムもどきだろ

873 :
>>871
IObitのマルウェアファイターの最新版でGandCrab5.2に対応してるはず。

874 :
マルウェアファイターだと5.2の複合化できるん?

875 :
現状まともに更新続いてる専用対策ソフトってAppCheckくらいだけど
これってどうなん?使ってる奴いる?

876 :
ファイルサーバが5.2にcドライブのファイル4/1ほどやられ、Malware Fighterでスキャンするも何も検出されず。
それ以降特に被害が増えることもなく今に至るんだが、そういうものなの?

877 :
ファイルレスな攻撃されたら、ファイルI/Oトリガのソフトでは検出できない
ファイルレスなのでPC再起動するとマルウェア自体は消滅するのでそこで被害は
ストップする

しかし、ファイルレスマルウェアを実行した行為を再度行えば同じく被害を受ける

この手のタイプはCylance(サイランス)とか、UTM(NGFW)といった最新型の
セキュリティ対策以外では防ぐことはできない

んで、その手のは個人・家庭では導入が金銭的に難しくハードルが高い
だから、個人・家庭向けは「バックアップで守ろう」という姿勢で対策をとってるが
当然この対処方法は「対処になってない」アホ丸出しで
有償無償を含めて今のランサムウェア対策は無能と言ってもいい

それは、つまり「駆除できない」という事実であり
SMBv1無効にした程度ではどうにもできない

パワーシェル型が非常に厄介でWindows使う限りMS側がなんとかしないとダメかも
今のパワーシェルって無防備JAVA時代と同じで、対策のしようがないレベルになってる
どうすんだろうね・・・

878 :
これでキャッシュレス社会は程遠くなるな
やっぱ現金主義が一番だ

879 :
Cylanceって個人向けなかったっけ?

880 :
>>879 どうかな現状、家庭・個人向けの購入窓口は無い気がするけど
DELLとかLannscopeとかOEMしてるので購入手段はあるのかも

881 :
4/1とかやられすぎて草

882 :
4倍か

883 :
>>880
https://shop.cylance.com/us

これとか

884 :
Cylanceって具体的な情報が全然情報無いな
ぼくのかんがえたさいきょうのそふと
みたいな記事はいくつかあるけど

885 :
デモできるんで使ってみたけど
基本は、クラウド上の管理機能で管理
常駐して監視するのは同じ

対象として、スクリプトを検出するのでPowerGohst的なのも検知・駆除可能
主要な他社アンチウイルスDBとの誤認確認もできるので
Cylanceではグレーでも、他社が黒なら許可しよう とかそういう切り分けもできる

自信の検知力よりは他社と見比べて判断する感じかな
スクリプトは 正誤の判断付きやすいので、ファイルレスマルウェアの対策には
この仕様の常駐監視が必要だとは思う

886 :
うげぇww
やられました

[helpyourdata@qq.com].actin

の拡張子のランサムウエア復元ソフトありませんでしょうか?

宜しくお願しますm(_ _)m

887 :
>>886 復元はOS機能なんで復元ポイントが残ってるなら戻せばいいんじゃね
まぁデータは対象外にしてる場合は諦めるしかない

あと、問題解決でググったサイトはサンドボックスブラウザで開いてね
リバースソーシャルエンジアリングなサイト多いので誘いこまれないように

888 :
>>887
やはり難しですか
ご返答ありがとうございます

889 :
>>886
テンプレにあるようにまずは、ランサムウェアの種類を特定すべき
https://id-ransomware.malwarehunterteam.com/index.php?lang=ja_JP

890 :
Bitdefender、ランサムウェア「GandCrab」の最新版にも対応したデータ復旧ツールを無償提供
「GandCrab」開発者は“20億ドル以上の身代金を得た”と主張しシャットダウンを宣言
https://forest.watch.impress.co.jp/docs/news/1191684.html

891 :
ランサム「GandCrab」提供者が引退、キー削除か - ベンダーが最新の復号化ツール
http://www.security-next.com/105875

892 :
>>891
最悪やん、永久に復号できないの?

893 :
gandcrabはv2とv3だけ未だに復号ツールないのはなぜなのか

894 :
>>871 >>876
よかったな
GandCrab 5.2の復号ツールが出たぞ

895 :
>>891
>収益の6割が分配されるアフィリエイトサービスの参加者が、同ランサムウェアをさまざまな方法で拡散、感染被害が広がった。

完全にランサムウェアビジネスとしてシステム化されてるんだよな

ビジネスだから信用が大事で、払えばデータを取り戻せるんだ、と被害者の信用を得ないと成功はしない

知恵袋とかでは、アホなカテゴリーマスターどもが身代金払ってもデータは返ってこないと連呼してるが、実態はこのスレでも>>662のように払えばたいていはデータは戻る

犯罪者に払うことがいいこととは思わないけど、払ってもデータは返ってこないと嘘をつくのはだめだね

896 :
ID:zb/4U/do0さんとほぼ同じ様な状況になりました、raynorzlol@tutanota.comです
ID RANSOMEWAREで調べたらPhobosとのことです
.adameで検索したら同様の質問がBleeping Computer Ransomeware Helpにあります。
現在犯人からのメールの返事を待ってます。
win10,AVGです・・・。

ID:zb/4U/do0 同様にお金で解決するならお金を払いたい所です。

また現在は別PCから書いてますが、感染したPCは個人データを残して「このPCを初期状態に戻す」を実行しましたが、
未だに同様の暗号化ファイルが出て、ポップアップで送金を要求する画面が出る状態です。

ご教授お願いします。

897 :
「個人データを残してこのPCを初期状態に戻す」だと文字通り一部データは保持したまんまだから
ポップアップも残るかもね

ちなみに感染経路同様にexe直踏み?

898 :
そうです

899 :
Sorry,I don't have enough money now...

please discount.

There are pictures of my family and memories.

please
On 2019/08/17 0:18, raynorzlol@tutanota.com wrote:
> Hello,
>
> You got hit by a ransomware.
>
> You need to pay 1000USD worth of Bitcoins in order to fully decrypt your files.
>
> Where to buy bitcoins?
>
> * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
> 'Buy bitcoins', and select the seller by payment method and price:
> https://localbitcoins.com/buy_bitcoins
> * Also you can find other places to buy Bitcoins and beginners guide here:
> http://www.coindesk.com/information/how-can-i-buy-bitcoins
>
>
> Attention!
> * Do not rename encrypted files.
> * Do not try to decrypt your data using third party software, it may cause permanent data loss.
> * Decryption of your files with the help of third parties may cause increased price
> (they add their fee to our) or you can become a victim of a scam.
>
> Once you ready to pay. Please email me and we will give you our wallet address for you to send the bitcoin there.
>
> Thank you!

900 :
返事が「700USD in 3 days」とだけ来ました
前回の方はlast price 500$とまで安くしてますけど、何か交渉があったのでしょうか?
なにかおすすめの文章があればアドバイスください。

901 :
ID:zb/4U/do0さんって誰かと思ったら>>616 >>662氏のことか

>>900
3daysとは厳しい犯人ですな
bitcoinの送金手段をすでに持ってなければそもそも3日では無理かと

>前回の方はlast price 500$とまで安くしてますけど、何か交渉があったのでしょうか?

日本語で「そんなお金は手元にありません」とメールしたら1000ドルにから500ドルに減額されたという話だったけど、犯人が違うんだからそこはあんまり参考にならないような気がする

>>621
>身代金は1000から500にダウンしました。
>以下、メールのやり取りです。(認証番号は一切伝えていません)

>>2018-05-25 19:43 GMT+09:00 ransomed me <ransomed@india.com>:
>>last price 500$

>>At 25 May 2018 09:35:20 +0000 (+00:00) from maga mail <■■■@gmail.com>:
>>そんなお金は手元にありません。
>>どうか■■■家族との思い出を返してください。お願いです。

>>2018-05-25 15:53 GMT+09:00 ransomed me <ransomed@india.com>:
>>Hello. Price for full pc decryption is 1000$ in bitcoin or etherium

>>At 24 May 2018 20:07:29 +0000 (+00:00) from maga mail <■■■@gmail.com>:
>>ファイルが見れなくなりました。
>>どうやったら見れるようになりますか?

902 :
金なんか払うなよ
犯罪を後押ししてるってことに気づけ

903 :
ホントそれだわ。
金払う→次のランサムウェア作られる→他の被害者を産む
の流れを理解して欲しい。

904 :
中東のゲリラ組織と違うんだから、>>896が金を払わない選択をしたからといって将来的にランサムウェアの被害が減る訳でもない
何も変わらない
被害を受けてない第三者が「払うな」と強要はできない

ただし、払うなら、払ってもデータが戻ってこない可能性もあるという覚悟で払うべき
100%戻ってくる保証はない

905 :
>>904
被害者全員が金を払わなきゃランサムウェア開発に手を割く暇人が減るだろうよ
まぁ、ウィルス開発なんて元々非営利の愉快犯みたいな所があったからゼロにはならないのは認めるが

906 :
個人がいくら払わなくてもメインターゲットの企業が払うから無意味だろ
で営利団体の企業が払わないはずがない

907 :
>>905
>被害者全員が金を払わなきゃ

可能性ゼロの理想論をぶち上げても意味は無いんだが

908 :
>>896
exeというのは明らかなな実行ファイルなわけですよね?
ちなみにexeというのはどういうexeなのでしょうか?
どこにでもあるようなフリーソフトを落としたもの?
有償の専門ソフトやゲームなどの海賊版的なもの?

またどの時点で発生したのでしょう?
起動した瞬間?

ファイルをダウンロードした時点やダブルクリックした瞬間などに
AVGは一切反応しなかったの?
またファイルの起動前にウイルスチェックはしなかった感じですか?

質問ばかりですみません

909 :
piratebayで手に入れた某ソフトのcrackです。
AVGは解凍した時は反応しませんでした。
今まではスキャンしなくてもexeをクリックした時点で自動的に削除してくれていたので、今回もしていませんでした。

発生したタイミングはインストールが昼頃だったんですが、暗号化されたファイルの更新時間を見ると、
テレビの録画もしてるPCで起動しっぱなしでスタンバイとかでもない状態で、
私が寝ている間に何も操作がなくなったのを見計らって暗号化された様な感じがします。
動いていたせいか分かりませんが録画フォルダのあるドライブは無事でした。

910 :
教えていただきありがとうございます

なるほど、、、
AVGのリアルタイム監視をすり抜けたっぽいということですよね
しかし無事なドライブもあったと

少しでもうまくデータがもどるといいですね
復号ツールとかあればいいんだろうけど・・待つのも手ですかね

911 :
>>899
昨今は作る人と使う人は別々なんで身代金が払われなくても開発は滞らないかな

>>909>>910
最近のウィルスは本ちゃんのファイルをダウンロードして実行するだけとかの
フロントエンドだけって言うものも増えているので、すでに既出でCCサーバが判明
しているようなものでないとリアルタイム監視や手動チェックでも検知不能だったり
する

怪しいファイルを試すならばFireWallで送受信監視をしておいておかしな通信を
始めないかの確認とVMWareみたいな仮想環境で試してみるくらいのことは
しないとやられまくるよ

912 :
テキサス州内の23の政府機関がランサムウェアの被害に
https://japan.zdnet.com/article/35141403/

913 :
リモートデスクトップで繋ぎっぱで寝てただけで感染したわ
PHOBOSってやつみたい
3台負荷分散運営でやってたが全部やられたわ
ただ朝起きて全PCのCPU使用率が100%なんで慌てて電源落としたので脅迫文表示まではいかなかったみたい
25年以上パソコン扱ってて初めてウイルスというものに感染
逆に関心、あるんだねこんな事

914 :
>>913
外部から繋いでいたのか?
繋ぎっぱなしにしていたら感染って、状況が読めん。

915 :
Phobosって>>896さんと同じじゃないか

去年の終わりくらいに出てきた割とマイナーなランサムウェアのように思っててたが、新型の亜種が流行し始めてるのかね

>>913
リモートデスクトップで繋ぎっぱなしにしてたから感染、というのがよく分からない
Windows Updateは最新にしてました?

916 :
>>914
>>915
Windows Updateは最新だね
RDPはローカルネットワーク内というか本当に自宅内のネットワークだったんだけど
パスワードも単純でポートもデフォルト番号でやっていた
一応プライベートネットワーク指定でやってはいた
それが原因か、それとも何か踏んだのか思い当たる節は無いんだよね
ネットで落としたソフトやファイルの解凍切っ掛けでウイルス対策ソフト無反応とかだったら無理ゲーだよな
今回を機に一応ポート変更とかファイヤーウォールでIP限定とかPWの間違え回数制限とか色々覚えたよ
まぁ、遅いけどねw
ちなみに拡張子は.actonというものでした
この拡張子以外にも他に結構多岐に渡ってあるみたいよ、同じPHOBOSの仲間の中でね

917 :
907だけどexeとかは踏んでないんですよね
ただrar解凍はしたかなぁと

918 :
>>917
そのrarは自分や近い人が作ったものではなく、ネット上から落としたもの?
mp3とか動画とか漫画的なこれまた海賊版的なものとかですか?

919 :
○○.rar     .exe
とかじゃなくて?

920 :
実際に個人がランサム系に感染するきっかけとしては
ネットから落とした出所不明の違法コピー系exeファイルを実行する、というパターンが
多い印象があるけどそれ以外で感染してしまった人いる?
例えば海外アダルト系サイトを訪れただけで感染しちゃったとか
改ざんサイトとかメール経由とか・・
メールの場合もexeクリックしちゃうんだろうか
あるいはjpgに偽装されてたり?

921 :
RLO偽装とかVBAを悪用したpdf、excel、wardファイルを開いて感染は良く聞く
photo_exe.rarみたいな実行ファイルとか

922 :
>>920
感染者じゃないが、今年前半は日本人をターゲットにしたメールばらまきが多数あった

>>824-829らへん

セキュリティソフトでも検知しなかったケースも多いようなので(今回の人もAVG無反応だったとか)リテラシーの低い人は、このメールの添付ファイルを開いて感染、というケースもそれなりにいたかもしれない

923 :
多くの場合、認識せずに実行ファイルを走らせてしまっているパターンに終止すると思われるけど。
ファイルレスでランサムウェア感染って事例あるん?
RDPの新手の脆弱性を突いたものだとしても、プライベートネットワーク内の出来事であれば、トリガーは何かしらあるはず。

924 :
>>921
その場合pdf、エクセル、ワードファイルは
ウイルスチェックした場合スルーされる構造なのかね そのファイルが本体を後から落とすみたいな
それとも暗号化する実行ファイルも含まれてたりするんだろうか
まぁケースバイケースだろうけど

ちなみにその例えでいくと
photo_exe.rar はダブルクリックしたら解凍に回されるんじゃなくて
実行されちゃうような感じ?解凍後自動で実行という想定?

925 :
>>924
RLO偽装は以下の記事が詳しい。結局は名前を変えた実行ファイル。
https://www.atmarkit.co.jp/ait/articles/0909/28/news088_2.html

VBA利用したランサムウェアとかウイルスチェック引っかかりそうだけどどうなんだろうね?
yaraiとかAppGuardみたいな新型のエンドポイントセキュリティが流行の商売になってるから
逆説的に既存のウイルスチェックはする抜けるのかも試練

926 :
>>925
ありがとう
RLO挿入ははじめて知りました 
わずかな違和感を感じることが大事ということか・・

927 :
>>916
レスありがとう
Windows Updateは最新だったのね

現状、どこから入ってきたのか分からないという感じなんですね

928 :
最新のエターナルブルーにかかったかもしれないんだけど、ここは違うスレなのかな……。

929 :
エターナルブルーは手段でランサムウェアなのは結果だから
エターナルブルーを使ったランサムウェアならここでよいんでない

930 :
>>928
EternalBlueというのはexploitのこと
だから
>エターナルブルーにかかった
というのは、そもそも話がおかしい
何が言いたいのかわかりません

931 :
ちょ、レスかぶりしてたわ
失礼

932 :
セキュリティソフト入れててもランサムウェアに感染したという報告がいくつもある >>735 >>752 >>896
ので、気休めかもしれんけど、Malwarebytes Anti-Ransomwareを入れてみた

重さは全く感じない

933 :
Malwarebytesのってフリーは2017年以降更新してないんじゃなかったっけ?
今も有効なん?

934 :
>>933
ベータ版としてリリースは続いている
最新版は6月13日リリース
https://forums.malwarebytes.com/topic/211708-latest-version-mbarw-beta-v-0918807-build-226-released-jun-13-2019/

935 :
そうなんや入れてみたいけど
Malwarebytesのフリー版をセカンドオピニオンに使ってるから
Anti-Ransomは入れられんのよねぇ
AppCheckとか使って見た人いないかな

936 :
26日に送金したのに返事が来ません
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail raynorzlol@tutanota.com
Write this ID in the title of your message (私のID)
In case of no answer in 24 hours write us to this e-mail:raynorzlol@protonmail.com
If there is no response from our mail, you can install the Jabber client and write to us in support of raynorzlol@thesecure.biz
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee

最初のポップアップの画面にはこの様なメッセージが来ていて、最初は一個目のアドレスでやりとりしていました
ですが途中で犯人が1つ目のアドレスは使わなくなって、ずっと2つ目でやりとりして送金後に返事が来なくなりました。
それまでは必ず0時台に返事が来てました。
で犯人の言うJabber clientをインストールして、メールを送れば良いのかと思ってたけど、
そうじゃなくて友達にraynorzlol@thesecure.bizを追加したけど友達に承認されない状態です。
メッセージを送ってロシア語で「ブロックされています。 ロックを解除するには、リンクをたどってください」でキャプチャを入力して
リクエストを送るという手順を踏みました。
何かJabber clientの使い方が間違ってるでしょうか?

937 :
>>657が危惧してたケースになったか。。

938 :
どんなことをすると
こういうウイルスに感染するの?

939 :
>>938
このスレ全部読めばわかるよ
15分もかからんでしょ

940 :
>>938
基本はバカだから野良.exeファイルの実行
しかし、過去には脆弱性があってウェブページの閲覧だけでなんの前触れもなく感染した可能性はある
当然現在でも一般に発見されていない隠された脆弱性も残っていますのでそれを利用されないとは限りませんが
でかいのが発見されていないので感染報告として余り騒がれませんね

941 :
>>937
どうやらそんな感じがします、
もう一個XMPPのアカウントを作って自分に友達リクエストを送った所、自分の操作が間違ってないことが確認出来たので。
新規に連絡を取りたくても取れない状態です、別のアドレスから送っても返事が来ないから犯人にとっても何も旨味がないのでおかしいとは思うんですけど

942 :
ルーター噛ませとけばランサムウェア防げますか?

943 :
ランサムウェアにもいろんなのがあるからな
ルーターだけじゃ無理だろうな

944 :
場合によってはDNS書き換えられたルーターのせいで感染もあり得る

945 :
>>942
インターネットからの通信をルーター上のサンドボックスに展開して振る舞いを検知してからネットワーク上のPCに
流すのがあるが、サンドボックスは完全じゃないので迂回される脆弱性が見つかって最近、修正されたばかりなので
100万以下の家庭用ルーターの防御力はかなり限定的。

946 :
感染した時点でファイアーウォールが変なプロセスからの発信を検知するだろうし、
またサーバーとして機能するリモート操作が可能な常駐型ならば
ルーターが間にあるのならルーター側の設定でアクセス先のパソコンとポートアドレッシングを任意に設定した上で
ポートを開いてやらないとWAN側からリモート操作は不能なので問題はない
初心者には理屈もわからないだろうけどさ

947 :
>>942
ルータが遮断できるのはかなり特殊な機能を持つものでなければ通信だけ
ランサムウゥアは感染するものなのでルータで通信を遮断しても不用意に
実行ファイルやマクロファイルを実行すれば感染するし、ブラウジングして
いるだけでも感染することはある
ルータで遮断できるのは正しい設定をされている場合に限り、自身がサーバに
なるようなタイプのリモコンアプリとかだけで、CCサーバを使用するような
クライアント動作のウィルスとかも防ぐことが出来ない

948 :
連絡が取れなくなって諦めていたんですが、.adameで検索してID ransomewareの管理人であるAmigo AさんのツイートでAnoter new variants of phobosのツイートに.adameと連絡先が書いてあることを発見しました。
そこでコンタクトを取ってみた所、同じ人物だと言ってきました。
私が700USD払ったんだから送れと言ったら、なぜ1000USDじゃないんだと言ってきて、こいつは安くしたことを知らないから別人なのではないかと疑ったりしてましたが、復号化ツール「ph_decrypt」を送って来て、残りの金を送ったらコードを送ってやるとのこと
最初の人物と同一である証拠もなく、私がさらに送った暗号化済みのファイルを復号化してくれなかったりと怪しかったですが、送るからアドレスを教えろと言った所、前回と同じだと言うので、半信半疑ながらも残りの300USDを送ったらコードを返してきました。
で、無事に復号化出来ました。

949 :
>>948
がめつい犯罪者だったのね。
でも結果的には復元できてよかったですね。

950 :
>>940
昔はそうだけど今も野良.exeファイル実行なんてする人いるのね

951 :
>>616
>>897-898

このスレだけでも複数いるしな

952 :
>>950
RDPをデフォルト状態で繋いでるだけでも感染するぞ

953 :
>>952
https://support.microsoft.com/ja-jp/help/17463/windows-7-connect-to-another-computer-remote-desktop-connection

そんなあなたはどうやって感染する事を確認しましたか?
バーチャル頭の中ですかw

954 :
>>952
https://www.atmarkit.co.jp/ait/articles/0309/27/news003.html
>操作方法
>具体的にはTCPの3389番を使っており、サーバ側は、このポートでクライアントからの接続をリッスン(待ち受け)している。

ルーター側のポートが開いていない場合には、どうやってクライアント側からインターネット経由でリモート操作ができるんですか?
何かしらに感染しており、これ以外での攻撃を受けているのならば気付かないユーザーが自業自得という事になりますよ

955 :
https://www.akakagemaru.info/port/faq-remote.html

通常はこのように設定しておかないとサーバー側のリモートデスクトップサービスにはアクセス出来ませんよ
ここで脆弱なパスワード設定などになっているのならばそれは本人の責任です

ためになるなあw

956 :
ここにはどうやらC&Cサーバーからならばリモート操作が可能だと言い張っているのがいるようだが
こんなのに操作されるようなクライアントプロセスが起動している時点でもうそのパソコンは終わっているぞw
初心者レベルで気付かないのだとしたら使っているセキュリティソフトが何の役にもたっていないよね
ウィルス対策ソフトが未対応のプロセスでスルーしたとしてもファイアーウォール側では通信を検出するだろうよ

957 :
IRC プロトコルを利用した攻撃者と感染端末の探索手法
https://ipsj.ixsq.nii.ac.jp/ej/index.php?action=pages_view_main&active_action=repository_action_common_download&item_id=98213&item_no=1&attribute_id=1&file_no=1&page_id=13&block_id=8

チョット古い記事だけど詳しい人がそれなりにIRC BOTについて調べた内容で書かれています
感染している人の参考にでもなればね ためになるなあw

958 :
>>956 FWがC&Cを防いだなんて話は一体どのくらい大昔なのか・・・
NGFWのパロアルトですら標的型C&Cはスルーなのに、
・ぼくのかんがえたSAIKYOのファイアーウォール
とは一体どこのものなのかね?

結局ゲートウェイでは対処できないのでサンドボックス化で逃げてるだけで
現状、マジな攻撃には無防備状態が続いてるよ

さらに漏洩ではなく、破壊攻撃のファイルレス・マルウェア対策となったら
完全にお手上げ状態 検知率100%とか上位20社の全て検知できないまま
2年近く放置されてる

959 :
>>958
それならばその仮想環境上でマルウェアに感染しまくっていればいいだろうよw
一般ユーザーがIRC BOTに感染している確率なんて本当に少ないんだぞ
感染していても気付かないとしたら企業さんでしょうよw
取り越し苦労して仮想環境で使っていればいいと思うよ
俺は仮想ドライブにでもインストールしといてテスト用のOSではOS以外のドライブを全てOff Lineに設定しておくだけで十分だと思うよ

960 :
その数少ない感染例のために必要以上の取り越し苦労をして
完璧なセキュリティだなどと勘違いしている方がどうかと思うよw

961 :
>>953-957
あのさ、RDPの一般的な方法のポート開けるっていう前提条件スルーしてイキってるだけだよね
デフォルトって>>952で書かれてるのに"ポートが開いてない場合は"とか脳味噌と目玉は飾りなのか?
一般的な方法で有り得るから注意しようって話なのにイキりながら自分の環境での論点ずれた話して恥ずかしくないの?

962 :
本当に恥ずかしいやつだな アホ
おまえなんてどうでもいいやなw

963 :
みんな専ブラ使って、ID:OGZgUkQB0 はNGにしてください

964 :
論破されたら

>>962
>本当に恥ずかしいやつだな アホ
>おまえなんてどうでもいいやなw

って捨てゼリフ、むちゃくちゃかっこ悪いねw

965 :
論破したって言うのならIRC BOTを利用したRDP操作の具体的方法を1つだけでも個人の意見として理論的に説明してみろよ
それか、説明したリンク先1つでもいいよ
>957のリンク先よりも理論的に突っ込んだ内容で頼むわ
どうもネット用語だけで誤魔化そうとしているようにしか俺には思えないんだわな

966 :
ネット記事って結構と提灯内容が多いんだよね
迂闊に信用するとバカを見る事になるんだよ

967 :
>>965
論破がどうこうと興味は無いけども
それ君が理論的に説明しなきゃならないことじゃね?
RDP云々は>>952が言い出したことだけど
唐突にIRC BOT云々言い出したの君だしさ
IRC BOTとか君以外誰も触れてないよ

君のやってることってランサムウェアと関係無いことへ論点ずらししてマウント取ろうとしてるだけだよね?
それでマウント取るの失敗したらアホとかバカとか小学生レベルのレスするの?
君自身は否定するだろうけど周りから見ればそうとしか見えないよ

968 :
>>965
ついでに言っとくけど「IRC BOTを利用したRDP操作」とか説明しなくていいぞ
ランサムウェアのことじゃないから必要ないし

969 :
おまえがこのスレのリーダーになってアピールする事自体に意味があんの?w
そう言った態度がそもそもクッダラねえんだよ

970 :
>>969
何でリーダーだとかアピールとか言ってるのか分からないけれど
そもそもマウント取って優越感に浸りたいがために頓珍漢なレスしてイキった君の落ち度だろ
それを反論されて態度がくだらないとかアピールとか言っても滑稽なだけだよ

971 :
「スレのリーダー」くっそワロタw

笑い死にさせる作戦か?

972 :
>968と>971はその特徴から同一人物での自演です
実に下らないアホと思われる

973 :
>>972
根拠なしの妄想炸裂乙
全くの別人ですわ

974 :
拡張子に全部.nesa がついた...
めっちゃ不便!
どうすれば良いでしょうか・・・

975 :
>>974
絶対に取り戻したいなら早めにビットコインの口座を作ることをおすすめします

976 :
>>974 感染経路を教えてもらえませんかね?

977 :
>>974
バックアップしてあるものから全部リストアする
バックアップもしていないのならアホだと思って諦めるしかない
通常使用していても故障すればデータは全部吹っ飛ぶんだから
そんなのは当たり前だよね

978 :
>>976
多分変なフリーソフトDLしてexe起動したせいですね
根絶は出来ても、全部手動で拡張子書き換えなんて面倒過ぎて...
バックアップが大分古いので参ってます

979 :
>>978 暗号化されているので拡張子を書き換えてもムダだと思われ…

980 :
そもそもマルウェアを根絶出来てるかも怪しい

981 :
>>979
え、そういうことなの?

982 :
そんな可愛いランサムウェアだったら一瞬で直せるでしょ

983 :
拡張子変える程度でだれが金を払うかよ・・・

984 :
大抵具体的なサイトやファイル名とか書かないんだよな。
「AサイトのBフリーウエアをダウンロードして実行したら、暗号化されました!!!」
発言小町かよw

985 :
>>974
同じやつに感染して全て.nesaになった
調べてここに辿り着いたが英語が苦手でどのように使うのか復号出来るのかわからないがどうぞ
https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/page-474#entry4859489

986 :
>>985
ありがとう
調べてみます

たしかに、金払わないと戻らなそうだけど、払っても結局情報出て行って更にドツボにハマるらしいね

987 :
どうやら、STOPDescrypterで復元できそうだけど、.nesaはまだ新種だからコードが見つかっていないようなので、暫く様子見ます

988 :
確か、複合化ツールはランサムウェアのメモリ上の複合化コードを抜き出しているか、間違った実装を突いて複合化してるのが殆んどだったはず
PCの電源落とせばランサムウェアのメモリ上の複合化コードが消えると思う

989 :
ほう それは制作者よりも詳しそうですな
もっと指導の程をよろしく

990 :
>>978
「変なフリーソフト」って具体的になんですか?

991 :
何故かフリーで使える有料ソフト的なサムシングじゃないの?

992 :
変なサイト訪問、誘導とかサイト改ざんとかで感染した人とかいるのかね?
自分はそれが一番怖い

993 :
たぶん脆弱性絡みでリンクを踏んだ際にインストールされたやつはほとんどいないでしょうね
最近の脆弱性を利用しているコードはまず一般ユーザー環境では発動しませんね

994 :
何らかのフェイクされた実行ファイル(ゲームとかのインストーラーなど)を実行してしまった結果がほとんどなんでしょう
その際にもUACの確認画面が一旦表示されますが、ハイをクリックしてしまったらもうお終いですよね
既に対策されているのでUAC確認画面をスルーする脆弱性は暫くの間は発見されないと思います

995 :
>>988
つまり再起動してしまったら終わり、と

オンラインキー、オフラインキーとかよく違いが分からないんですよね
そもそもオンラインキーだったら、支払うしかないんだけども
クラウド系までしっかり感染してしまったので、意外と痛い

996 :
>>995
乱数を使用した鍵コードから生成された暗号化キーと複合化キーがあるけど
その複合化キーがサーバーへ送信されるタイプがオンラインキー
オフラインキーはランサムウェアその物に暗号化されて内蔵されている複合化キーのことだと思う

オンラインキーの場合はランサムウェアを閉じると複合化キーがメモリ上からも消えると言う点がある
ハッカーからすれば複合化ツールで複合化されにくいメリットがある
しかし、複合化キーを保存するサーバーを用意しなければ行けないというデメリットも存在する
オフラインキーの場合は複合化キーが内蔵されているため複合化ツールを使って複合化出来る可能性がある
ハッカーからすれば複合化キーを解析されやすいと言うデメリットがあるが
オンラインキーと違ってサーバーが無くても運用可能と言う利点が存在する

オフラインキーの場合は複合化ツールで複合化出来る可能性は高いが
オンラインキーではランサムウェアを閉じると複合化出来る可能性が低くなると言うことだね
間違った暗号化の実装に期待するくらいしか無いかな

前に解析した時は無かったが
研究の一環としてサーバーへ複合化キーを送信した後にメモリ上の鍵コードと複合化キーを乱数で上書きすると言う方法も技術的に可能だった
だから初回起動であってもオンラインキーのランサムウェアなら複合化は難しいだろうね

997 :
>>996
なるほど、ありがとうございます

とりあえず、nesaの複合化キーが早く見つかって欲しいですね

998 :
複合キーがあるのか
複合のあとに何か仕込まれるんじゃないか

諦めてさっさと初期化してしまうのが吉かと

999 :
「9mg38」というのにやられました。
同じのにやれらたかたや、情報、お持ちの方いますか?

1000 :
>>999
やられた原因は何ですか?

1001 :
>>1000
win10でリモートデスクトップのポートをあけて2日後のAM3:00頃にやられました。
多分これが原因かと思われます。

それまではVPNのポートの穴をあけ、使っていて、
このようなハッキングはなかったのですが、
スマホからアクセスするために穴をあけました。 
スマホからもVPN接続すれば良かったのですが、
スマホの画面ロック・解除の設定を嫌がったために起きました。
自己嫌悪に陥るくらい反省してます。

1002 :
開けてただけでやってきたということですか?
こういう場合ってネットの向こうから
悪意のある人が開いてるポートを無作為に探してるということ?

990さんは海賊版ソフトを落として実行したとかなかったの?
ウイルスの呼び込み元というか

1003 :
>>1001 それはない、RDPポート開けただけではDMZで外に開放でもしてない限り安全
993の人も言ってるように、なにか呼び込むソフトを実行してるはず

1004 :
ヒント パッチ未適用

1005 :
10って書いてあるけども自動更新をブロックしている人もいるからな
どうだろうね?

1006 :
セキュア板でアップデートブロックって・・・ 論外じゃね?

1007 :
皆様、様々なご指摘ありがとうございます。
当方の最初の説明に以下を補足させて頂きます。
当方、宅内でルーターを介して複数台のwin10をLAN接続しています。
当方が行った行為は、ルータに穴をあけて特定の固定アドレスを持つPCにポートフォワーディング
(当方のルーターではポートマッピングと書かれています)を行ったということです。

>>1002さん
ルーターのポートをスキャンして、開いているポートに対して手当たり次第に撃ってくる輩がいるのではと思ってます。

リモートディスクトップの場合、「ユーザー名」と「パスワード」さえグルグル回しソフトで合致すればよいのですから比較的簡単かと。

しかも当方は、ユーザー名=パスワードとしている間抜け振りですから脅迫犯からみれば、これほど手間暇のかからない相手はなかったものかと思う次第です。

また、海賊版ソフトとかについては極めて神経質なほうで使ったことはありません。
ジャンクメール、フィシングメール、見知らぬ人の添付ファイルについても慎重に対処しているつもりです。

>>1003さん
DMZ=ポートフォワーディング=ポートマッピング、であれば上の通りです。
当方の解釈が間違っていたらすみません。

>>1004さん
>ヒント パッチ未適用
当方win10の更新に関してはデフォルトのままなので、該当PCも適宜アップデートがあたっていたと記憶しています。

>>1005さん
>自動更新をブロック
MSが大きなアップデートをやると挙動がおかしくなるという人がいるようで、そのような人は更新をブロックしている、とききますが、当方はその
ような経験はないのでデフォルトのままです。

1008 :
正規の手段でログインしたなら履歴が残るよね

1009 :
RDP使う手法はもう数年前からの流行りなのになにをいまさら
脆弱性なんて一つも要らない正攻法の接続なんだし

https://nakedsecurity.sophos.com/ja/2019/07/17/rdp-exposed-the-wolves-already-at-your-door/

1010 :
2ch.scからのレス数が1000に到達しました。

【ネットバンク用】Trusteer Rapport【IBM】
googkle.comに飛ぶとPCが乗っ取られる
より安心してインターネットを楽しむために
アンチドートを語ろう♪ MAP05
踏み台にできるSMTPサーバ
【ESET】Internet Security/Smart Security その56
2019-nCoV
で、お前らやろうと思えば2ちゃんハックできの?
Spyware Terminatorってどう?
ウイルスバスタークラウド 総合 Part11
--------------------
くのいちのおへそ
【北方領土】ロシア、千島2島に地対艦ミサイル配備へ 防共ライン南下で今そこにある危機
維新松井一郎「れいわ新選組のガイジ議員は国会議員で高額所得になんだから国の金使わず自己負担しろ」
マーチング総合スレ part28
【画像】ありえないくらいヤバイGIFが見つかる [324064431]
■iHerb(アイハーブ)で個人輸入 126■[アフィカスNG]
年収2000万超の金持ち「アメリカは糞、日本の方がまだマシ」 アメリカ暮らしの暗黒面が明らかに [324064431]
チャプターハウスの「Die Die Die」が聞きたい!
【春場ねぎ】五等分の花嫁 290等分目【マガジン】
白人にはペコペコして中国人朝鮮人は馬鹿にする日本人
【オピニオン】志村けんさん逝去に思う。「PTAが日本一嫌ったタレント」は海を越えていた [04/04]
【ドラム騒音】マンションの騒音Part49【ギャオス】
テキサスHOLD’EMに ついて語ろう
ヒーリーズ(ローラーシューズ)の展望は?
人口10万人以下の市町村での生活
ゴールドジム 東浦和 Part.2
アフラックコンサルタント【コンプラ違反注意】
NieR ニーア レプリカント/ゲシュタルト/オートマタ 総合Part166
【さや姉アンチ】青山たけひろ本スレ2【捏造キチガイ】
【恐怖】車の任意保険に未加入の割合、なんと4台に1台もいることが明らかに これ半分路上は無法地帯だろ [597533159]
TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼