TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼
【ノートン】Norton Security 250【NS】
2019-nCoV
SIRCAM送信者を曝すスレ
中学生でハッカーってやっぱすごいですか?
本家Bugtraq系MLをマターリ和訳するスレ(雑談可)
情報セキュリティ試験どうだった?
【ID表示】BBS_SLIPのテスト
【ノートン】Norton Security 252【NS】
Sygate Personal Firewall part10
SSLアクセラレータについて
ランサムウェア総合スレ Part3
- 1 :2016/05/10 〜 最終レス :2016/07/16
- 話題のランサムウェアの情報を共有しましょう。
ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。
残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。
攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)
■前スレ
ランサムウェア総合スレ Part2
http://tamae.2ch.sc/test/read.cgi/sec/1457785786/
■テンプレ
スレ立て時には本文の文頭に「!extend:checked:vvvvv」を入れて立てて下さい。
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。
IPはID変更時に一緒に変わって自演防止効果がないのでIP表示スレはスルーしましょう。
VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured
- 2 :
- 感染を防ぐ方法 (重要)
1.サポート切れのOSは使わない、サポートが継続しているOSに乗り換える。
2.アプリを常に最新版に更新しておき、WindowsUpdateもしておく。
(特に攻撃されやすいFlash・Java・Silverlight・ブラウザは要注意)
感染を防ぐ方法 (その他)
1.不審なメールの添付ファイルは開かない。
2.Flashはクリックしてから実行するように設定を変える。
4.ublock origin等で広告自体をブロック。豆腐フィルタ等の日本向けフィルタも入れる。
5.Malwarebytes Anti-Exploit等の脆弱性攻撃対策用のセキュリティソフトを追加で入れる。
6.不安ならMalwarebytes Anti-RansomwareやBitdefender Anti-Ransomwareなどランサムウェア対策用のセキュリティソフトを追加で入れる。
7.更に不安ならレピュテーション技術に対応してるセキュリティソフトに入れ替える。
- 3 :
- ランサムウェアについては海外の大手セキュリティサイトが一番情報が多いと思われる
ただし当然英語
http://www.bleepingcomputer.com/
- 4 :
- 詳しい人お願いします。
迷惑メールに添付されていた圧縮ファイルを解凍したものです。
念のため元の拡張子は.jsですが.txtに変えています。
やはり新手のウイルスでしょうか?(最初、中盤、最後に命令が書いてある)
どっとうpろだにtxt形式で
http://www.dotup.org/uploda/www.dotup.org857510.txt.html
- 5 :
- すいません、パスは 1 です
- 6 :
- 最近多いようなので検体として、、。
書き込み失礼しました。
- 7 :
- ファイル開いたらAviraに検出されてワロタ
たぶんLockyってランサムウェアをDLしてくるウイルスやね
たしかLockyは日本でも流行ってた
- 8 :
- ありがとうございます。
やはりですか…。
しかしpcのメールに送るならまだしもスマホのメールに送る業者ェ、、、
- 9 :
- >>4
検体はありがたい
まだ消さないでねー
家に帰ったら見てみたい!
- 10 :
- >>9
了解です。 1MB程度、しかもカモフラージュがほとんど(だと思う)ですが…
- 11 :
- https://www.virustotal.com/ja/file/432bc903a2894b5e96d22ffc7766f6a2c1d785c500a9cc78cebed7bed7557ff9/analysis/1463078418/
検出率: 32 / 56
三菱 VHR12JC10V1 4991348068790 と全く同じ
TDK
DR120DMC10UE
4906933604369
Pre-recorded Information:
Manufacturer ID: CMC MAG. AM3
- 12 :
- >>4
これってソースだよね?
こんなソースでも.jsにして動かすとウイルスダウンロードしてくるんかな?
- 13 :
- >>12
LockyそのものじゃなくてJavascriptでLockyをダウンロードしてくるファイルだからな
こういう形式のほうがtxtちょっと変更するだけで検知されづらくなる
Officeのマクロウイルスが張り付けられるのも同じ理由でウイルス単体をそのまま送り付けるのは滅多に無い
- 14 :
- >>12
あ、そうですね。 カスペだとトロイとして検出されました。
- 15 :
- なるほど!
詳しくありがとうございます
- 16 :
- textファイルでもダウンロードすると検出されますねー
このbbbbcってのが不気味だwww
- 17 :
- 今日までビッグサイトで情報セキュリティEXPOが開かれてたけど行った人いるかな?
FireEyeっていうセキュリティ業界では知らない人はいない会社の社長の講演があったけど、ランサムウェアはほとんどの場合、支払えばファイルは復号できるとの話があったようだね
ちなみに、別に支払いを薦めているわけでは全くなく、事実としてそういうことだ、という話ね
本日はマンディアおじさんの話を聴いてきましたが
https://www.ist-expo.jp/haru/seminar/#IST-S
途中「クレジットカードのセキュリティ強化により金銭目的のサイバー犯罪者たちは一昔前のカーダープラネットのようなところからランサムウェアとビットコインへとシフトしている」みたいな話があって、ああそうだなぁと思いました
ちなみにランサムウェアの身代金支払いについては「支払えばファイルは復号できる、諸々の損害額よりその方が安い」のようなことだけを仰っていて、「支払ってはならない」とは一言も仰っていなかったのが印象的でした
https://twitter.com/0x009AD6_810/status/730338622671441920
https://twitter.com/0x009AD6_810/status/730338751746973696
https://twitter.com/0x009AD6_810/status/730341191561043968
- 18 :
- >>17
三上洋も先日、同じようなこと言ってたね
「ランサムウェアがビジネス化して、信用を重視しはじめてきた」
http://ascii.jp/elem/000/001/159/1159153/index-2.html
セキュリティ業界で論点になっているのが、“ランサムウェアの被害を受けたときに、お金を支払うべきか否か?“という問題です。
(中略)
つまり、テロ行為ではなく金銭目的の犯罪なので、被害者のデータを本当に壊してしまっては意味がないんです。
先ほど解説したように、すでに仲介ビジネスと化しているので、信用が必要なのです。
ランサムウェアを作成した仲介業者からすると『お金を支払ったらちゃんと元に戻る』という風評が広まってくれたほうが都合良いわけです。
現状は変な話、ランサムウェアは信用第一になっておりまして(笑)、ほとんどの場合、お金を支払うことで元に戻っちゃいます。というわけで、このへんは論点になっていますね。
(中略)
それでもどうにもならないときは、支払うことも選択肢の1つかもしれません、ということです。
しかしながら100%元に戻る保証はありませんし、そのお金が犯罪者に渡ってしまうということも考慮に入れるべきですね。
- 19 :
- ランサムウェアの意外な歴史といま猛威を振るう理由
http://www.itmedia.co.jp/enterprise/articles/1605/12/news006.html
- 20 :
- ランサムウェアはなぜ流行るのか - ローリスク・ハイリターンの「儲かる」攻撃
http://news.mynavi.jp/articles/2016/04/29/ransomware/
- 21 :
- >>前スレ999
横からだが
teslacryptの旧ver.のころはshadow explorerや、recuva+その手のを使って復旧という実例はよく見かけたが、
最近のランサムウェアでそれがうまくいったという人は、海外のforum等でもしばらくみていない
できれば実例を明示してくれないかな
それがないから前スレで何度も中途半端にリピートされてる
- 22 :
- >>1
乙です
テンプレも更によくなってると思う
ただ、セキュリティスレなのにIPアドレスのことをIPなんて書いてしまってるのだけ玉に瑕だけど
- 23 :
- >>21に同意
(金払うのではなく)ファイル復元ソフトを使えば元のファルが復元できると前スレで何回も書いてたが、BleepingComputerとか見てもそれでうまくいったって例を最近は(少なくともここ3ヶ月で流行ってるランサムウェアでは)、全然見ない。
そういう手でうまくいってるって例があると何度も言うなら英語でもいいからそういう例を提示してほしい。
- 24 :
- >>21
自己レス
あったわ、それもcryptXXX
http://www.bleepingcomputer.com/forums/t/609690/cryptxxx-ransomware-support-and-help-topic-crypt-ext-de-crypt-readmehtml/page-16#entry3999723
shadow explorerはなおもまず最初に試す価値がある、ってことだな
- 25 :
- 取り敢えずデータディスクのケーブルぶっこぬいて駆除を始めようと思うんだけど
前スレで教えてもらったesetのホームページから体験版ダウンロードしようとしたら
ダウンロードも出来ないんだけどウイルスに事前に対策されたとか有るのかな?
- 26 :
- >>24乙です。
とても参考になった。
が、ShadowExplorerを使ってのボリュームシャドウコピーからのデータ復元という方法は、前スレ>>999が説明してる
> 書き換えるという動作は、HDD上 AからA’ への移動+Aのインデックスの削除
で元のファイルAはHDD上残ったままなんだよ
> だから、HDD復元ソフトを使えば、削除前つまりランサムの場合は暗号化される前ファイルが取り出せる
> 当然、あくまでHDDが空いていればの話でHDDの使用率が高いと消されたファイルの場所はどんどん上書きされていくので
復元は出来ないので、使用率の低いHDDの場合には復元できる確率が高まる
とは手法が違うよね。
999の説明は明らかにRecuvaとか(他にもいろいろあるけど)そういう復元ソフトを使ってのファイル復元のやり方を書いているから。
ボリュームシャドウコピーの方法はそれ自体が削除されてた訳じゃないので。
まぁ、新種でもXPはダメだけどVista以降ならこれをまず試して価値はあるはあるということか。
しかしcryptXXX Ver.2って時限式なのかよ。。
- 27 :
- なんのランサムウェアに感染したのかは知らないけど、そういうことをするウイルスはあるし、技術的にも簡単にできる
ほかのノートンとか試すとか、それでもだめなら他のPCでインストーラーをダウンロードするか、他のPCでLiveCDを作ってやるとかの方法かな
- 28 :
- >>27は>>25あてだった
しかし、ケーブル抜いてるからダウンロードできないとか、そういうオチじゃないよな?w
- 29 :
- 昼頃ノートンのLiveCDで診察、それは割りと早く終わったけど
その後のカスペルスキーのLiveCDが全然終わらん
あと5時間かかるって表示される
どうにか復旧しますように…10年以上かけて集めたデータが死ぬとか俺もRるわ
- 30 :
- 〜paycryptの復元はできますか?
- 31 :
- マルチになりますがクリーンインストール前に質問したいです
Trojan-Ransom.Win32.Blockerというランサムウェアに感染したファイルを除去したんですが
この感染ファイルが改竄されたとするならそれを改竄した大本フィルスのほかの実害や破壊活動は
どのような動きになるかご存知の方はいますか?実感できるのが感染ファイル書き換えしかなくて(汗
OS入れなおした後の参考にしたいと思いますのでどうかよろしくです
- 32 :
- >>26
異なることはもちろん了解してる
でもここで必要なのは役に立つ情報だろうから
HDD/ファイル復元ソフトでいけた(いけることがあった)のは随分昔の話のはず、もし最近の例があるなら更新しときたかったが、たぶん脳内だな
- 33 :
- 前スレ>>982です
途中経過を
ウイルス対策ソフトが起動すらしないと困ってましたが>>989のツールで駆除出来ました
駆除後は今まで起動すら出来なかったウイルス対策ソフトが起動できるようになったので
現在追加でスキャン中です
後はファイル復元さえ出来れば万々歳なのですが
被害が落ち着いたんでじっくりやっていきたいと思います
レスくれた方ありがとうございました
- 34 :
- >>31
>Trojan-Ransom.Win32.Blockerというランサムウェアに感染したファイルを除去したんですが
これはカスペルスキーで?
検出名が汎用的な名称のように見える
>どのような動きになるかご存知の方はいますか?実感できるのが感染ファイル書き換えしかなくて(汗
ファイルを書き換えられたのなら、ほとんどのランサムウェアの場合、拡張子が変わってと思う。(ごく一部例外はあるが)
拡張子は何に変わってる?
- 35 :
- >>33
>>25の人か
いまのcryptXXXなら復号ツールである程度は復号できるようなので、またうまくいったら報告してほしいな
- 36 :
- 前スレの989は多くの人に取って有用だと思われる書き込みだったけど、前スレの最後のほうで書かれて、すぐ過去スレとなってしまって非常にもったいないので、貼り付けておく
- 37 :
- 駆除について
・ランサムウェアは、他のタイプのマルウェアと比べて感染の事実に気付きやすくセキュリティソフトの対応も早い
2~3日もすれば一般的なセキュリティソフトで検知できる
・cryptXXXについてはdelayをかけてる、暗号化中に気づく人が結構多いのは多分そのせい(↓にrandamly delayedとあり、62分後にstart)
https://www.proofpoint.com/jp/threat-insight/post/cryptxxx-new-ransomware-actors-behind-reveton-dropping-angler
・非常駐タイプのセキュリティソフトは、そもそもウィルス定義ファイルがリアルタイム検知用に作られてないものがかなり多くて対応は遅い
(利用者数からしても一般的な常駐セキュリティソフトより少なく、感染者がいなかったりいても報告が遅れがち、かつメーカー側が即時対応になってないモノが多い)
過去に使ったこともない、慣れてもいない、何に強いかも理解してない非常駐セキュリティソフトをあれこれ試して暗号化を進行させる(PCを稼動して時間を浪費する)のはバカげている
⇒速やかに電源を切って、3日後あたりに、普段使いのセキュリティソフトの定義ファイルを最新に更新して検知、が、
駆動時間が最短(新規にセキュリティソフトを導入する時間が不要、定義ファイルも差分のみの更新で済む)で、かつラクに、ほぼ確実に検知できる方法
*状況によりどうしても待てない人は、dr.web cureitを使え↓
(DLは右、少し下の「個人のお客様(無料)」の『フリーダウンロード』から、xpsp2~可)
ttp://free.drweb.co.jp/cureit/
*個人情報云々が気になる人はオフラインで使え、というかcryptXXXはbedepと共にC2サーバーと通信する可能性があるので必ずオフラインで
(ほんとはスタートアップ回りや稼動中のプロセスでおかしいのはkill、とか書いてもいいけど初心者には通じんし調べる時間がもったいないだろうしタスクマネージャー立上げ阻害とか普通だし書いてない)
過去に書いてきたことが大部分だけど目立つので
- 38 :
- >>34
返信ありがとうです
詳細は初心者スレの723で書かせていただきました(URL貼れずすいません)
検出はカスペルスキーです、検出名が汎用的というのはランサムウェアだけではないということですか?
emUninst.exe オブジェクト名:Trojan-Ransom.Win32.Blocker.hyqv オブジェクト種別: トロイの木馬
上記emUninnst.exeは5年前のエロゲのアンインストーラーなので誤検知か?と思ったのですが
3つのアンチウイルスソフトが反応しているので改竄の可能性もあるのかなと思いました
拡張子の改変は自分では見つけられませんでした
- 39 :
- 前スレ>>934です
現在カスペルスキーで最後のドライブを復元中です、画像やrar等の圧縮ファイルは無事元に戻っています。
動画とかも復元してほしいですが、カスペルスキーの公開された日も浅いし今後のバージョンアップか、
新しいツールが出てくるのを期待して待つしかなさそうですね。
- 40 :
- >>33
989だけど、おつかれ
いろいろ不明なので推測に推測を重ねることになるが、
3日~1週間程度は毎日、最新のdr.webも継続して使ったほうがいい
理由は、(何がどの程度検出駆除されたかわからんが)状況的にランサムウェアだけでなく他のマルウェアも入っていたっぽいから
最近のcryptXXXの撒き方は単独が多いようだが以前はbedepとセットだったようだし、dridex222その他本物のマルウェアの可能性も
その手のマルウェアなら、DL機能を持つファイルと本体と場合によってあと1つくらいの計2~3を検出するのが普通
全部検出駆除できていればいいが、できてなくてあとから芋づる式に追加検知することもあるから
bedepはネットバンキングマルウェアとして恐らく一番有名なzbotに分類する人がいるくらい各種passwordその他洗いざらい外部送信するし、権限の昇格など自由自在かと思うほどのpotentialがある
(先のproofpointの記事でFigure11以降がcryptXXXの機能のように書いてるが、たぶんbedepのほうのはず
もし仮に、記事になってない項目も含め全部cryptXXX側でやってるとすると、zbotがransomware機能を実装した、というくらいとんでもないことだがいずれにしろ)
まぁ基本的に一段落したらリカバリ+各種pass等変更を推奨、もしネットバンキングをしてるなら即時リカバリ+各所連絡+各種pass等変更を強く推奨
杞憂だといいけどね、正直あんな面倒なものには二度と関わりたくないし
- 41 :
- 【ランサムウェアによる暗号化されたファイルを普及させる方法】
1.バックアップから復旧させる。
2.Windowsのデータ復元機能を試す。
3.データ復旧ソフトを使い、削除済みデータから復旧を試みる。
4.セキュリティ会社が出している復号化ソフトを試す。
・
・
・
最終手段. 身代金を支払う
いまのところ、考えられる復旧方法はこれくらい?
- 42 :
- あーぼくの2TBのエロ動画がー(´;ω;`)
- 43 :
- >>41
一番アホなのは、復号化しますって会社に金を払う事だなw
- 44 :
- >>43 選択肢の一つとして間違いは無いけど、オススメは出来ないよな
- 45 :
- https://support.kaspersky.co.jp/viruses/disinfection/8547?_ga=1.89198547.978631317.1444734495#block1
Trojan-Ransom.Win32.Rannoh の感染により影響を受けたファイルを復号化するユーティリティの新しいのが出てたよって既出?
16/05/12 21:22バージョン。
- 46 :
- >>45
前スレから既出
- 47 :
- >>46
1.9.1は前スレ報告しましたが
txt html mp3 動画は復元できず
ただ、今後のverアップで対応されるかも。。。つーかしてください。
- 48 :
- スキャンが終わらない…
復元できないファイルに当たると物凄い時間がかかる
CPUもフル回転でファンがうるさいわ
カスペルスキーさんどうにかツールにのバージョンアップを…
- 49 :
- >>48
そのツールは一時停止出来ないの?
FAN回転速度指定するツール導入したらどうかな
FANフル回転とか五月蝿過ぎて辛いっしょw
- 50 :
- ランサムウェアの復号ツールが出ただけでも奇跡みたいなもんなのに、時間がかかりすぎるとかCPUがフル回転するからうるさいとか、何様なんだよ・・・
- 51 :
- >>48
お前みたいなのにTeslaCrypt4.0なんちゃら感染されたらよかったのになw
- 52 :
- ほんまやわw
TeslaCrypt、Locky、Cerberの犠牲者たちからしたら、そんなええもんタダで使っててなに贅沢なこと言うてんねん!
って感じやな
カスペルスキーもユーザーには10ドル、非ユーザーには30ドルくらいで売ればよかったのにw
- 53 :
- あとな、カルテのために容易く600万円払った病院よw
その600万円は新しいランサムウェアー作る研究費になってるんだぞw
だから複合化ツール作ってくれてるボランティア企業たちにも600万円ずつ払えよw
- 54 :
- >>53
復旧が遅れると分単位でそれくらいの損害が発生する職場を想像できないお前は、ヤバいな。
- 55 :
- >>54
何を言ってるんだこのバカw
身代金の6万円でもな、かき集めたらかなりの金額になるんだぞw
その金で新しいランサムウェアーの開発されたら、いたちごっこになるw
複合化ツール作ってくれてるボランティア企業たちは後手後手に回ってるとおもうしw
新しいランサムウェアーの開発のスピードが加速したらボランティア企業たちですら間に合わなくなるのではw
それにランサムウェアーにやられた者全員が損害を被ってることぐらい知ってるよw
病院が支払った600万円が何に使われるのか知らないお前もヤバイよw
- 56 :
- 言いたいことは分からんでもない。
つーか、まぁ分かる。
しかしボランティア企業、ボランティア企業って連呼してるけど、別にカスペルスキーはボランティアでツールを無償公開しているわけではない。
ビジネスの一環としてやってるだけ。そこの認識から間違ってる。
あと、複合化と何度も書いてるけど、合体させてるわけじゃない。
暗号化に対しての復号化な。
- 57 :
- >50 ランサムウェアに感染する人って山登るのにハイヒールで行くような感じだよな
自分が悪い・自分の落ち度って自覚が皆無
- 58 :
- 具体的な感染経路がなかなか書き込まれないのはなんか気持ち悪くて嫌だな
- 59 :
- 感染経路が分かる人間はそもそも感染しないんじゃ
- 60 :
- いまこのスレではcryptXXX V2の報告が多いけど、このランサムウェア、感染した後、実際にファイル暗号化の活動を始めるのは数時間後〜1週間後の間の中でランダムの経過時間で発動するようになってるらしく、どこからウイルスもらったのか分かりにくくしてるからなぁ
- 61 :
- 従来どおりメール添付とエクスプロイトキットでしょ
- 62 :
- そんな大前提の話はみんな分かってる
メールだと自分で怪しいメールの添付ファイルに思い当たりがあるはずなで、そうじゃないケース、ここで報告されてるケースはほぼそうだけど、どこかのサイトから感染した、でもそれがどのかわからんって話でしょうが
まぁ上で「経路」と書いてるから、そう突っ込みたいのは分かるが
- 63 :
- 現状で注意するべきはエクスプロイトキットの動向
そこわかって対策できてんならサイト特定とか言わんでしょ
よっぽどの暇人なら別だが
- 64 :
- >>24 追加 旧のcryptXXXだが、読み飛ばしてた
https://blog.kaspersky.com/cryptxxx-ransomware/11939/#comment-56523
試す順番が逆だと思うが
まぁたまたまこれだけ残ってたのか、jpgだけいけたのか、かかる手間がカスペのツールの方がラクなのか、
そもそもそのカスペのツールありきで頭がそこまで回ってないのか、知らんが(どうも最後のが当たってそうな気が)
- 65 :
- あとカスペのツールで.○○のファイルがダメだったとか出来なかったのがあるとか書いてる人は、もうちょっと調べたらいいんじゃないかな
向こうのforum等で、明らかに対応できてる形式だったりするし
俺の予想では2バイト文字なり文字エンコードなりの話だと思うけどね
調べて、直なり日本のカスペ経由なりで報告要望すればいいのに
困ってるという割りには、「対応して欲しい」とか「バージョンアップを待ってます」とかこんなところに書いてるさまが、
ただな〜んもせず口開けて待ってるだけの子鳥みたいにバカっぽく見えて、読むとイライラする
(ちょっと失礼か、子鳥に)
- 66 :
- ExploitKitが何かイマイチ分からない
- 67 :
- エクスプロイトとは?なぜそんなに恐いのか?
https://blog.kaspersky.co.jp/exploits-problem-explanation/8327/
- 68 :
- >>54
そんな状況にも関わらずランサムウェアを拾う程度のリスク管理および教育水準なら
他にも散々損害が発生する可能性を想像できないお前は、ヤバいな。
- 69 :
- >>67
windowsとflashとjavaのアップデートやっとけってことね
- 70 :
- 前スレ>>982です
復旧(データの回復)まで出来たので報告
カスペスキーの復旧ソフトで回復できました
ただバージョンが違うのか前スレで書かれてたのと動作が全然違ったので軽く報告
前スレでは同じファイルで感染後と感染前のデータが必要と書かれてましたが
今回試したところ感染後のファイルだけを最初に読み込ますだけで復旧動作が始まりました
ただまだ完全にウイルスを駆除できていないようでネット接続すると
タスクマネージャ上でnotepad.exeのプロセスが増殖しまくったりと不可解な症状が発生したままです
esetも未だにダウンロード出来ず理由はftpプロトコルが何かの理由で妨害されているようです
- 71 :
- >>70
それアカンヤツ、明らかにbedep系のが入って(残って)いる
conhost.exeやcmd.exeは動いてないか?
http://kanae.2ch.sc/test/read.cgi/sec/1421756102/175
の2の系統の新種だな
基本は>>40に書いたとおり(想像通り)だが、もっと早急な対処(リカバリ)が必要
今更遅いがflashが古いかjavaが古いままだろ?
一から環境を作り直せ、それが一番の近道
ジタバタするとどうなるかは、そのスレを読めばわかる、もう関わるのはゴメンだ
リカバリ後のアドバイスなら乗るが(これにレスしてくれ)、それ以外はスルーさせてもらう
- 72 :
- >>67
ありがとう
大雑把には分かったけど難しいな・・・
- 73 :
- Bleeping Computerでも紹介されていた
http://www.bleepingcomputer.com/forums/t/608858/id-ransomware-identify-what-ransomware-encrypted-your-files/
ランサムウェアの種類を特定、現時点で復元の方法があるかどうかの確認ができるサイト、ID Ransomwareが日本語にも対応した。
https://id-ransomware.malwarehunterteam.com/index.php?lang=ja_JP
- 74 :
- >>70
早くリカバリしろw
ネットに繋ぐなバカw
- 75 :
- なお、暗号化されたファイルをアップロードする場合は個人的な情報の含まれないファイルにすることを推奨
>>30
>>73ので確認できるかと思う。
- 76 :
- >>73
これテンプレ入りしたほうがいいな
すげー有用
- 77 :
- 前スレ934です。
カスペルスキーのおかげで画像やzip,rarなど圧縮ファイル類は復元しました。
復元できていないファイルはtxtと動画関係(mp4,mp3,flvなど)他にもちらほらありました。
カスペルスキーのホームページのコメントとかも翻訳しながら調べましたが、
まだ有力な情報がありませんでした。(自分なりで調べた結果)
カスペルスキーにお問い合わせして聞いてみたほうがいいのだろうか。
動画が直ったーって人まだいない…よね?
- 78 :
- >>73
ぐっじょぶ
- 79 :
- >>66
エクスプロイトキットとは?
ttp://blogs.yahoo.co.jp/fireflyframer/32707872.html
これまで目にしてきた中で、最もわかりやすかった(そして正確)のはこれ↑
一言でいえば、
『ブラウザ経由の”ウイルス配信システム”』
(そのPC内の各種脆弱性を検索検知し、見つけた脆弱性群を利用してマルウェアを送り込む)
- 80 :
- カスペルスキーに問い合わせたなら返信結果をスレに書き込んでくれると情報共有されて皆幸せになれる
- 81 :
- 前スレ934です。
日本のカスペルスキーにメールしてみたけどまだ何も帰ってきてないです。
即答ってわけにもいかないだろうし、まだ見てないのかもしれないし。
まぁ何かわかるといいんだけどね。
- 82 :
- ランサムウェアで社内のファイルサーバが40ギガやられてもう戻せん。。
https://twitter.com/dobunezumi_/status/732802700077899776
悲惨だな。。
- 83 :
- ランサムウェアが流行っているんで感染を避けるために2ちゃんねるを見るのをやめることにした。狼板、乃木坂板、大学生活板、海外サッカー板、競馬板、その他の板のみなさん、バッハッハーイ。
https://twitter.com/deathdisco1964/status/732715738188812288
2ちゃんねるを見てるとランサムウェアに感染するらしい
みんな気をつけよう!
- 84 :
- 多くの人には通じてると思うけど、書いといた方がいいんだろうな
>>65に補足
同じ.○○のファイルで復号できたものとできなかったものがある、ということは、その2群の間に何らかの違いがあるはず
ファイルサイズとか、その他諸々
その違いを調べようとする人がいないのが不思議
いや調べてみたけどどうにもわからなかった、ならわかるけどそれを窺わせる表現も全く見かけないし
すべて貴方任せなんだな、と逆に感心する
で、向こうのforum等で、同じファイル形式で復号可/否があった、という表現は自分は一度も見かけていない
95%云々とか書いてる人はいるけどたぶん暗号化された全ファイルのうち、という意味で使ってるっぽいし
で、ここから類推できる(というか誰でも思いつく)のはまず2バイト文字・文字エンコード、と思っただけな
まその言葉の意味も知らなければ通じんのも・・・まいいか、海外製ツールだと昔からよくあることだけど若い人なんだろう
以上想像な、俺自身は感染してないから知らん
ちなみにabout 40 popular file formats云々ということは、ファイル形式によって暗号化その他の処理を変えていることを示唆しているわけで、
個人的にはむしろそこに関心があるんだけどその40さえ最初に公表しとかないカスペとしては、犯人側に余計な情報を与えたくないのか同業他社にか別の事情か、
まぁ明らかにされることは少なくともすぐにはなさそうだ
- 85 :
- >>84
>ファイルサイズとか、その他諸々
>その違いを調べようとする人がいないのが不思議
>いや調べてみたけどどうにもわからなかった、ならわかるけどそれを窺わせる表現も全く見かけないし
そもそもIT/PCリテラシーの高い人はランサムウェアにもそんなに感染しないんじゃない?
IT/PCリテラシーの低い人が感染してるケースが多い
まぁ、当たり前のことなんですが
じゃあ、そのIT/PCリテラシーの低い人がそういうことが出来るのか?というと難しいでしょう
そういうことが出来る人はそもそも感染しづらいでしょう
...という鶏が先か卵が先かという話になってしまう
84氏は非常に優秀な人だと思うけど、ここは感染してから駆け込む被害者
(そういや英語ではvictimという言葉をよく使うけど日本語ではウイルス関係ではvictim的な用語はあまり使われないね、ただ感染者という言い方が多いような。なんでだろう?)
が多いので、自分と同等レベルを要求するのは正直酷かと
- 86 :
- ランサムウェア Petya & Mischaに感染してみました。
http://csirt.ninja/?p=554
ユーザーアカウント制御で、「変更を許可しますか?」で「はい」を選択するとドライブ丸ごと暗号化(実際にはMBRか)
「いいえ」を選択してもユーザーファイルの暗号化
おっそろしいなぁ。
書かれてないけど、万が一こうなったら、どちらか選ぶ前に電源落としたらいいのかな。
- 87 :
- >>85
いや単に、
・「2バイト文字」「文字コード」が通じてない
・(自分のファイルを)「調べる」の意が伝わらず「世間の情報を検索する」と解釈された
の2点にショックを受けた、というだけなんだけどね
確かに1つ目が意味わからなくて65のその行を読み飛ばせばそう解釈されるか、と感心した、ということ
IT literacyとか関係ない
必死なら、意味がわからなければ2バイト文字やコードくらいすぐ検索して理解できるだろうし、
もう面倒だからついでに書いちゃうけど向こうではmp3やdocも復号できてるのに何が違うんだろうとかさ、
(いかにも文字コードとかタイトル名とかありがちな引っかかり方しそうだし)
こことあっちの全部のファイル形式を付き合わせたわけじゃなく斜め読みでも「あれ?」と気づくわけ
所詮ここ2chだし、しかもヒトゴトなんだけどね、大げさに聞こえるかもしれないけど、
日々生きていく中での姿勢が根本的に違うんだな、と
かたや本人たちなりに一生懸命「調べて」て、
こちらは淡々と書かれてる内容を見てちょこっと頭ひねってみたり、とね
カスペにいったいどんな問合せをしたんだろう、とかゲスな興味もあったりなかったり
書かれたところで読む時間もムダと最初からわかってるが
ま失礼
これきりにして、
また基本ロムって、気の向いたときに情報貼ったり貼らなかったり、に戻るよ
- 88 :
- なにもそんな難しい話しじゃない
感染した人はとにかくさっさとファイルを復元する方法を知りたいんだよ
- 89 :
- >>73
ここに書いてあるID Ransomware やってみた。
cryptxxx, cryptxxx 2.0, chimera の3つが表示された。
crypt系は復号可能、chimeraは復号する方法がありませんとの記載。
そしてカペルスキーのRannohDecryptorを実行。
(同じ拡張子でも)復号されるものとされないものがある。(まだ実行中)
日本語のファイル名のやつも復号されているものがある。
復号されるものもとされないものの違いがわからず。
- 90 :
- >>89
3種類ものランサムウェアに感染した(していた)ということですかね?
- 91 :
- TeslaCrypt shuts down and Releases Master Decryption Key
http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/
ビッグニュースなので上げるよ
ちょっとまだ頭しか読めてないけど取り急ぎ
- 92 :
- >>91
eset版
ESET releases new decryptor for TeslaCrypt ransomware
http://www.welivesecurity.com/2016/05/18/eset-releases-decryptor-recent-variants-teslacrypt-ransomware/
- 93 :
- http://techtalk.pcmatic.jp/20160519125554/
ファイルが救えそう?
- 94 :
- 英語が全然読めない人向けに簡単に。
TeslaCryptの開発者が自主廃業を決意
すみませんでした、とサイトにマスター復号キーを掲載!
これによって(身代金を払う以外に)不可能だったTeslaCrypt 3.0 4.0にやられたファイル復号が可能な状態になる
現在、これを利用したTeslaDecorderの新バージョン、ESETの復号ツール等、複数の復号ツールがリリースされている状況
- 95 :
- >>91
GJです!!
素晴らしい
- 96 :
- >>91
TeslaCryptによって暗号化されたファイルの復号手順メモ | (n)inja csirt
http://csirt.ninja/?p=589
- 97 :
- 「偽Windows Update発動→アップデート失敗→偽公式サポートへ電話」のフルコンボで金銭を要求する巧妙な新型ランサムウェアに注意
http://gigazine.net/news/20160519-windows-update-scam/
- 98 :
- Lockyに感染した。身代金払うんでレポートしようか?
- 99 :
- TeslaCryptってマジ!
しばらく様子見てから複合化してみるけど
エロ動画捨てて業務用データや家族の画像にも被害が出て
髪の毛薄くなって病気が悪化したぐらいだ
でも複合化できるのなら許すことにする
TeslaCryptの開発者よ
改心してもうこのような悪さはしないでくれ
>>98
レポートお願いします
- 100 :
- >>91
「ごめん!」TeslaCrypt開発者が復号キー公開 - 無償復号化ツールも登場
ttp://www.security-next.com/070038
100〜のスレッドの続きを読む
踏んでしまったブラクラを貼るスレ
セキュリティ初心者質問スレッド Part140
物理的にマックをぶっ壊すウイルスってあるのか?
AVG Free Edition vs avast! 4 Home Edition
KINGSOFT Internet Security Part27
【アビラ】Avira Antivirus ver.23
結局ノートンが一番いいんだな
初心者に出来るセキュリティ対策
シマンテック サポート専用スレ
ぼるじょあ(・3・)質問箱 セキュ板出張所33
--------------------
凍らせたらうまい物 みかん、他は? [663277603]
三國志13 Part90 三国志13
lllジェンヌの心のお言葉lll
アイドルマスターシンデレラガールズ愚痴スレ4196
このスキーヤーの会合動画マジで笑える
うちさぁ、バイクあんだけど…買ってかない?393
多部未華子ちゃん40
東方本スレどこー
【悲報】 両津勘吉氏、現代アートを痛烈批判
BE BLUES!〜青になれ〜 第72節 【田中モトユキ】
ニホンオオカミ総合スレッド〜拾玖〜
ヘリノックス 2脚目
ポケモン剣盾シングルダブルマルチレイド雑談
洋 楽 は い つ 終 わ っ た の ? B
【雨乞い】マラソン大会の思い出【仮病】
三国天武part87
東京のスケートスポット part2
MakeS関連ヲチスレ★2
アズレンとFGOと219位
知ってる?千葉市川署長杉田義弘◎法華経寺
TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼