ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
話題のランサムウェアの情報を共有しましょう。
ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。
残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。
攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)
■前スレ
ランサムウェア総合スレ Part4 [無断転載禁止]©2ch.net
http://tamae.2ch.net/test/read.cgi/sec/1468625700/
■テンプレ
スレ立て時には本文の文頭に「!extend:checked:vvvvv::」を入れて立てて下さい。
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。
VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured >>46
Windows7なら、Windowsファイアウォールがパブリックプロファイルになってるなら大丈夫なはず
プライベートプロファイルになってるなら感染する可能性が高い
http://www.atmarkit.co.jp/ait/spv/1003/18/news097_2.html LTE回線で全ポートを確認したが、オープンになっているポートはないからその記事の内容はウソだな
そもそもが、ファイル共有などもやらしてくれないからな >>50
だから、Windowsファイアウォールなりセキュリティベンダーのファイアウォールなり、それらの設定次第ということでしょ >>49 >>51
LTE回線では、キャリアそのものがそもそもポートを開いていないから<
パケットが445ポートに到達しないんだよ >>52
あー、そうなの?
moperaとかでもそうなんだっけ? そう思っているのなら、テザリングで繋いでおいてリモートデスクトップとかを試してごらんよ >>53 に自己レス
やはりmoperaの特定APで制限なしのようだ
http://www.drcom.co.jp/support/tec/105
mopera Uでは、本サービスを適用しない、フィルタリングフリーアクセスポイントをご用意していますので、万が一ご利用になれないアプリケーション等があった場合には、お手数ですがフィルタリングフリーアクセスポイントをご利用ください。
フィルタリングフリーアクセスポイント:open.mopera.net
https://www.mopera.net/service/option/internet/packet_filter/index.html >>54
へ?テザリング??
テザリングだとスマホがルーター化してるからそれじゃなんの検証にもならんのだよ
テザリングしてる時、複数のデバイスが繋がるだろう?
今いってる話は>>46や>>48があえてSIM内蔵PCの話をしてるってことの意味が分からなかったのかい? >プロバイダをSPモードからmoperaUに変更し、プロバイダーによって445番ポートをブロックしている
なるほどね
moperaUを使っていて、プロバイダーがポートをブロックしていない条件ね!
だとすると、
大抵のプロバイダーはポートのブロックはしていないから、moperaUでファイル共有とかを使っている人限定かな >>56
ネット経由でのリモートデスクトップだよ
プロバイダーなどがサポートでリモート操作とかするだろ Regeditでsmb1無効化にして再起動しても
sc.exe qc lanmanworkstationで調べると
MRxSmb10が残ってるんだがなんでだ
値のデータも0になっているのに 解決しました
1を停止させたら以後有効化しなくりました >>24
君はWii U用のソフトがPS4でも動くとでも思ってるひとなのかね? Windows10だけは感染しないとかAmazonプライムだけは
マケプレのアカウント乗っ取り関係ないとか、企業に都合
のいい被害状況になる所がマッチポンプ臭を感じる >Windows10だけは感染しない
という件と
> Amazonプライムだけはマケプレのアカウント乗っ取り関係ない
とかいう全然関係のない話を同列視して語っちゃってるところにものすごい頭の悪さを感じる 全然関係のないと言ってるけど意外と根は同じかも知れんぞ >>65
頭の悪いやつはすぐ陰謀論と結びつけるからw >>8のRansomFreeってアプリ変なフォルダ作るのな
一瞬感染したとおもたわ
大丈夫なんかこれ >>72
今朝まではなんともなかったのに突然表れたからびっくりしたわ、ありがとう。 要はおとりファイルを設置してそれが暗号化されたことを察知する機能みたいだな
(勿論、別途振る舞い察知機能も備えてる)
最終防衛ラインとしては面白い発想だと思う コマンドプロンプトでsc.exe qc lanmanworkstation打ってチェックしたら
dependencies bower
mrxsb20
nsi
こうでたんですが、これは例のSMBv1を無効できていますか? おまいらセキュリティ企業の提灯会見に踊らされすぎ
ほとんどのセキュリティ企業は何がどんな風に起こったのかまったく認識
できていないので、多少なりとも解析できている企業の情報を元にそれっぽい
ことを並べて、最終的にはうちの製品でコレだけ被害が防げましたって論拠の
ない宣伝をしてるだけ
基本的には1次感染元はまったく判明していないので、Windowsのパッチが
当たっていないとか、メールの添付ファイルからとか言うのもまったくないとは
いえないけど、主な感染源はWebの広告等からクリックしなくてもプロセスを
実行される系の攻撃なので1次感染したかどうかは運みたいなもの
その後爆発的に感染が拡大したのはWindowsのパッチが当たってなかった
マシンが大量にあったからだけど
Wannacry(WanaDecryptor)の感染開始を2007/05/12 18:00(日本時間)以前と
言っている企業以外は、基本的に自社独自に検体も入手できていないし
まともな解析も出来ていないと思ったほうがよい
現在はWannacry自身のKill機能でDNSの名前解決が出来る環境であれば
プロセスが終了するので、インターネットに直接繋がっている環境のほうが
この件に関してだけは返って安全な可能性も高いけど、Proxy経由のみや
中途半端にインターネットから隔離されて感染しているマシンがローカルLAN
内に存在してWindowsのパッチが適用されていないと非常に危険
携帯のティザリングや公衆WiFiは、仕組み上待ち受けポートを開くことが
出来ないのでSMB経由での感染の心配はないはず
まぁ何にしても色々と挙動不審な感染騒ぎであったことは確か >>64
そもそも「Windows10だけは感染しない」というのが間違い。
Microsoftのサイトによると、3月のMS17-010の修正パッチを適応していないOSはwindows10でも感染すると書いてある。
感染しないのは、既に脆弱性修正済みで4月から提供されているwindows10のCreators Updateだけ。
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/ まずこんなのにひっかかるのってまさにセキュリティって何レベルの放置環境ぐらいしかあり得ない
その上でなんにも考えず日頃からIE使ってるようなのだけ >>75
できている
>>77
そのURLのどこに
「、3月のMS17-010の修正パッチを適応していないOSはwindows10でも感染すると書いてある。 」
なんて書いてる? >>79
「Windows 10 Creators Update (バージョン 1703) は対策済みのため MS17-010 を適用する必要はありません」の部分だけど、ちょっと深読みすしぎたかな?
ま、MS17-010の修正パッチはwindous10でも出てるしな。
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx >>80
WannaCrypt で使用されている悪用コードは Windows 10 には無効であることを確認しています。
ttps://news.microsoft.com/ja-jp/2017/05/15/170515-information/
別にCUに限定してないみたいだけどな >>81
それは深読みとかいうレベルじゃなく読み間違いレベル
脆弱性があってWindows10用のパッチが出てること自体は事実だが、パッチが当たってなかったら攻撃を受けるという話ではない。
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
に
"The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack."
と書いてある。 >>82
う〜ん、そうか…
こっちが間違えたようだ、すまん まあ、なんにしても初心者レベルの何も知らないユーザーは、アローンでルーターを介してネットしているのなら
攻撃対象にならなかったのは幸運だな
企業は以前からそうだが、サーバーの脆弱性に関して危機感のない所ばかりだから勝手にしろって感じですね
指摘されていてもずっと放置しているウェブサーバーがたくさんあるから、
ホームページを書き換えられたりする
クロスサイトリクエストフォージェリの脆弱性だって知らんぷりしてずっと放置していましたからね 素人向けの対策
・WindowsUpdateは自動にしておく
・LANが不要であってもルーターを使う
・まともなセキュリティ対策ソフトを入れる
実際、これやってるだけで今回は感染しないわけでな・・・・・・ >>86 お年寄りが感染しているという事実をどうみますか。
初期設定のままだろうに。 ポート閉じるとかやっておきたいけれども、
正直やり方分からないw >>76
> 主な感染源はWebの広告等からクリックしなくてもプロセスを実行される系の攻撃なので
WannaCryに関してはこれは間違い。他の記述はあってるけど。
意外にも、外部から445番ポートでアクセスできるPCは結構多かったということ。
>>47氏が使ってる古いルーターとかね。
2017年5月18日に行ったインターネット検索エンジン「SHODAN」の検索結果によれば、インターネット上で445番ポートを開放している Windows環境は全世界で 50万件以上が確認されました。
日本でも同条件で 3万件近くが稼働しており、そのうち Microsoft が使用停止を求めている「SMBv1(サーバー メッセージ ブロック 1.0)サーバ」の使用が推測されるものが 7割以上を占めていました。
http://blog.trendmicro.co.jp/archives/14920 >>87
86じゃないけど、>>47のようなADSLルーターもあるみたいなので、WindowsUpdateしてないことと相まって感染したのでは WannaCryptじゃないけど実際それだけやってても感染したぞ>>86 今回の件であまりパソコンに傾倒しすぎるのも良くないなと思った
パソコンは1台でいいや あー、>>94は>>88宛てでした。
>>93 質問に答えたやったのにスルーとか死ね >>95
すいません
飛ばしてました
ありがとうございました! >>95
135,137,138,139,445 全て解放されていないそう
ありがとう ポートを閉じるんではなくて、この場合445番をフィルターするんだよ。 紆余曲折あって現在MSEに原点回帰しているのですがやはり変えたほうがいいでしょうか >>99
前スレの>>282-283や>>940を見るとそう言えるかもしれませんね 例のほとんどが防いでいたというあのテスト結果ですよね
やはり検討します OSとアンチウイルスの会社は分けたほうがいいかもしれませんね。気休めですが。 今回の件はNSAが作ったSMB1の脆弱性をついたウイルスがハッカーに盗まれてしまった事を公開しセキュリティパッチを積極的に当てさせる行動をとるべきだったんじゃないかと思ってる。 >>92 多分だがフラッシュなどの脆弱性つかれたか単純にランサムウェア入りのファイルを気付かず実行したか、怪しいメールから感染とかもあるからランサムウェアは注意しなければならない >>94
ルーター側がポートを開いていたって、ローカルIPアドレスにそれをマッピングしないと
パソコンまでパケットが到達しないので、外部からの攻撃は不可能だ
どこでそんな知識を入手しているんだ?
モデム直付けなんだろうね
おまけにファイアーウォールが適正に設定されていない
このレベルはもうどんなアドバイスしてもダメだろうね >>88
ポート自体を完全に閉じたければ、445番関連のファイル共有のサービスなどをを無効にする
そもそも、ポートを開くのは該当プログラムだから、起動させなければ開かない
ただし、ネットとメール以外で色々と障害が出るのが予想される >>92
そもそも>>86は「今回は感染しない」と書いてるのに、
> WannaCryptじゃないけど
ってどーいうことよw
意味不明にもほどがある
>>103
NSAからウイルスがハッカーに盗まれたわけではない
>>105
結果が閉じてれば問題って話だろう 最後のやつ、ミスった
閉じてれば問題ないって話だろう
だった ルータで意図的にポートを閉じる必要は普通はない
UPnPで無理やりNAPTテーブルを作られた場合に安全という程度 Kaspersky Labによると、ランサムウェア「WannaCry」に感染したPCのOSの98%は既にセキュリティパッチが公開されていた「Windows 7」で、
「Windows XP」はほとんどなかったという。
世界中で猛威を振るったランサムウェア「WannaCry」に感染したPCの98%は「Windows 7」搭載だった──。
ロシアのセキュリティ企業Kaspersky Labのグローバルリサーチ担当ディレクター、コスティン・ライウ氏が5月19日(現地時間)、
自身のTwitterアカウントでバージョン別感染率グラフをツイートした。
https://twitter.com/craiu/status/865562842149392384/photo/1
「WannaCryのWindowsバージョン別感染で、最悪だったのはWindows 7 x64だった。Windows XPはほとんどない」と説明する。
http://image.itmedia.co.jp/news/articles/1705/20/yu_wanna1.jpg
WannaCry感染のWindowsバージョンでの内訳(資料:Kaspersky Lab)
「Windows 7」はまだ米Microsoftのサポート対象であり、WannaCryを回避するためのセキュリティアップデートはWannaCryまん延の2カ月前には公開されていた。
MicrosoftはWannaCry発生直後にサポートを終了したWindows XPなどに対してもセキュリティパッチを公開したが、Kasperskyの調査によると、
被害に遭ったユーザーのほとんどが、正規のセキュリティアップデートを適用していなかったことになる。
米分析会社Net Applicationsが毎月発表している世界OS市場のバージョン別シェアでは、4月の時点でWindows 7のシェアが48.5%でトップだった。
Windows XPは7.04%だ。
http://image.itmedia.co.jp/news/articles/1705/20/yu_wanna2.jpg
2017年4月のバージョン別世界OS市場シェア(資料:Net Applications)
http://www.itmedia.co.jp/news/articles/1705/20/news034.html >>110
感染したパソコンの件数じゃなく、感染してしまった企業の件数と個人に特定したデータを是非公表して欲しいね
セキュリティ企業だから、大げさに発表したくてウズウズしているんだろうけど・・・
今回のものの特徴は、WAN網じゃなくて最初に感染した1台がLAN網でワーム活動をして、感染を広げるのが特徴
.exeを踏んだ以外でのネット網経由での個人の感染件数なんてほんの一握りだけだよ そもそも7とVistaとWS2008以外はexe踏まないと感染しないんじゃないかな
今回のバージョンはメール経由で拡散された形跡はないらしいからexe踏んだ人は4月以前から出回ってた古いやつに引っかかった、と >>113
それきっと、WAN網から445番ポートにアクセスしてきたパケットの件数だけだよね
今回の件で企業の脆弱なサーバーは、ワーム攻撃で感染はしただろうけど、
それはほんの一例に過ぎず自己責任です
感染した企業例は少ないはずです
多くても怠慢だと笑うだけですけど・・・ 暗号化されてあぼんするだけだろ山田やキンタマに比べたら余裕だわ >>87
基本は初期設定でもいいというだけで、初期設定=安全ってわけじゃねーからな
セキュリティ対策ソフト、ちゃんと更新してねーとか
WindowsUpdateは自動だけど、更新に失敗しているとか
そもそもOSが古くて論外ってパターンもあるでしょ
まぁ分かるなら、今回について言えばSMBv1を明確に無効化したほうがいい
(SMBv1無効にしても、Win7以降のファイル共有は問題ないので) なんでぇ、正規のWUやってなかったのが原因なのかよ
自業自得じゃねーか パッチ当たってない445ポートから感染したのとかはもういいから
それ以外の愚弟的な感染経緯の情報って出ました? 脆弱性対策をしてセキュリティソフト入れて怪しいメールは開かない
あとは変なサイトにはいかないのが最低限の対策か android(asus zenfon3 laser)でFirefox使って以下にアクセスしたら
firefoxをロックしましたって出たんだけどこれってウイルスですか?
http://www.vitron.pl/jfdya-fudnyxe-riljr-wlbrzgt-hmsi-y43265-lxqiwj-ufvcp-b320175271-msbax-whzmwhgt-glgcxgu-cykyvnkl-vhkw/&sa=U&ved=0ahUKEwjI5YPqyv_TAhXKKJQKHcMgAVEQFggRMAM&usg=AFQjCNFG4GjJpp_8wQ6dRV-QApcPR17bSA android(asus zenfon3 laser)でFirefox使って以下にアクセスしたら firefoxをロックしましたって出たんだけどこれってウイルスですか?
http://www.vitron.pl/jfdya-fudnyxe-riljr-wlbrzgt-hmsi-y43265-lxqiwj-ufvcp-b320175271-msbax-whzmwhgt-glgcxgu-cykyvnkl-vhkw/&sa=U&ved=0ahUKEwjI5YPqyv_TAhXKKJQKHcMgAVEQFggRMAM&usg=AFQjCNFG4GjJpp_8wQ6dRV-QApcPR17bSA >>118
>パッチ当たってない445ポートから感染したのとか
こいつまるで何もわかってない >>121
ポーランド語で建設中としか書いてないページですけど? >>120
もしそのURLがウイルス撒くサイトだったらキミはお縄になる可能性がある
特に女性様が涙ながらに訴えたら終わり 脆弱性っていつも決まって、実行権限が昇格されてしまって、
ブロックしていて実行しないことになっているプログラムコードが実行されちまうんだろ?
脆弱性っていつもバッファオーバーフローなんだよなぁ
配列渡しを考慮しないでポインターからの相対アドレスでどこまでも
処理してしまうプログラムを書いていた昔のプログラマーたちの負の遺産なんだよな
コードが膨大すぎてマイクロソフトは、もうすべてに対処仕切れないんでしょうかね?
これって、ユーザーアカウント制御ダイアログが表示されないで、システム権限とかで実行されちまうんだよな!
これで合っていますか? >>119
ありがとう
そう、知りたかったのは一般的なPCセキュリティ対策を講じている前提で
この問題特有の具体的なあるいは新たな原因とその防御法が何かあるのかなあと思った次第です
>>122
ごめんね
わかってないです^^; >>110
Windows 7 - 98.35%
Windows Server 2008 - 1.52%
Windows 10 - 0.03%
その他(XP?)合計 - 0.1%
ほんまかいな
XPはこんなに少ないのか? Windows10作る時1からプログラム組んでos作ればよかったのに
そしたら負の遺産もどうにかなるだろうし
プログラム経験一切ないから分からないけど XPを使ってる人自体も少ないだろうし
XPを使い続けるリスクってのを理解したうえで使ってる人ばかりだろうから >>128
何言ってるのかマジでわからん。
過去からの莫大なの資産の継承ができることがWindows最大のメリットなのに。
Windows RTがどうなったか知らん?
それにそもそもWindows 10はセキュリティに強いという謳い文句は嘘ではなかった。 >>128
枯れたコード使わずにOS作るって
どれだけ危険なことだか分かってるの? >>127
XPも10もSMBv1の脆弱性でワームに侵入されての感染はない >>130
すまんWindowsRT使ったことないからわかんね
>>131
1から作るとやっぱり危険か
よく考えると1から作ったら脆弱性とか凄いことになるのかwwwww
自分が無知すぎてワロタ
すまん!!! 前スレで、WannaCryの感染報告してた人が3人ほどいたけど、将来、暗号キーの流出等による暗号化されたファイルの復活に期待をかけて拡張子wncryのファイルを保存してるなら、
WannaCryの暗号化の仕組み上、一緒に生成されている00000000.ekyというファイルも復活の時に必要になってくるらしいので、それもとっておいた方がいいよ ランサムだったからこれだけ問題になったけど、これに感染するような所は情報ダダ漏れしてても気付いてなさそうだ
ある意味大規模侵入テストみたいなもので、最低限の対策すらしていな所が炙り出された結果となった >>127
XPでのwannacry感染例は世界中どこにも存在しないんよ。
セキュリティ業者が検体を使って故意に感染させたものはあるけど、その場合も伝染させる活動はできないそうだ。
MSはこれに気付いて善意の面をかぶってパッチを配り、XP最強という事実を隠そうとしたけどね。 >>136
じゃあ、あのXP用のパッチの中身は何だったの? >>137
脆弱性自体はあるからパッチの意味はある
ただ今回のワームはXPで動作確認していなかったらしく
XPではワームに侵入されてもクラッシュしてWannaCryの起動までは至らないらしい パソコン熟知した人でもランサムウェアとかにかかるとやっぱり動揺するものなのかな
俺はまだかかったことないから分からないけど
なったらたぶん動揺して何をしていいか分からなくなると思う >>126
見た目でわかるサイトなんて今の時代そうそうないから無意味
怪しいメールも本人は怪しいと思ってないから開くわけで振込詐欺と同じ
どちらもこの問題特有ではなく、どんなに教育しても行動力のあるバカを止められない環境ではどうしようもない
被害をなるべく減らすようにバカが使う環境は隔離するとかそういう対処しかない 折角OSにSmartScreenとか装備しても
条件反射で解除してexe起動する馬鹿もいるからな >>136
今回のランサムウェアの出来が悪くてそうなっただけで、同じ脆弱性を悪用した新種が出て来たら感染も伝染も出来ることには変わりはないからパッチを配るのは正しいだろう パッチを当てるOSを最新にするのは当たり前としてセキュリティソフトは本当にWindowsDefenderで大丈夫なのか…? 勘違いしてるヤツ多いけど
今回のパッチは進入経路をふさぐだけのもの
ウィルス(ワーム)の活動を阻止するものじゃない ランサムだからこれだけ騒がれたって考えてるやつがまだいるのか
ランサムであることは話題作り一役買ったけど、根本的には大規模なワームだから騒がれたんだよ
たまたま身代金を要求してきただけで、データぶっ壊すこと自体は他のウイルスと変わらん ■ このスレッドは過去ログ倉庫に格納されています