ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net


話題のランサムウェアの情報を共有しましょう。

ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。

残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。

攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)

■前スレ
ランサムウェア総合スレ Part4 [無断転載禁止]©2ch.net
http://tamae.2ch.net/test/read.cgi/sec/1468625700/

■テンプレ
スレ立て時には本文の文頭に「!extend:checked:vvvvv::」を入れて立てて下さい。
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。
VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured

>>617
Emsisoft Decrypter for CryptONでだめでしたか

ページの説明に
".id-_locked", ".id-_locked_by_krec", ".id-_locked_by_perfect", ".id-_x3m", ".id-_r9oj", ".id-_garryweber@protonmail.ch", ".id-_steaveiwalker@india.com_",
".id-_julia.crown@india.com_", ".id-_tom.cruz@india.com_", ".id-_CarlosBoltehero@india.com_" and ".id-_maria.lopez1@india.com_".
とあったけど、ransomed@india.comが載ってないですね。

やはりCryptONの亜種の新型バージョンで現行の復号ツールでは対応できないみたいですね。

625ID:zb/4U/do0 (ワッチョイ 13a6-mHpX)2018/05/26(土) 02:11:45.75ID:c7Nj7L4o0
>>624
そうなんですよね、最近出回りだしたものなのかGoogleで「ransomed@india.com」で検索しても変な誘導サイトばかりで…。
こんなに大規模な被害は初めてなので、ほんと、しんどすぎます。。

626ID:zb/4U/do0 (ワッチョイ 13a6-Yzyf)2018/05/26(土) 03:37:56.15ID:c7Nj7L4o0
ID:zb/4U/do0 です。
これまでにお金を払ってデータが戻った例ってあるのでしょうか…?
犯人はそれぞれ違うのでしょうけど。。

627名無しさん@お腹いっぱい。 (アウアウウー Sadd-EcIw)2018/05/26(土) 05:42:30.75ID:qFnRvJs/a
>>625-626
英語読めないならしかたないけど、612に
Emsisoftのdecryptorは今の亜種には効かないことも、
ID-Ransomwareのこともダメもとでできる(可能性がある)こともみんな書いてあるんだけどね
(てかgoogle翻訳も使えないの?)

最新情報が入るとすれば612のforumかemsisoftのサイトだろうし、
普通に検索したっていつものように詐欺ソフト誘導サイトばっかだろうし、
日本語で得られる情報って特にないよ

そもそもバックアップもしていないし、.exeファイルを叩いた上でなおさら実行まで許可しちゃっているんだから
データを全部削除されたってしゃーないよね
危機管理能力の欠如なんだから事項自得でしょう
データサルベージ不能になって右往左往している連中と何ら変わらないように見える

ランサムウェアに感染したらどうする? 本音で語るランサムウェア被害の復元と対策
ttps://mypage.otsuka-shokai.co.jp/contents/business-oyakudachi/it-security-course/2016/201608.html
>身代金を安易に支払うことを勧めるものではありませんが、
>事実から言うと、最近のランサムウェアは支払えば復元できるものが多いのです

2016年の記事だけど。
まぁ「過去の事例」なんて参考にならんよ。犯人によってスタンスが違うだろうし。
無駄金が嫌なら同一ウイルスの情報を海外のForumで収集しないと。
英語に触るのは嫌だけど無駄金も嫌なんて只の我が儘だろ


>>626
ShadowExplorerを使ってボリュームシャドウコピーからファイルを復元する方法も626さんの場合、Cドライブ以外がやられているので、無理なので・・・

ということで結構厳しいっぽいですね。
ちなみにお金を払ってデータが戻った例ってあるのか?という話だけど、自分が見聞きした範囲では戻るほうの率のほうが高いです。
http://www.atmarkit.co.jp/ait/articles/1605/13/news101.html
とかね。この被害者は知人でした。

あとは、このスレのPart2で支払ってデータ回復できた人がいた。
https://tamae.5ch.net/test/read.cgi/sec/1457785786/617-644

他にも
http://tamae.5ch.net/test/read.cgi/sec/1468625700/5-6

https://tamae.5ch.net/test/read.cgi/sec/1457785786/87

もちろん、だからあなたも大丈夫とは言えませんが。

支払いの締め切り日とか書いてませんでしたか?
ファイルを取り戻すために金払う気が少しでもあるなら、平行して仮想通貨の支払いができる環境を準備しておいたほうがいいです。
取引所との契約とかしておかないとすぐには支払えないので。

もちろん安易に金払うことをすすめてるわけじゃないですよ。
実際、最初の記事の被害者は当時、金払って解除しましたが、あとになってTeslaCryptの復号ツールができて、結果的には金払わなくても解除できたということもありました。
http://www.itmedia.co.jp/enterprise/articles/1605/20/news068.html

でも後になって解除ツールができるかどうかは神のみぞ知るくらいのレベルです。
犯人と連絡が取れなくなったら金払って復号もできないですし。

復旧業者も結局犯人に金払って解除してるとか聞くしなぁ...

>>631
この頃、身代金が1.25ビットコイン=6万円だったというのが驚きw

今は1ビットコインは80万円だけど、去年の12月には240万にもなってた
10ビットコインくらい買っとけば。。

634ID:zb/4U/do0 (ワッチョイ 13a6-mHpX)2018/05/26(土) 18:41:31.93ID:c7Nj7L4o0
ID:zb/4U/do0 です。

>>627 さん、
理解しました。。

>>628 さん、
仰るとおり右往左往しています。申し訳ありません。

>>629 さん、
英語が読めないこともありますが、そもそも知識が無いので理解に時間がかかるようです。
特に今焦っていますので。。
幸い?、犯人とのメールのやり取りに大して時間を要しておらず、元に戻る証拠として1個ファイルを送ってみろと言われています。
正しく復号されるようならば500$払おうかと思ってます。
ただ、bitcoin・etheriumをやってないので 何をどうしてよいのやら。。

>>631 さん、
仰るとおり、ShadowExplorerでは無理でした。
お教えいただいた記事、ありがとうございます。
熟読させていただきます!

支払い期限、いまのところ明記されていないような気がします。
返信されてくるメールも焦らすような文言は一切無いですし。
後々復号ツールが出てくるのでしょうけど、その保証はありませんし班員と連絡が取れなくなる前に勉強代として$を払う方向で考えています。
でもbitcoin・etheriumの知識が皆無なので、何をどうしたらよいのか調べなくちゃ。。泣

>>632 さん、
有りえそうですね。ちょっと笑ってしまいましたw
いまのところ業者に依頼するつもりはありませんが、情報をお教えいただきありがとうございます。


みなさま、差支えが無ければ引き続き復号出来る兆しが見えるまで お付き合いいただけたらありがたいです。
どうかよろしくお願いいたします。

>>634
あり得そう、ではなく、業者もやってることは、解除ツールが出てるやつは解除ツール使って、解除ツールが無理なのは身代金払ってやってる >>591

>>616
7のMSEなんてほぼノーガードに近い
あったら助かったかもしれない機能が全くないのだから

まぁ、2010年のSecurity Essentials 2.0以降、8年間も機能アップはされてないもんな

毎年機能強化されてる市販セキュリティソフトやクラウド機能で検知率の大幅向上を果たしてるWindows Defenderと比べると厳しいわな

windows7はメインストリームサポートは終わり、延長サポートもあと1年半強しかないからな

総合セキュリティソフト代をケチって、バックアップ代もケチって
それ以上の出費が必要となった悪いパターンだな

>>638
それは今回の問題とはなんの関係もないけどな

>>609
> ネットに転がっていたexeファイルをうっかりクリックしてしまい
転がっているEXEとはどういうこと(もの)でしょうか
いろんなソフトを扱っているサイトから有用そうなソフトをダウンロードしたということですか?
何かのソフト、または架空のソフトを装っていたのでしょうか?
また、ブラウザでローカルにダウンロード後実行したのでしょうか?
後学のためにもお手数ですがぜひ教えていただければと思います

私も
>>614
>ちなみに、原因になったウイルス入りデータの配布場所は何となく把握しています。
が気になってました。
一体どこからダウンロードしてしまったファイルなのでしょう?

アドレスを書くのが嫌なら、何を検索して辿りついたのか、サイトのジャンルだけでも書いてくれないとね
短縮URL踏んだ先にあったとか?
悪質なエロサイトでもexe単体なんてまず置かないと思うし、そういうサイトはセーフブラウジングでブロックされる危険もあるので広告収入のサイトではメリットが無いのでやらないよね
それとも、SmartScreenやセーフブラウジングでブロックが出来ないAWS上に置かれてたとか?

644名無しさん@お腹いっぱい。 (アウアウウー Sa09-ig8J)2018/05/31(木) 17:29:38.47ID:cJGk39+la
そう思い込んでるだけで、
実際はRDP開けっ放しでそこからだと思うが
記事にもあったように

645名無しさん@お腹いっぱい。 (JP 0He2-lRPv)2018/05/31(木) 17:36:54.88ID:FrwuKghdH
RDP開けっ放しは普通だけど、ルーターがRDPを普通は通さない

「ウイルス入りデータの配布場所」って言ってるから割れ系じゃないのかね?
市販ソフトかゲームのクラック済みexeのつもりで拾ってきたとかそういうオチ。
非正規と自覚してるからSmartScreenの警告を無視して実行したとかなら割と納得できる

647ID:zb/4U/do0 (ワッチョイ 7aa6-qVDa)2018/06/03(日) 15:55:35.53ID:4scDhCQJ0
ID:zb/4U/do0 です。
風邪ひいて全身がぎっくり腰みたいに痛くて寝込んでました。。

>>641->>645
あらかた >>646 さんの仰る通りです。
URL載せようと思ったら、DLされるファイルが違うものに置き換わってました。

以下、経過報告です。
犯人とはチャットツールではなく、暗号化されたファイル名に書かれているメールアドレス先と直接やり取りをしているのですが、
「we can decrypt 1 small file for free. for this, pack the file into a rar archive, load it on sendspace.com and send me a link」
という事で暗号化されたJPEGを送ってみたら、復号されたものが届きました。。
という事で、賛否はあるとは思いますが500$払う事にしました。
犯人からは「my bitcoin wallet [34文字の乱数字]」の送り先口座番号?の情報が届いています。

とりあえずBitcoinに関しての知識が無く、開設までに時間が掛かることもあるという事なのでとりあえずGMOコインとDMM Bitcoinの2か所に申し込んで口座開設をしました。
いま現在、たぶんBitcoinが買える状態です。…いきなり500$分を買えるのか不明ですが。
さて、これをどうしたらよいのか、 >>631 さんからの記事を読んでいます。
Bitcoinの買い方〜送り方云々は専用板で聞いた方がここの皆さんにご迷惑掛からないですよね…?

>>647
買い方送り方は相談するならツイッターとかで接触出来る専門家に相談して、オープンでやったほうがいい
掲示板だと悪い奴が近付いてきて騙される可能性がある

649ID:zb/4U/do0 (ワッチョイ 7aa6-5on+)2018/06/04(月) 23:38:31.67ID:ivW3JWfr0
>>648 さん、
なるほどです。
Twitterではあまり社交的なことをしていないのですが、相談してみます!

>>647
報告乙です
ひとつアドバイスしたいのは、払うと決めたなら、できるだけ早く支払いしたほうがいい

のんびりやってると、相手は騙すつもりがなくても、相手が警察などに逮捕されたり、または他の理由で活動を停止したりすることもあるので、ずっと連絡を取れるとは思わないほうがいい

651ID:zb/4U/do0 (ワッチョイ 13a6-UwQd)2018/06/10(日) 22:33:42.81ID:UPrbJvnN0
>>650 さん、
アドバイスありがとうございます。
GMOとDMMの口座を開設したはいいけど、Bitcoinの買い方がいまいちよくわからないことと、
犯人から一言だけ「https://blockchain.info」と送られてきたんだけど、この使い方が全く分からないんです…。
ひとりで夜な夜なサイトを回って調べていますが。。

払うべきじゃないだろ

そもそも、人に言えないような実行ファイルをダウンロードしてなったんだから、次回も拾ってやらかすだろうな。

払わない方がもちろん良いのだろうけど、ほかにデータを回復する手段がない場合はやむを得ない

655ID:zb/4U/do0 (ワッチョイ 42a6-eVpF)2018/06/19(火) 03:44:25.68ID:i+5TraGS0
ID:zb/4U/do0 です。
ご報告が遅くなりましたが、
13日の夕方過ぎにBitcoinを送金予約、
14日の昼過ぎに送金完了、
15日の深夜に犯人からunlock.rarのダウンロードURLと起動用ID(暗号化されたファイル名内の9桁の乱数字)とパスワード(700桁の乱数字)が記載されたメールが届きました。
RARのファイルサイズは183,156 バイト、解凍後のunlock.exeは421,376 バイト。

で、さっそく作業開始すると、どんな大容量のデータでも一瞬にして復号化されていき、数時間で全てのデータが復号化。
但し、ファイルのプロパティにある「更新時間」が復号化された時間になってしまうという少し残念な結果ではありますが。。

最終的な被害金額は、交渉開始時に$500US相当のビットコインのレートが0.066BTCで日本円で55000円くらいでしたが、6/13時点では47000円ほど(諸経費除く)。

いろいろとご教授いただきました皆様、本当にありがとうございました。
以後、いろいろと気を付けたいと思います。

656631 (スプッッ Sd0a-3iqU)2018/06/19(火) 19:51:30.85ID:COPHlG/Id
>>655
結果報告乙でした。
騙されなくてよかった。
ちゃんとデータ復元できたようでなにより。

あとは、マイクロソフト以外のセキュリティソフトに変えることをおすすめ。

AVLabというところで各種セキュリティソフトでランサムウエアに対するテスト結果が発表されていたけど、マイクロソフトのWindowsDefenderだけ成績が悪い。
Security EssentialはWindows Defenderよりも性能が劣るので論外・・・

https://avlab.pl/sites/default/files/inline-images/AVLab%20tabelka%20Ransomware.png
https://avlab.pl/en/best-antivirus-software-2018-based-three-security-tests

5万で済むなら安いもんだわな
業者ならそれ以上取りそうだし

業者は被害者から15万とって5万を犯人に払って復旧するからね

業者がランサム流して身代金ゲット!自分が流したやつ修理頼んできたら犯人に払う分も必要なく丸々ゲット!
とかそのうちやりはじめそう

ランサムなんて作ってばら撒く奴はその業者みたいなものだろ、実質

661ID:zb/4U/do0 (ワッチョイ 42a6-eVpF)2018/06/20(水) 21:56:12.60ID:rFun+AI/0
>>656 さん、
プロバイダがJcomなので、とりあえずはそこで配布してる「マカフィー for ZAQ」を久しぶりに入れました。
…時々重くなるので気が引けるのですが。
https://cs.myjcom.jp/knowledgeDetail?an=000477720

>>657 さん、
結果的に元に戻せた事とこの程度で済んだのはのは不幸中の幸いというか、勉強代として納得してます。。

662ID:zb/4U/do0 (ワッチョイ 7fa6-yEpF)2018/06/21(木) 00:25:18.80ID:VnBymRYP0
>>658 さん、
なんだかなあ…
いい人ばかりじゃない世の中、切なくなります。。

>>659 さん、
>>660 さん、
案外多いと思います、いわゆる自作自演的な。
だって、ばら撒くだけでは誰徳?ってハナシですもんねえ。。

>>661
「気が引ける」の意味を辞書で調べた方がいいと思います

博多大丸なんとかに似てる

>>ばら撒くだけでは誰徳?ってハナシですもんねえ。。
金払った奴が言うことじゃなくねw

666ID:zb/4U/do0 (ワッチョイ 7fa6-amnW)2018/06/21(木) 21:57:17.47ID:VnBymRYP0
>>665 さん、
自分への恨み節というか、嫌味ですw

>>661
マカフィー重いなら、ESETおすすめ
たぶん重さを感じることはないと思うけど、とりあえず30日体験版試してるのがいいかも

1台用3年版 3980円
https://www.eset-smart-security.jp/store/order_esetsec_lp.php?page=eset_180403code_cp&type=input

5台用3年版 4980円
https://www.amazon.co.jp/dp/B06XPZCX11/

668ID:zb/4U/do0 (ワッチョイ 7fa6-amnW)2018/06/21(木) 23:59:44.26ID:VnBymRYP0
>>667 さん、
3年で3980とは!
メモメモφ(・ェ・o)

負け惜しみにしか聞こえないw

670ID:zb/4U/do0 (ワッチョイ 7fa6-amnW)2018/06/22(金) 03:02:32.70ID:v8NQJDNA0
>>669
そりゃそうですよ。
だめですか?

>>670
レス乞食はスルーしといたほうがいい

672ID:zb/4U/do0 (ワッチョイ 7fa6-amnW)2018/06/22(金) 18:39:21.06ID:v8NQJDNA0
>>671 さん、
はい、そうさせていただきます
ありがとうございます

>>667 >>668
5台用3年版 3980円セール
https://nttxstore.jp/_II_QZX0016823

ランサムウェア「Thanatos」の被害からファイルを復旧するツールをTalosが無償公開
https://forest.watch.impress.co.jp/docs/news/1130189.html

新着レスの表示
レスを投稿する