ランサムウェア総合スレ Part6 [無断転載禁止]
話題のランサムウェアの情報を共有しましょう。
ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。
残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。
攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)
■前スレ
ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net
https://medaka.5ch.net/test/read.cgi/sec/1495175464/
■テンプレ
スレ立て時には本文の文頭に「!extend:checked:vvvvv::」を入れて立てて下さい。
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。
VIPQ2_EXTDAT: checked:vvvvv:1000:512:: EXT was configured 保守あげ(・∀・)イイ!!
保守さげイイ(・∀・A・)クナイ! TMPGEncのクラック探してたらやられました
topiってやつです
Emsoft?というところで判定したら、
オンラインキーで復号は無理らしいです
サブだったのと、頻繁にファイルのバックアップをしてたので、データ的な被害はそこまでなかったのですが、やられたあとProgramDataに作成されたデータを見たらchrome閲覧時に使ったログインパスワードやら履歴やらがありました
これはとられたということでしょうか?
あと2点お聞きしたいことがあります
○初期化すれば問題ないでしょうか?
○もしかしたら復号できる時が来るかもと、一応microSDカードに暗号されたファイルを保存しました
このカードの中身も暗号化されてたので、危険ですが‥
とりあえず初期化後、そのパソコンでウイルスバスターチェックをして、脅迫メール以外は危険なファイル判定はされませんでした
例えばですが、このカードを今後もフォーマット等せずに使っても大丈夫でしょうか?
よろしくお願いいたします 大して高くもないアプリをクラックとか。今どき、ウイルスバスター使ってるとかほんと情弱だし。
暗号化されたファイルを捨てて構わないのなら、OSをクリーンインストールすればいいけどもBIOSにまで感染するやつに
かかった場合、そのPCはもうダメです。 BIOSの更新作業時には必ずファームウェア側でユーザー側へと確認メッセージを表示するので
勝手に書き替えられたりはしませんし、厳しいシグニチャチェックを施しているので
まず書き替えられたりはしませんよね BIOSに感染するようなウイルスは正規の方法でアップデートしてる訳じゃないから確認メッセージとか出ない
脆弱性は確認とかすっ飛ばして実行するための物だし それならばBIOSになんて感染しちゃいないだろうよ
どの程度詳しいの?
拾って来て実証実験でもしてみやがれよ
どこぞに書いてあった大昔の話でもそのまま鵜呑みにしているんかの
こう言うやつってアーアヤダヤダw Intel CPUの脆弱性を知っているならBIOS更新を含むSSD/HDDのフォーマットまでされるって理解してますよね。 非常に希な可能性を論ずるのならば、落雷被害に遭って全てが一瞬でおじゃんになるのに匹敵する
事実、現状でそれらの脆弱性が利用されたコードが発見されていないのに心配だけをしているおバカだと思う
脆弱性なんてのはマイクロソフトが毎月やらかしているだろうよw >>24
https://gigazine.net/news/20150330-bios-hack/
5年も前から実演されてますよね。脆弱性は緩和しか出来なくて、部分的な防御に過ぎないっていうのをずっと誤魔化してるのが
判ってる人はRyzenに乗り換えてますが、問題ないとする荒らしをしている人ですか?w >>22
基本的な脆弱性を理解してるなら分かること
オーバーフローさせて返却値に実行させたいペイロードのポインタアドレス読み込ませて実行するのが基本
これが分かってるなら確認メッセージとかそういうの飛ばせるくらい分かる
自分で次に読み込むアドレスを操作出来るんだから確認メッセージのアドレス飛ばせて当たり前だろ
BIOSに限らずOSやソフトウェアレベルでも脆弱性の基本的な部分は変わらん 投機実行使った脆弱性は権限越えたメモリの読み出しで書き換えはできないぞ 2015年03月30日 06時00分 メモ
ハッカーが2分以内にマルウェアを埋め込めるBIOSの脆弱性が発見される
ハッカーが2分以内にマルウェアを埋め込めるBIOSの脆弱性が発見される2015年3月18日から20日にわたって開催されたITセキュリティのイベント
Kovah氏らが発見した脆弱性は、世界中にあるほとんどのPCに搭載されているBIOSに存在します。
一般ユーザーのほとんどはBIOSの存在さえ知らないため、脆弱性を修正するためのパッチが配布されたとしても、
配布された修正パッチが当てられる可能性は低くなってしまうことが、さらに問題を複雑にしているようです。
もう対処されているようですね
絵に描いた餅でもセキュリティガーは心配しておいてくださいな
セキュリティガーの問題点は、回避する手段になる知識までは持ち合わせていない点なんですよねw
ただの脳内バーチャルで終わってしまって騒いでいるだけなんですw うわー。もしかして、http://egg.5ch.net/test/read.cgi/jisaku/1580174860/ ←このスレの人気者?
1つの方法に対して、対策できました。でも、あと数千、数万の方法に対しては対応をお待ちくださいって意味、判るかな?w >>28
知りもしないことを妄想で補完して騒いでたのはお前だけ
正に脳内バーチャルで終ってるってやつだな >>30
どうせ知識も追い付いていないのにセキュリティ記事だけを拾い読みして
脳内バーチャルで心配しといて禿げといてくださいなw
どうせ心配したってあんたには対処するだけの知識もないでしょうよ?
それらについて対処方法でも議論した方が建設的だよなw >>31
建設的な議論したいならまず自分の間違った知識を認めないことには不可能と言うことに気づいた方がいい
まあ、脆弱性も分かってないやつに議論出来るとは思えないけどな
ちなみに自分語りするとIT系の国家資格持ってるちゃんとした専門家なんでな 国家資格程度で何がわかるってんだよ
その理屈ならば企業サーバーはやられはしないわな 大笑いですよ >>33
国家資格があると専門家から見てもオマエの発言が間違っていて無能だと証明出来る >>34
せんせー、>>19 から議論になってる脆弱性をCVE番号で列挙してください。お願いします! >>36
国家資格ってウソなんですね。だって理解できてないからオウム返ししかできないんですから。
で、CVE番号のどれに該当するんですか? >>34
国家資格保有者だとインテルプロセッサの脆弱性と
それに対処したパッチでの回避ロジックもさぞや詳細に知っているんでしょうね?w
知らんだろう?その程度なんだよ >>37
調べろって俺に言うなら金払ってな?
こっちは専門家な訳だから専門家に専門的なことを頼むならキチンと契約書用意して金払ってもらうからさ
いつでも見れるようなのは概要だけ知ってればいいからCVEとかあんまり役に立たない情報に興味無いし
興味あるなら自分で調べろとしか思ってないんで
てか、自分で調べるの面倒なら「嘘付いて済みませんでした〜」とか言っとけよ
>>38
関連企業じゃないと知らないような情報をしってるか?ってドヤ顔されてもな
陸軍兵士に海軍の軍事機密知ってるか?って聞いてるのと変わらんだろ
その程度って人に言ってるけどその程度のことも知らん奴に無能評価受けるのがオマエだろ >>39
>関連企業じゃないと知らないような情報をしってるか?ってドヤ顔されてもな
じゃあ、あんたにはブログ記事の内容にただ踊らされるだけしか出来ないので
その内容に怯えて使わないような対処方しか出来ない
脆弱性には対処しましたって記事を見かけたらそれにただ安心するだけなんでしょう
本当に改善されているのかよ?ってはならないんでしょうねw >>40
調べる時もあるけど?
ただハードウェアは下手に書き換えたりすると修復不可能になったりして金かかるから個人でしないだけ
USBのファームウェア書き換えとかあんまり金かからないならやってるけど
CPUとかマザーボードとか数万円かかるような部品壊してまで個人でやることじゃないだろ >>41
スゴい成りきりっぷりに感動しました!CVE番号とか調べるのに金がかかるとか全国のIT関係者がうれションしちゃいますよwww
で、Intel CPUの脆弱性がありながらもランサムウェアにどうやって対処したら良いですか?例えば、SGXにランサムウェアがインストール
されてしまった場合で。成りきりで構いませんから。 Crypto Sheriffで結果を見るを押しても元の画面に戻るだけだけど、
判定できなかったということ? 無いならbad newsって書かれたページが表示される
元のページに戻るのはフォームに何も入力してない場合だな 入力してるんだけどな
ファイルの転送が何かにはじかれてるんだろうか テキストフォームに適当に入力して見ればブラウザ側の問題かどうか分かると思う
ファイル転送は試してないから分からないけど
ファイル転送自体未対応な可能性もある
適当なテキストファイル作って試せば未対応なのか送信してるファイルがおかしいのか分かると思う 何回かやってたら、PR_CONNECT_RESET_ERROR が出るようになった >>1
三鷹の土井莉理子(本名 土井剛)吉祥寺 コピペで検索!
大阪のノンケ男性に拒否されているにも関わらず、2016年からストーキング行為を繰り返している
https://i.imgur.com/0lYqN51.png
●LGBT(トランスジェンダー) ADHD(発達障害)である
●自宅4階から飛び降り自殺、奇声をあげながら自室部屋のドアをナイフで突き刺す
●母親とは包丁とナイフで取っ組み合いの喧嘩
●東大の精神科閉鎖病棟で強制隔離入院歴2回
●歌い手になりたいとニコ生を始める、釣り配信の男性ニコ生主のストーカーになる
●沖縄にお泊りしたが男なのがバレて1日で帰京
●生主の口封じのため父親に被害をでっちあげ電話をさせる(生主ニコ生引退)
●韓国でシリコン製の胸を手に入れる+性転換手術
●名前を変えて再びニコ生で奇声をあげて歌いだす
●好奇心で他人のTwitterアカウントを乗っ取る(この頃からハッキングに快感を覚える)
●某ロックミュージシャンのストーカーになる
●トラブル...ハッキング、乗っ取り、警察にいたずら通報、たかり、脅迫、殺害予告、...etc
NEW!最近あるYouTuber同士の揉め事の仲介に入り、○千万円分のビットコインをGet
(実際は自作自演で炎上させ、さも自分が消防士のように振るまう鬼畜外道)
その欲留まることなし
現在、大阪で目撃情報多数
https://twitter.com/Copy__writing
https://twitter.com/5chan_nel (5ch newer account) 全ファイルが.jopeになった。。
過去スレ読みタスクマネージャーが停止なってるのは直せたけど
ファイルがなおらねええええええええええええええ NASがやられてーとかクラックしようと思って失敗しましたとか言え。 外付けhddにファイル移してパソコンリカバリーしなかったら
復元できる方法分かったわ もう移してリカバリーしたし
過去スレ読まなければよかった 拡張子が.corona-lockになる
「CovidWorldCry Ransomware」なるものに感染してしまった・・・。
現実世界のコロナにはかかってないのに、こんな事になるとは
調べたら5月25日時点では復号は不可能との事
一応報告しておきます。 ハッキリ言って名前よりも何をしてかかったが知りたい >>55
基本どのランサムウェアも
>>54のやつやってなかったら復号できる。 Hondaのランサムウェアって内部犯行だったみたいだな
Hondaは公表しない予定のようだ ターゲットがIntel CPUを使ってるなら脆弱性を使って痕跡を残さず感染させることが出来るだろう。不明なのはそんなのだろ? この手のは標的型でマルウェア実行したとかがほとんどじゃない?
/!/{ / ヾ--r
_ /  ̄ <_
_>`´ >>59 ___<_
> r‐'" ̄ ̄ ノ ̄ ̄`ヽ、―ニ 二
/ , | `ヽ/ ´`ヽ _ 三,:三ー二
 ̄/ | ノヽ--/ ̄ , ` ̄ ̄ ̄
/ /⌒ヽ,| ミ } ...| /!
レ l d _}`ー‐し'ゝL _
| ヽ、_, _,:ヘr--‐‐'´} ;ー------
|/| \ ノ`ヾ:::-‐'ーr‐'"==-
ヽ/l/|` ー------r‐'"  ̄ ̄
|└-- 、__/`\-:、
__,ゝ,,_____/ \_」 \
∧_∧
◎ へ (´<_` )
\ ≫ ̄ ̄ ̄ ̄彡ヽ ̄ ̄ ̄ ̄ ̄ ̄⌒ \
彡____人 )  ̄ ̄ ̄ ̄ ̄\ )
◎-●一( * * ヽミ |. |
((_ _ (( ( ;;-=- ̄=─ ̄ '⌒ヽ〉 | |
‘,'.∴・,‘・(ε (( ヽ-=_二__ ̄ \ | |
,'.・∵ ヽ_____ ノ  ̄\ / /
(__)) ヽ .\__/_丿
| | >>59 ヽ .| |
| |______) | |
| 〉三三三[□]三) | |
ノノノノ:::::::::::::::::::::::::::::/ \ ヽ
~~~|::::::::::::::::::/:::::::/ \ |
|;;;;;;;;;;;;;;;/;;;;;;;/ / ノ
(___|)_|)
_∧_∧
/ ̄ ( ・∀・)⌒\
__ / _| | |
ヽヽ / / \ | | ,,,,,,,iiiiillllll!!!!!!!lllllliiiii,,,,,,,
\\| |____| .| | .,llll゙゙゙゙゙ ゙゙゙゙゙lllll,
\/ \ | | .|!!!!,,,,,,,, ,,,,,,,,,!!!!|
| ヽ_「\ | |、 | ゙゙゙゙!!!!llllliiiiiiiiiilllll!!!!゙゙゙゙ .|
| \ \――、. | | ヽ .| .゙゙゙゙゙゙゙゙゙゙ |
| / \ "-、, `| | ヽ | |
_/ / "-, "' (_ ヽ ヽ .| |
/ __ノ "'m__`\ヽ_,,,, ヽ | |
`ー― ̄ ヽ、__`/ー_,,,, ゙゙゙゙!!!!!!!lllllllliii| |
\゙゙゙゙゙゙゙!!!!!lllllllliiiii| |
\ ヽ | |
ヽ \ | |
| \.| |
`ヽ、,,_ノ| |
゙゙!!!,,,,,,,, ,,,,,,,,,!!!゙゙
゙゙゙゙!!!!llllliiiiiiiiiilllll!!!!゙゙゙゙
/.// ・l|∵ ヽ\ ←>>59 ドライバーらしきものを入手しようとして変なソフトインストールされたんで慌てて消した
んでさっき気づいたんだが外付けHDDに保存してる個人ファイルがkuusになってた・・・
外付けHDD常に接続しなきゃよかった でも暗号化されてないファイルとされてるファイルがあった
今まで苦労して集めたファイルは無事だったけど 最近ウイルスに対する意識が低くなってたせいだな >>68
自分はWindows Defenderオンリーだった でもこれを気にカスペルスキー導入しようかと考えた
あ、動画と自分で撮った写真が全滅(暗号化)されてたのは地味にショックだな・・・
外付けは常にPCに接続せずバックアップとして使って同じ容量のストレージをPCに内蔵して使うべきなんだろうかね
データ保存するためのMDISC早く用意しとけばよかった
HDDへのON、OFFが負担かかるとか気にしてる場合じゃない こうなった時はこんなのを考えてるのがアホくせって思う
でもどっちも大事だけど 既存のランサムウエアなら防げる可能性あるけど
新しいのは無理だろうね https://ja.howtofix.guide/kuus-files-decrypt-2/
拡張子で検索してここのサイト見ながらやったけどうまくは行かなかったな
でも暗号化されたデータは消さないつもり ランサムって暗号化されてるだけだから身代金払えばいいんでしょ
復元できないイカタコウイルスのほうが悪質 身代金払っても暗号化解除されるって保証は無さそう それこそ仕掛けた奴の思うつぼ
確かにイカタコウイルスよりマシだけど
とにかく常にバックアップは大事・・・ そして個人データが入ってるメディアは必要以上にアクセスしない事
複数台PCを持って専用に使うなどをする・・・ だな これは素人にはまず難しいし一般が簡単に出来ることでも無い
現実的に考えればメディアを複数台持つことだな データが増えれば増えるほど管理しづらくなるのが
どうしたらいいものか・・・ 本当今回は全部がやられたんじゃないんでデータ失って残念だと思うより今回はこれくらいで済んでよかったと思うべきだなと
ま、次はデバイスそのもの破壊される可能性ありそう 防ぎようがないな・・・ そういえばavastに無料でもランサムウェアシールド付いたね >>74
バックアップ用の外部hddを二つくらい用意するだけでいいんじゃない?
常時接続はいろいろとリスキーな気がする
防ぎようはあるにはある>>67の行為の見直しとか
そもそもドライバらしきものって何?
あと参考までに教えてほしいのだけどなんというサイト?
「変なソフトインストールされた」というけど自分で実行したんだよね? >>68
権限昇格するために他のセキュリティを切ってセキュリティレベルを下げるウイルスがウイルスバスターって言うらしい >>76
容量の事ばかり気にしすぎてて常時接続してしまった
ドライバーはRealtekのドライバー PC新調してエフェクターが無かったからネットで検索して
別のドライバー導入することに夢中になってたもんで使えるかと思い落としたやつ入れたら感染した
残念ながらサイトは覚えてないけど海外サイトだった気がする
自分で実行したけどまさかそんなものが紛れ込んでるとは思わなかった WindowsDefenderはすぐに削除を開始したけど
気づいた時には手遅れだったな インストールした瞬間アドウェアみたいなのがインストールされたなって気づいたけど消すのが結構手こずって土日それで潰れた
まあ自業自得といえば自業自得 よく海外サイトでソフトとか落としたりすることあるけどその手のサイト使う時は一度PCのバックアップ取って
個人データ入ってるHDDはもう常に接続しないことにする というか怪しいサイトは訪れるべきではないな アクセスした瞬間からやられることもあるだろうし
本当リスキーすぎるねこの行為は
後個人データバックアップ用のHDDやメディアもさっさと用意することにする >>78
なるほど・・ショックの中教えてくれてありがとう
これは自分だったら、といった話だけど、
その落としたファイルをローカルの常駐アンチウイルスソフト、非常中のアンチウイルスソフト、
あとオンラインファイルスキャンサイトとかで第3、4オピニオンぐらいまで検索するかも
たくさんの人がダウンロードしてるような普通のソフトだったらしないけど
”暗号化されたデータは消さないつもり”とかいていたけど
確かに消さずに待ってみるのも良いと思う
そのうちフリーの復元ツールとか出るかもしれないし
>>71の復元ツールでもだめだったんだよね?
ただ、下のように書いてもあるから待つのが吉かもしれない
>我慢してください。 どうやら、あなたは新しいバージョンのKuusランサムウェアに感染しており、復号化キーはまだリリースされていません。
>当社のウェブサイトのニュースに従ってください。
>新しいKuusキーまたは新しい復号化プログラムが表示されたときに通知します。 >>80
そう書かれてあったから消さずに持っておくつもり
恐らく 暇が無い データ整理やPCの新調でセットアップに手こずったりした
この3つが重なってこのような状況を招いたとも言える
言い換えればランサムウェアについて詳しくなるいい機会とも言える 前よりもデータの扱いに注意出来る事も知れた
「その落としたファイルをローカルの常駐アンチウイルスソフト、非常中のアンチウイルスソフト、
あとオンラインファイルスキャンサイトとかで第3、4オピニオンぐらいまで検索するかも」
↑これ参考にする とにかく今後は油断しないようにするよ やられたと知った時は本当ショックだった
>>81 >>82
ネットでランサムウェアの事検索したらこの2つ見つけた 暇な時試してみる
とはいえやられたデータは一部だったんで不幸中の幸いといえた じゃそろそろ寝ることにする 基本virustotal使うのがわかりやすい
ランサムウェアは他のマルウェアとくらべて被害に即気づきやすいのでvirustotalで引っかかるセキュリティソフトの数もあっという間に増える
感覚的には最低丸1日、ま3日も置けば有意に二桁くらいにはなるからそのくらい解凍/インストールせず置いとくべきだね
もっともトロいことで有名なwdがすぐ動き出したってことは既に撒かれて数日は経っている状態だったはずだからすぐvirustotal使ってもおかしいと気づけたと思うが レス80で「オンラインファイルスキャンサイト」って言葉で検索してそれがヒットしたから
http://lhsp.s206.xrea.com/misc/virusscan.html
ここを見てvirustotal使って調べた
感染前はその手のサイトでチェックするなんて事は頭に無かったからな
入っててもアドウェアくらいだろ みたいな感覚だった
とりあえず今週は個人データバックアップ用のHDD買う でも何故かvirustotalでスキャン出来ないファイルとかあるね
後無料アンチウイルスは入れないよりマシ程度かも知れないけどこれってどうなんだろ
https://freesoft-100.com/review/kaspersky-security-cloud.html
Kaspersky Security Cloud Free 俺は使ってないけど、Win10のアンチランサム機能ってどうよ?
ちゃんと機能してるか? >>89
機能してるか分からないがWin10使っててウイルスに感染したことはない Win8使ってた頃はアドウェアに感染したことはある
ただ今まで運良くランサムに遭遇しなかった可能性もある
ちなみにランサムに感染したPCの環境はOSがWin8.1でDefenderのみの対策 ランサムに関しては環境がどうだったかより、
何をしたときに、どういったサイトやファイル経由で感染したかの情報の方が貴重な感じがする
逆に言うと、このスレにおいて「このソフトのおかげでランサム防げた」という話は見ないし
アンチウイルスソフトが何であれやられるときにはやられてる印象 >>91
調べてみると多いのは見慣れないサイトや怪しいサイトからドライバーのダウンロードや不審なメールやサイトを開いたりが多い
特にネット接続を使うインストーラーとかからの感染 これ以上にもありそうだが知ってるのはこれくらい
興味本位や欲にかられてセキュリティーの事が疎かになったり中途半端な知恵だけ身についてるだけできちんとウイルスの事を理解してない事とか
こればかりは経験を積まないと分からない とはいえランサムはこれといった対策がはっきり言って無い 仮想環境で安全と思っているのはパー
OSとして閉じられているだけであってWindows to Goの初期設定と内部的には変わらない
OS以外のドライブが見えるように設定してしまっていたらセキュリティ的にはもう万全ではない
改変されてしまいますよ にわかが嘘つくなよな
ランサムウェア想定された仮想ソフト使ったこと無いだけだろ
そもそも仮想でも改変されるならウイルス対策ソフトのスキャン時に仮想動作した時点で終わってるわアホが 仮想環境にインストールしたOS以外のドライブにもアクセス可能な状態でランサムを発動して確認したらいい
さあ どうなったかな?w アプリケーション仮想化ソフトも知らないとか話にならんわ 仮想ってサンドボックスみたいなのを言っているのかもしれないけど、VMwareや
VirtualBoxみたいな仮想環境は、物理ディスク直接なんて見せないで仮想ディスクで
運用するからファイル感染なんかしないし、ネットワークも存在しない状態に設定
できるからネットワーク感染も起こらない
ゲストOSとホストOSの間でドライブ共有する機能もあるけど設定で無効化しておけば
アクセスすることもない
怪しいexeを動かす用のゲストOSならそれにあった運用をすれば、ゲストOSが感染
することはあってもホストOS側に被害が及ぶことなんてないよ 【サイバー攻撃】米Garminのオンラインサービス障害、原因はランサムウェア 復号キー入手の報道も [エリオット★]
http://egg.5ch.net/test/read.cgi/bizplus/1595911946/ ガーミンへのサイバー攻撃は、フィットネスにとどまらない「重大なリスク」を浮き彫りにした
https://wired.jp/2020/07/30/garmin-outage-ransomware-attack-workouts-aviation/
バックアップ体制がきちんと確立されていない企業が復号キーを入手して復元したって、
その復元後のデータが改悪されていない保証はないよな
そんなファイルデータをそのまま利用していたとしたら最低な企業だなw やられた
2ch内の画像を貼るスレ見てたら(もちろん専ブラで)
HDDが怪しい動きをし始めた。
GIFアニメで専ブラ内で見れないのをブラウザで開いて見たのが原因かも。
何やらわからんからウィルスかと思ってケーブル抜いて再起動するも
システムHDDは大丈夫だったが、残りのHDDのファイルの拡張子がkook付きになってた
調べてツールもダメ元でやったがkook対応してないようでうまくいかない
治す方法あったら情報お願いします その画像スレ他に被害者いそう
スレや貼ってあったサイト、OSなど興味ある
画像関係でランサム感染って珍しいパターンじゃない?
GIFじゃなかったというオチなのか
そのサイトがやばかったのか
しかし、GIFに偽装していたとして、アクセスしただけで勝手に実行されるもの?
Kook Ransomware
で検索するとヒントは出てきた
最近の記事が多い
もしかしてできたてなのか?
こことかちょっとヒントになるかも
https://www.reddit.com/r/Ransomware/comments/hzfip5/kook_ransomware/
youtubeとかにも解説動画とかある模様 あ、あと使ってたアンチウイルスソフトも参考までに書いてくれたらうれしいです ”Kook ransomware ? the version of a notorious cryptovirus ”らしい
https://www.2-spyware.com/remove-kook-ransomware.html
ここも参考になるかも
よく読んでみてください
適当に読んだけどなかなか手ごわそう
” Do not pay. In some cases, there is a tool that helps ? Emsisoft Djvu decrypted. ”
こうも書いてある
さっきのredditのスレにも書いてあったけど、Emsisoftの復元ツールは望みが少しあるかもしれない どうもここ数日に確認されだしたタイプの模様
なんだかしらんがwindowsupdateに成りすます(かくれみの?)ためユーザーには挙動がわかりずらいとか
https://geeksadvice.com/remove-kook-ransomware-virus/
このサイトの”Can you decrypt files for free?”この項目もよく読んでみて
いくつか見たけど、
最近出てきた既存ランサムウイルス亜種であるもよう
オンラインで感染したかオフラインで感染したかも分かれ道のよう
そしてそのときに作られたIDの種類により復旧困難か希望ありかに分かれる模様
ケーブル途中で抜いたとのことなので望みあるかも? >>103
やはりやられる時はやられるんだな
kuusという拡張子がついてデータの一部(物凄く大事にしていたファイルがやられた)が暗号化された俺なのだが
確かにシステムデータは何故か無事で外付け等が被害に合うのよな
でもまさか画像を開いた瞬間感染するとは・・・ 本当まさかな なんて思うような操作で感染するとはな 予測不能
オンラインでの感染の場合ファイルの復旧困難と記事で見たような ひとつ、UACを無効にしているやつらは権限昇格して実行可能な脆弱性があってぴったりとはまるとそれでお終い
無効にしていなければ大抵はUACアクセス制御画面が表示されて何かしらを実行しようとしているので気付くから
そのファイルをまずは調べる
俺としては復旧作業には全く興味はありません kookの者です
色々ありがとう。確かにかなり最新のランサムみたいですね。
簡単に報告ですが、
上の方にもあるサイトhttps://www.nomoreransom.org/ja/index.html
からEmisoftの最新のやつ使ったけど、ダメだった・・・
windowsupdateはかなり昔から完全に切ってた状態。(以前あったcreatorsなんとかのVerupすらしてない)
自前で用意したアンチウィルスソフトは無しで、ほぼノーガードでwin10初期のやつなので自業自得ではあります。
時々ウィルスチェックをツールやオンラインサービスでしたり、cookie、プリフェッチ、レジスト等の削除掃除はしてた程度で
ウィルス感染なんかしたことなかったので完全に油断です。
幸い、復元ポイントがあるドライブのファイルはすべて復元できました。
原因はやはりスレ見てた時ではないでしょうか。PC起動してからその行動しかしてないという状態でガリガリと言い始めたので。
その前日までになにかインストしたりとかもありませんし、ネットサーフィンも最近いつもと違う巡回をしたこともないです。
ブラウザはFirefoxtとChrome使ってますが、一つ気づいたのはChromeにこのランサムがアドオンを入れたようです。
Chrome立ち上げた時、不明なアドオンがインストールされたから確認しろみたいなメッセが出ましたので削除しました。
FirefoxもChrome同様再起動させられたりと挙動不審を繰り返してました。
速攻で完全アンインストールしたので覚えてないですが、3個ほどプログラムもインストールされていました。
コマンドプロンプトも頻繁に開き、その表示からわかりましたが個人設定の中の\appの\tempの中を作業場としていろいろ
動かしていたようです。
これに懲りてランサム対策はフリーのやつでしておきましたが、オススメがあったら教えてもらえると嬉しいです。 >>108
>確かにシステムデータは何故か無事で外付け等が被害に合うのよな
ランサムはシステムを破壊するのが目的ではないし、システムを破壊するとファイルの
復旧も行えなくなるからその辺は原則いじらない
ユーザが重要だと考えるファイルはシステム以外にあると想定してZドライブから
順番にさかのぼって処理を行う場合が多く、外付けのドライブは後方のドライブ
レターにアサインされることが多いので外付けドライブからやられるように見える >>110
所々俺と似た被害だなやっぱ
ブラウザに変なアドオンは入れられなかったが火狐はいじられた形跡があった 他のブラウザは被害にはあってなかったが
>>111
ランサムもバカではないのな 賢いマルウェアだこと
しかしどう回避すればいいのか分からずじまい
でも分かることはいつ感染しても大丈夫な環境にする事らしいが 要はセキュリティーホールを無くすって事
>>109
そういや俺完全に無効化してたなUAC
でもUACも回避するランサムウェアもいるらしい まさにイタチごっこだな・・・ 取り敢えず外付けHDDでデータのやり取りする時はオフラインにしてやってる
オンラインでファイルを落としたりする場合システムストレージにに空き容量がある場合はそこを使っても良いだろうし
別にドライブ設置して落としたデータの一時保存として使ったりするのも良いかもな
とにかく個人データが入ってるストレージをいじる際はオフラインでの使用が攻撃されずに済むかな
ただ前者のやり方だとこまめにデータ移す作業しないとあっという間にパンクしてしまうが >>110
>復元ポイントがあるドライブのファイルはすべて復元できました。
これは何よりです
ファイルは問題なく以前の状態に戻ったんだよね?復元ポイントも使えるもんだね
>速攻で完全アンインストールしたので覚えてないですが、3個ほどプログラムもインストールされていました。
>コマンドプロンプトも頻繁に開き、その表示からわかりましたが個人設定の中の\appの\tempの中を作業場としていろいろ
>動かしていたようです。
これ怖いね コマンド窓がチラチラッと立ち上がったりしてたの?
もしかして遠隔操作とかか??(リモートアシスタンス系の脆弱性利用した攻撃みたいな)
アンチウイルスは入れてなかったとのことだけど、WindowsDiffenderは?常駐してた?
あとそのスレで他に被害受けたといってる人いた? 
