ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
話題のランサムウェアの情報を共有しましょう。
ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。
残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。
攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)
■前スレ
ランサムウェア総合スレ Part4 [無断転載禁止]©2ch.net
http://tamae.2ch.net/test/read.cgi/sec/1468625700/
■テンプレ
スレ立て時には本文の文頭に「!extend:checked:vvvvv::」を入れて立てて下さい。
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。
VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured >>145
ファイル暗号化型ランサムウエア28種類のテスト
https://avlab.pl/sites/default/files/68files/ENG_2016_ransomware.pdf
検知しファイル暗号化を防げた数/ランサムウエアの種類
感染数0
28/28 Arcabit Internet Security
28/28 Comodo Cloud Antivirus
28/28 Emsisoft Internet Security 11
28/28 Emsisoft Internet Security 12
28/28 Foltyn SecurityShield
28/28 F-Secure SAFE
28/28 G DATA Internet Security
28/28 Kaspersky Internet Security 2017
28/28 Qihoo 360 Total Security
28/28 SecureAPlus Premium
28/28 Trend Micro Internet Security 2017
28/28 Voodoo Shield Pro
28/28 Zemana Antimalware Premium
28/28 ZoneAlarm Internet Security Suite
感染数1
27/28 Avast Internet Security 2016
27/28 Avira Internet Security Suite
27/28 Bitdefender Antivirus Free Edition
27/28 Bitdefender Internet Security 2017
27/28 Dr. Web Space Security
27/28 ESET Smart Security 10 (BETA)
27/28 TrustPort Internet Security 感染数2
26/28 Avast Free Antivirus 2016
26/28 AVG AntiVirus Free Edition
26/28 AVG Internet Security
26/28 Comodo Internet Security 8
感染数3
25/28 Ad-Aware Free Antivirus
25/28 ESET Smart Security 9
25/28 FortiClient Free
25/28 Norton Security
25/28 Panda Internet Security
25/28 Sophos HOME
感染数5
23/28 Malwarebytes Anti-Malware Premium
23/28 McAfee LiveSafe
23/28 Webroot SecureAnywhere Comlpete
感染数6
22/28 Avira Free Antivirus
22/28 Panda Free Antivirus
感染数7
21/28 Dr Web Katana
感染数17
11/28 Windows Defender
感染数21
7/28 Malwarebytes Anti-Ransomware (BETA) ワームを発見して駆除する通信プロトコルが使われてるらしい先見の明が楽しすぎ。鳥類キャリアのアレな。
都立高校の公式サイトで学校見学の受け付けシステム画面に RFC 1149 なのよ。
スマホ画面画像の最上部に RFC 1149 Network って表示されてる。
http://www.mukogaoka-h.metro.tokyo.jp/site/zen/page_0000000_00017.html
去年の見学用の画面だが今年も見学やってたら誰かに行ってこいww パソコンを立ち上げたらランサムウェアに感染してた
ってパターンがありますけど、それってどのタイミングで感染してるんですか?
起動した瞬間?最中?
立ち上げの時間はセキュリティ的には甘くなってるんですかね?
あまりパソコンはシャットダウンしない方がセキュリティ的にはいいんでしょうか? >>153
起動した瞬間に感染します。
立ち上げの時間は、セキュリティ的に甘くなっているので
危険ですね。シャットダウンは、なるべく行わない方が良いでしょう。。 >このランサムウェアに感染してしまうと、パソコンの再起動時、
>Windowsが起動する前に身代金を要求するメッセージが表示され、
>OSを立ち上げることができなくなってしまいます。
ttps://www.is702.jp/special/1962/
再起動時に「感染していることに気づいた」ってだけじゃない? >>153
大抵は前日とかの前回PC使ってる時、又は何日も前と思っといておk。
今時のはランサムもそれ以外も潜伏期間設けて元凶サイト等を判り辛くさせてる。
PC再起動するまでなら対処出来るが何もせず再起動したらアウトってのもある。 前スレの147とかにあるshadow explorer、Recuvaのような、
シャドーコピーからファイルを復活させる方法は、
今回のWannaCryでは、結局、ほとんどダメだったん? 今更だし、半分冗談だけど、拡張子を変更する取り急ぎの方法として、
拡張子を追加するのはどうだろw
コマンドプロンプトで、例えば
for /r %f in (*.*) do copy %f %f.バックアップ
とかやれば、.バックアップという拡張子を足したコピーを作れる
ディスク容量が2倍必要になるとか、チープな方法だがw
でも、ブームが過ぎたとかで消したくなった時は、
del *.バックアップ
で済む あれ、144氏とワッチョイが被ってる
ワッチョイも、たまたま同じになる事が稀によくある? >>153
種類によるかも知れんが、ランサムウェア側が勝手に落とすので、
そこから立ち上げたら・・・・ って事になる。 XPで導入可能なランサムウェア対策ソフトはBitdefender Anti-Ransomwareだけ? >>157
今回は試した人はほとんど見かけないし成功例は見てないね
まぁご存じのようにransomwareの動作不良だったときのダメモトだし、別に可能性がゼロと確定したわけでもない
ごく短時間での感染拡大だったし、感染後の対処法より感染前の予防法の話ばかりになっちゃったからね ここの人たちってRansomFreeとか入れてるの? >WikiLeaks、CIA開発の新マルウェア“Athena”を暴露。攻撃対象OSはWindows XP以降すべて
>http://pc.watch.impress.co.jp/docs/news/1060755.html
セkリュティ会社が自作自演 >>158
拡張子変更での暗号化予防は、基本的に怪しい
というのも例えば、ransomwareの複合感染を以前からちょくちょく見かける
uniqueな拡張子のファイルをさらに別のransomwareに暗号化されるということはつまりはそういうこと
昔のように暗号化されるファイルの拡張子の種類が1桁の時代なら決め撃ちだったろうが、
今の百数十種類が云々なんて単に既存の(使われている)拡張子のファイル群を置いて感染確認してるだけだと思う
OSとransomwareの動作に必要なものだけ除外設定されてて、それ以外は対象、と考えた方がいいと思う
(要はホワイトリスト/ブラックリストと同じ)
2バイト文字拡張子がransomwareからどう見えるか、かかる諸々の手間を単なるofflineバックアップと比べてどうか、という視点は横に置いとくとして >>158
バックアップ作るならISO形式にに固めておけばこれを簡単には改変できない。
マウントすればそのまま使えるし、その状態なら常にREADONLYだ >>157
いつものランサムウェアと同じようにボリュームシャドウコビーも破壊されるから難しかったらしい。
ただ、デスクトップとマイドキュメント、外付けドライブの元のファイルはランダムな文字列で上書き後に消去されているので復元は困難だけど、それ以外の場所のファイルは単純に消去されるだけなので、復元ツールで回復可能とのこと >>167
WannaCryはISOも暗号化するのに意味あるか?
http://d.hatena.ne.jp/Kango/20170513/1494700355
もちろん外付けハードディスクに保存していつもはケーブル抜いとくとかならわかるけど >>169
マウントしているISOを暗号化できるなら、おまえを先生と呼んでやるよ >>170
別のランサムウェアは稼働中のVMの実体ファイルも書き換えて起動不能にしてくれるよ? >>170
マウントすれば云々は一行目の追加で書いてるんだろ?
なんで都合よく最初からマウント前提の話に変えてるんだ? アメリカ製のマルウェアだったら、カスペが効くのかしらね >>157
shadow explorerは、あんま使えん。全く見えん。
フリーなら、Glary Undeleteの方が良い。ちと怪しい気もしなくも無いが・・・
なんとなくだが。同一能力のもあるが、有料だ。 >>164
アメリカ様はやりたい放題だな
まじで国防のためにも国産OSに国産セキュリティ欲しいな >>177
そりゃ2009年ならXPが現役バリバリやからな シャドーコピーってのは要するにシステムが自動的に行っている差分バックアップ
なんで、あらかじめ設定を行っておかないとシステムドライブにしか適用されないし、
当然バックアップ用に指定した容量以上に差分変更が発生した場合にはウィルスが
シャドーコピーを削除していなくても、シャドーコピーから復活することは出来ない
あと、SMBが開いていなければ感染しないみたいな記事が多いけど、SMBが開いて
いなければローカルLAN内での水平感染が防げるだけで、今回の件に関しては
1次感染者はSMB開放の有無とは関係ない
ただ、SMB以外の感染経路が判明していない現状で、何をやっても感染は防げない
かもとは業界的に口が裂けてもいえないのでSMB塞いどけって言ってるだけ 今回のランサムウェアはSMBv1を無効にしたり、445番とかが開いてなかったらまず
大丈夫という認識でいいんですか? >>180
今回のWannaCryに関してはそれであってる >>182
そうなんですか
一安心です
ありがとうございました まぁ、それを気にするよりWindowsやFlashのアップデートをちゃんとまめにする事を心がけたほうがいいけど ソフトウェアの更新をチェックする非常駐ソフトないかな... >>183
基本的な事だが、SMBv1と445の他に、Updateはきちんとかけておけよ >>185
カスペであるよ
Kaspersky Software Updaterって名前
セキュリティ対策ソフトでカスペルスキー使ってる場合でこいつ使うとセキュリティ対策ソフト側が前回の起動に失敗しましたとかなる時があるけど
今はわからんが少し前はそれで失敗してたけどもう対策はされてるかも
Kaspersky Software Updater使うといいよ WannaCry結局メール経由での感染はなかったのか RansomeFreeかなり優秀っぽいな
ダミーフォルダ勝手に作るのが難点だが >>190
ほんとそれ
最初感染したかと思ってびっくりしたわ
消しても消しても即復活するし >>183
ランサムの種類は・・・
ここのずっと下の方の解号ってページの数の10倍はあると思ってたが良い。
上の「はい」「いいえ」は無視。そのずっと下の「復号」て場所だけ見りゃ良い.
https://www.nomoreransom.org/jp/index.html
一つのランサム系統ごとに多数の解号ソフトが組まれている。解号成功は少ないが・・・
それだけ、ランサムは多い・進化が速いと見てよかろう。 メモリ上で活動して再起動すると消えるタイプとかは個人では対策のしようがないな、企業みたいに通信内容を細かくチェックしてるわけじゃないし
ビットコインのマイニングや情報漏洩が目的のマルウェアならまず気付かれない flashの最新て171だよな
adobeの確認サイトだと148になってるけど適当だな 25.0.0.171だよ
うちではIEでは常時無効にしてFirefoxでは実行時に確認するように設定を変更した >>195
>>197のYou have version 25,0,0,171 installedが148になってるのなら更新されてないから手動で入れるしかない
デフォだと更新チェックの間隔が長過ぎるから大分経たないと自動では入らない 脆弱性対策したけどノートンだけでは心配だからRansom Free入れてみた
どれくらいランサムウェアを防いでくれるのかねえ
パソコン起動した瞬間に身代金要求は怖すぎる こまめにバックアップ、感染したら駆除の上バックアップから復旧
通称vvvウイルス感染者の意見
こまめにバックアップ取ってたのでダメージは大きくなかった(面倒ではあったけど)
パソコンそのものを壊さないだけウイルスよりマシだと思ってる ワーム活動で外部からの感染なんて宝くじに当たるような確率なのに、
どれだけ皮算用なんだよ!バカじゃねぇの
自ら.exeを踏んだ時の心配をするんなら当たり前だけどバックアップしとけや
ハードディスクやSSDなんてのも、いつ吹っ飛ぶのかも知れねぇんだぜ!
バックアップ作業には目もくれず、データが吹っ飛んでから泣く初心者たち Androidスマホだって、最低限でも連絡先のデータとかはGoogleのサーバーと同期して使うのが常識だけど、
それさえも初心者のバカたちは利用していないんだろ?
その上でスマホにはバックアップ機能もあるのだから、
なくなったら嫌なデータはSDメモリカードにバックアップして使うのは常識
いつ本体がぶっ壊れるかも知れないんだぞ! ランサムフリーいれてみた アンチランサムウェアはアンインストールでおk?それとも起動したままのほうがいい? エロ画像しか無いから困らないぜゲームはsteamで再ダウンロードすれば問題無い
NTT西でダダで使えるウイルスバスタとCOMO?の火壁を最低限のお守りとして使ってる 「WannaCry」に対応したトレンドマイクロ製の無償ツール「ランサムウェア ファイル復号ツール」
拡張子が“.WNCRY”または“.WCRY”のファイルを復号可能
http://forest.watch.impress.co.jp/docs/news/1061129.html >>208
メモリからキーを読み取る方法ってことは前に出てた復号ツールと似た感じか
wannacryが動作中のみ復号可能だからこれからは異常があっても安易に再起動できないのかな >>208
キルスイッチは全て発動させたのでいまから感染するひとはいない
proxy内ではキルスイッチは働かないけど、あれだけ騒動になって10日も経ってるんだから、企業などではとっくに対策とってるはず
感染したパソコンもそのままの状態で10日も付けっぱなしにしてるはずがない
と言うわけで役に立つひともいない完全なるトレンドマイクロの宣伝行為 >>208
何かおかしいと思わないか?
これってWannaCryが動作していないと暗号化キー読み取れないのに
復号してるってことは復号したそばから暗号化されないか?
よしんばこのツールを動かして暗号化キーが読み取れるとWannaCryの
プロセスを終了するんだとしても、その瞬間に暗号化キー失われる訳
だから、1チャンスしかトライできないツールってことで、本当に復号化
可能なのか確認できないパターンの方が多いんじゃないか
一応元になってるGitHubのソースざっと読んでみたけどWannaCryの
プロセス止めてるコードはなかったぞ
IPAが感染実演の動画とか投稿してるけど、よく見ると感染はexeを
クリックして起動、そのexe名はwannacry.exeって完全に自作自演だぞ
何が何でも1次感染元をSMBにしたい人がいるみたいだけど、
20017/05/12 21:00(日本時間)から12時間くらいWindows7SP1に何も
パッチを当てていないMSEすら入れていない状態でWindowsF/Wは
標準設定で動作させてPPPoEで直接インターネットに接続したマシンは
まったく感染しなかったから
あ、SMB経由で感染しないと言ってるんじゃなくて、一番最初に
インターネットからどうやって感染したかって話だから
感染したマシンはもう少しましな状態(別のF/Wソフトが入ってMSEが
動作中)で違いといえばFireFoxでブラウジングしてただけだけど
感染したから
何にしても既に大元の感染元が動いてないので、何を言っても確認
しようがないんだけどね >>211
脆弱性のある状態で直接ネットに接続してたからといって100%感染するわけでもあるまい。
それにWannaCryは日本時間の12日(金)午後5時頃から攻撃が始まりだし、午後9時40分頃に一気に激増、13日(土)の午前1時半頃にピークを迎えたあと、午前6時頃にはかなり攻撃が衰えたので、
土曜の午後9時頃からだと遅すぎるかと思うよ。 17日以降くらいで感染した
みたいな情報見なくなった気がする 常に同期させてるOneDriveを便利に使っているので恐らくは一台感染=PC全滅
無闇に不安を煽っても仕方がないがこれ本当に感染源が特定されたた安心だ
ふあんだからとバックアップに何時までも繋げずにいるわけにはいかないし > 常に同期させてるOneDriveを便利に使っているので恐らくは一台感染=PC全滅
ここまで妄想が激しくなるとヤバいな 2ヶ月くらいPCつけっぱなしだから、そろそろ再起動したいけど、ランサムウェアが怖くて困る 馬鹿じゃねーの?
2ヶ月オフラインだったPCをいきなりオンラインにするなら恐いだろうけど
現状でオンラインだったPCなら再起動ごときでビビること無いだろ >>218
イスラエルのランサム対策ウェアなら、再起動無しでぶち込めたな。 2ヶ月つけっぱで再起動してないってことはその間Windows Updateもしてないってことか…
それはたしかに怖いな、こいつのセキュリティ意識の低さが >>215
俺がvvvにやられたときはクラウドも全滅したよ >>218
見事に何の知識もない低脳なんだな
オマエの環境はルーターもないのか?
その事に関しては、このスレに何度も書き込まれているわな ワナの件、説明するの疲れたわ
感染させないのと拡散させないのは話が違うのに
適当な記事読んで、パッチ当てたら感染しないと勘違いされる >>218
ランサムウェア以外のマルウェアは平気なのか? ランサムフリー、なかなか良いみたいね
会社で使う場合は有償らしいけど
とりあえずいれとけば安心 >>227
そのレスからの有償版お導きですか
営業お疲れ様です・・・なんて誰も思ってないよ死ね RansomeFreeは囮ファイルを使って検知するとか言ってるけど
各ドライブの先頭と最後にダミーフォルダ配置してるだけじゃ
ランダムな順序で暗号化されたら検知できないんじゃないか 頭良い奴がやる行為だから
単純にC直下から対応拡張子のファイルを順番に壊すとは思えないよなぁ
でもマイドキュメント/ドキュメントフォルダから壊すとかはありそう ルータに繋いでなかった端末だけが感染したとでも思ってるのかね? プロバイダの方で悪意のある奴弾いてくれよって思うよ、本当に
若しくは、ルータに弾く機能付けて >>229
もう>>74でも書かれてるけど、そのおとりも一つの方法であって、振る舞い検知機能も付いてるから >>237
お返事ありがとう<(_ _)>
こういうのって今回機能したのだろうかね
個々で防御って考え方はもう止めた方が良いと思うのですよ >>238
今回ってのはWannaCryのことをいってると思うんだけど、WannaCryはそんな特別なルーターじゃなくても普通のルーターがあれば感染しないから。 そりゃそうだ
基本的にWAN側起点の通信は受け付けないからね。
ポートフォワード設定しないかぎりね
ただし、ドライブ・バイ・ダウンロードのパターンではルータ云々は関係ない
受動的攻撃だから いつの間にか、俺もランサムウェアにやられていたらしい
暗号化されて、読み込めない記憶がたくさんある >>241
それ、ランサムウェアじゃなくて
ウイルス除去ツールが、恥ずかしい闇記憶を隔離してくれただけだから >>241
ちゃんと脅迫されないと、ランサムウェアじゃないぞw >>241
キミの脳内にEverything走らせてみた
これがその一部なんだけど解除したいの?
「自作ポエム_0721.txt.pugerattyo」
「2015年_勃起時のチン長記録 9cm.bmp.pugerattyo」
「[2017] 女装グッズ購入記録.xls.pugerattyo」 イスラエル入れてみたけど
そのまま放置でいいのかな ティーバックから金玉でてるアイコンがあればいいんだろ? >>241
スマトラ警備隊の歌詞が真実だったことが証明されたな ■ このスレッドは過去ログ倉庫に格納されています