ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net

2017/05/19(金) 15:31:04.51

話題のランサムウェアの情報を共有しましょう。

ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。

残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。

攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)

■前スレ
ランサムウェア総合スレ Part4 [無断転載禁止]©2ch.net
http://tamae.2ch.net/test/read.cgi/sec/1468625700/

■テンプレ
スレ立て時には本文の文頭に｢!extend:checked:vvvvv::｣を入れて立てて下さい｡
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。

VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured

2017/07/10(月) 13:26:58.91

>>398
ＯＳ再インスコだけじゃなくて、ＨＤＤ・ＳＳＤを初期化しないとダメよん

2017/07/11(火) 18:17:39.33

>>399
わかった外付けHDD買ってから初期化してみる

レジストリとかがやられてこういう状態になってるのかなと思ったんだけど
そもそもレジストリってPCパーツの内どこに依存してる？

2017/07/11(火) 18:32:41.47

>>400
レジストリはHDDとかだね

2017/07/12(水) 00:39:06.60

>>401
なるほど、とりあえずHDD初期化やってみます

2017/07/12(水) 21:03:40.67

>>402
必要なデータとかあるのならバックアップしてから、
メディアからブートしてインストール時にコマンドプロンプトに入って
diskpart
select disk 0
clean all
exit

この後に再インストールすれば完璧です

2017/07/12(水) 21:38:52.41

PC起動直後からESETが騒ぎっぱなし。
何だと思ったら、googleドライブとdropboxのファイルの拡張子が
「.[averiasw@qq.com].aleta」に。

自動同期にしていた為、c:\ユーザ/ユーザ名/dropbox　等はやられたが
その他ローカルは今のところ無事。

オンラインストレージは捨てるとして、ローカルは大丈夫なのだろうか…。
そもそも、先にオンラインストレージが感染していて同期したためESETに引っかかったのか？

2017/07/12(水) 21:49:22.34

>>404
有名所のオンラインストレージならファイル履歴から復帰可能だと思う
https://www.dropbox.com/ja/help/security/recover-older-versions

2017/07/13(木) 00:21:44.54

>>404
何をしたらそうなったの？

2017/07/13(木) 10:31:13.16

>>403
ご丁寧にありがとう
給料入ったら外付けHDD買ってやってみます

2017/07/14(金) 20:07:27.21

>>405
知らなかった･･･
vvvにやられたときに知っておいたら((T_T))

2017/07/16(日) 07:47:16.23

Do you want to return your files? Write on mail: komar@tuta.io I accept payment in bitcoins.
What is bitcoin? Read here: https://bitcoin.org/en/faq

こんなファイルが多量に作られていた。
今から再インストールする。

2017/07/16(日) 19:20:28.76

そういうのってやっぱメールからの感染なん？

2017/07/18(火) 02:00:45.84

感染経路みたいな情報は、組織でも出てきにくいんだって

ttp://www.nhk.or.jp/kaisetsu-blog/100/271051.html
＞今回、被害にあった企業に、感染したパソコンをどのように使っていたのか
＞聞いたところ、「セキュリティーに関わることなので一切教えられない」と
＞回答したところがあります。システムの詳細なセキュリティー対策を公開す
＞ることは問題があるにしても、感染経路さえも全く公開しません。

ttp://www.nikkei.com/article/DGKKZO18763880S7A710C1KE8000/
＞サイバー攻撃に関する情報共有の枠組みも重要だ。現在、我が国でも様々な情報
＞共有の仕組みが作られているが、自己が受けたサイバー攻撃情報を提供すること
＞に抵抗感のある組織が多く、共有が促進されにくいという問題を抱えている。

2017/07/18(火) 02:04:20.23

感染経路をここに書き込んでも、
ダメ出しされて叩かれるだけ、と思ってる人もいたりするのかも
一応、感染経路を質問したって無駄だ、とか言いたいわけじゃない

2017/07/18(火) 08:26:27.08

メール経由ならわかりやすいが、
サイト経由だと事実上辿れないことが大多数だから
サイト改竄にしても、昔は2~3時間だけinjectするとかだったけど、
今は0.5秒以内とかさ
広告配信にしてもターゲティングやらhttpsやら
昔マルウェア感染サイトへリダイレクトされる瞬間を見たことがあるけど、
waitを置いたりあれこれ噛ませたりまぁ気付かれんようにしてるから
後からurlを辿るくらいなら素人でも出来そうなもんだけどまず滅多にお目にかからないし、そもそもほぼ参考にならん

2017/07/18(火) 09:59:03.16

内蔵型HDD・SSDも駄目
クラウド駄目
NASも駄目
つまり素人に出来る対策は外付けHDDにデータコピーをとることだけ？

2017/07/18(火) 09:59:42.86

で必要ないときは外しておく

2017/07/18(火) 11:34:16.81

>>413
そういうのはここ1.2年で急増して来てるね、発覚を遅らせる為に犯罪者が本気出してきた
とりあえず、既知の広告はブロック、ポップアップブロッカーでリダイレクト対策、Noscriptで必要なものだけ許可の3つの方法で自衛してるけど、どこまで効果があるかは分からない

2017/07/18(火) 22:01:55.04

>>414
感染に気づかないで外付けバックアップHDDもやられてた人がいたな

2017/07/18(火) 22:12:29.57

>>414
クラウドでも>>405みたいに履歴から復帰可能なものなら良いけど
速さと容量考えると全部ファイルってわけには行かないよね

2017/07/18(火) 23:52:00.30

無償ランサムウェア対策ツール「Cybereason RansomFree」に日本語版が登場
http://forest.watch.impress.co.jp/docs/news/1071007.html

2017/07/20(木) 11:46:51.70

日本語版はありがたいね

2017/07/20(木) 18:48:20.97

利用規約まで日本語だ
たいしたもんだ

2017/07/21(金) 08:14:02.20

>>419

これ、なにが出来ているのかモニタリング機能はないのだが。
パソコンの情報、ガッツリ搾取されちゃうのかな？

2017/07/22(土) 11:56:06.90

>>419
Cドライブのルートに、変なフォルダが２つ作られた。

このフォルダ内の変更を監視しているのかな？

2017/07/22(土) 14:16:55.12

>>423
>>70-74

2017/07/22(土) 16:53:49.48

ルート以外にもUsers、各ユーザーのdocument にも作ってる。

2017/08/04(金) 07:59:58.37

ついに、WannaCryのビットコインワレットから全てのビットコインが引き出された。

The hackers behind the WannaCry ransomware attack have finally cashed out
https://qz.com/1045270/wannacry-update-the-hackers-behind-ransomware-attack-finally-cashed-out-about-140000-in-bitcoin/

2017/08/04(金) 17:45:51.31

1 540万円ってそんなもんか

2017/08/05(土) 02:50:50.35

Nortonのパワーイレイサーで検出されるCybereason Ransomって何なんだろう？
削除しても問題なく機能してるから偽物っぽい

2017/08/05(土) 07:56:11.61

>>428
調べるとRansomFreeのフリーソフトが出るね
RansomFreeの対策ソフトでも入れてたらそれが原因かと

2017/08/05(土) 10:53:43.87

そういう意味じゃなくね

2017/08/05(土) 22:23:47.16

そういう意味じゃなくなくね？

2017/08/18(金) 11:57:39.54

　　　　　¶
　　　　ﾐ⌒彡
　＿_ ( ´・ω・）＿　
　＼__, @|ｌyｌ|@_／　どっちでござる？あるのかないのか・・・
　　 ∪─|∞ﾄ∪ 　　　　
　　く__｣_|_|_|_,ゝ

2017/08/18(金) 21:02:54.79

猛威を振るったランサムウェア「Locky」が再び拡散を開始
https://japan.zdnet.com/article/35105921/

2017/08/18(金) 21:32:59.68

ふたを開けて観測するまで有りするし無いとも言える

2017/08/18(金) 23:19:42.79

ネコかよ

2017/08/19(土) 02:24:24.80

>>432
かわいいな…。

2017/08/19(土) 10:56:38.35

かわいいかわいい

2017/08/22(火) 11:20:01.27

>>432
かわいいそれｗ
お殿様？

2017/08/23(水) 17:49:29.03

馬鹿じゃねーの

2017/08/23(水) 19:08:22.53

んなことねーよ

2017/08/28(月) 14:16:40.18

ここの人って生きてるの？ｗ

2017/08/29(火) 21:42:11.32

生ける屍

2017/08/30(水) 16:37:57.63

ｗｗｗ

2017/08/31(木) 13:06:35.18

死せる仲達を走らす

2017/08/31(木) 23:54:27.14

なにそれ

2017/09/01(金) 06:57:25.02

「死せる孔明生ける仲達を走らす」のもじりかと

2017/09/01(金) 17:30:20.44

「簡単に例えると、焚き火で得られる熱エネルギーは、木を育てる労力と釣り合わないってことさ」
「エネルギーは形を変換する毎にロスが生じる」
「宇宙全体のエネルギーは、目減りしていく一方なんだ」
「だから僕たちは、熱力学の法則に縛られないエネルギーを探し求めて来た」
「そうして見つけたのが、魔法少女の魔力だよ」
「僕たちの文明は、知的生命体の感情を、エネルギーに変換するテクノロジーを発明した」
「ところが生憎、当の僕らが感情というものを持ち合わせていなかった」
「そこで、この宇宙の様々な異種族を調査し、君たち人類を見出したんだ」
「人類の個体数と繁殖力を鑑みれば、一人の人間が生み出す感情エネルギーは、その個体が誕生し、成長するまでに要したエネルギーを凌駕する」
「君たちの魂は、エントロピーを覆す、エネルギー源たりうるんだよ」

2017/09/02(土) 04:09:03.52

>>447
でも女の体で一番シコいのは尻だよな

2017/09/02(土) 23:18:24.07

話題がなくなってきた

2017/09/03(日) 11:12:19.07

シコいって業界用語？
カッコイイー

2017/09/04(月) 09:25:15.46

美人の腋だろ

2017/09/09(土) 13:44:34.00

.arenaってのに感染したわ
crysisの亜種らしいが
値段によっては金払う

2017/09/09(土) 14:59:27.26

感染経路含め詳しく教えて

2017/09/10(日) 07:11:28.89

感染経路はRDP
CrysisやDharmaの亜種らしい
先月下旬に発見されたようだけど、先月中旬から一昨日まで家を空けてたから、常時稼働のサーバの定義ファイルを更新してなかった(WUやWinDefenderは手動更新)
ウイルス対策ソフトはWinDefenderだけ
提示された身代金は0.7BTC
OSはwin8.1
将来複合ソフトが公開されるかもだし、暗号化された外付けHDDと表示IDだけ取っとく予定

2017/09/10(日) 19:45:18.81

>>454
0.7BTC !?
めちゃくちゃ高いな
31万円くらいじゃん

2017/09/10(日) 21:58:24.71

>>455
そうそう
馬鹿じゃねーのクタバレって送っといた

2017/09/11(月) 14:40:01.46

消えたのはエロ動画だけで済んだとか？

2017/09/12(火) 07:55:40.40

その他に家族写真とか音楽とかかなりあったけど、30万なんて払う気にならんし諦めたよ
wannacryの対策(SMBの脆弱性埋め)はしてただけに悔しいわ

2017/09/12(火) 15:59:17.02

WUは兎も角、常時稼働のサーバーでDefenderの手動更新が一番不味かったですね
Defenderだけ自動更新する手段もありますけど、サードパーティーのウイルス対策を導入すべきです
自分だけしかアクセスしないならP制限もしないと駄目でしょうね

2017/09/12(火) 16:00:10.85

P制限じゃなくてIP制限ね

2017/09/12(火) 17:43:26.17

>>454

RDPってWindowsFirewallの標準設定だと受信アクセス不可に設定されて
いたはずだけどアクセス可にしていたのでしょうか？

そもそも論でサーバはインターネット直結で、インターネット側からリモート
デスクトップアクセス可能になっていたってことでしょうか？

WannaCryのときはSMBがインターネット側に開かれていなくっても感染
したって言ってた方もいて、メール経由で感染したんだろうとか言われてた
けど、結局感染経路不明とか言う話もあったみたいなのでインターネット側に
開かれていない状態で感染するのかなって不思議に思いまして

2017/09/12(火) 19:09:49.02

1) LAN側の端末がマルに感染してRDP経由でローカルのサーバが感染した。

2) インターネットから直接RDPアクセス可能にしておいたローカルサーバが感染した。

どっち？

2017/09/12(火) 21:23:02.89

>>462
おそらく2でしょう

2017/09/13(水) 09:06:05.90

仮に2だとして
a)RDPやWindowsの脆弱性を突かれた
b)ブルートフォース(パスワード総当たり)
のどちらの手口でしょうかね

2017/09/13(水) 09:13:26.07

>>461
firewallは受信アクセス可にしていました
スマホからアクセスするためにRDPを有効化していたので
>>462
2だね
>>464
新種だって言われてるくらいだから、aだと思うがな..
ただftpも使ってて、主に中国からのログイン試行が多かったのは確か

2017/09/13(水) 09:19:10.38

>>459
サードのアンチウイルスは入れてませんが
·OSをセキュリティ高い(らしい)win10 CUに
·ransomfreeのインストール
·今まで使ってたDDNSを不使用に
·バックアップはオフライン型に
を行いました

RDPは使い続けるつもりですが、パスくらいは変えたほうがいいんですかね..

2017/09/13(水) 12:00:40.97

RDP使うのはいいけど、その前にVPNでも張れよ。
そうしないと、いぶれまた被害に合うぞ。

2017/09/13(水) 23:55:49.21

>>467
この手の件ではVPNはあまり言わないほうがいいかもよ

約2年前のIP電話の乗っ取り騒ぎのときに、
ベンダーは悪用対策としてVPNを使っていたと公表したが、
そもそもVPNはアクセス制限のための技術ではないだろ！！！、
とかなり批判が出てたような気がするので

なお、VPNを張るためには普通は認証が必要になるし、
信頼できない回線での傍受対策にもなるから意味はあるはず

2017/09/14(木) 17:41:56.16

直接RDPとか開放するんじゃなくて自前でVPNサーバも
導入してそこにつなげってことならありでない

クライアント側もVPNクライアント通すとか面倒くさいとは
思うけど

2017/09/14(木) 19:29:58.69

>>469
俺はスマホにロック掛けないから、vpn接続設定できないんだよね
セキュリティ的に悪いのは承知なんだけどどうも面倒でね

2017/09/15(金) 00:03:54.66

>>468
ネットエージェントが調査してたあれのこと？

2017/09/15(金) 00:26:26.30

>>469
そうですね
誰でも彼でもは直接RDPにアクセス出来なくなりますから
>>470
今の運用形態は見直されたほうが良いかと思います、
またいつSMBのように新たな脆弱性が発見されるか分かりませんし

2017/09/15(金) 02:19:35.47

昔々)SMBやRDPはインターネットから遮断必須だった
↓
クラウドの浸透)暗号化技術の実装によりクライド上にWindowsサーバを置きインターネットを介しサービスを利用したりRDPでメンテナンスすることなども行われるようになった
↓
ランサムウェアの台頭)ブルートフォース攻撃やOS脆弱性攻撃などハッカーの技術も進化し、素のSMB/RDPなどをまたインターネットに公開できなくなった

みたいな感じでしょうか
もしかすると端からVPNでやるものであり2番目は無かったかもしれませんが

2017/09/15(金) 07:41:38.50

>>472,473
セキュリティと利便性は若干トレードオフみたいなとこもありますかね
サーバ構成し直すのもまた面接なのでvpnとrdpの使用を見直します

2017/09/15(金) 17:48:44.99

>>473

いわゆるクラウドっていうのはOfficeとかAdobeのソフト群とかGoogleドライブ
みたいなサービスが遠隔から使えますってものなのでSMBとかRDPとか基本
関係ない

というか、SMBとかRDPをインターネット側に解放しているサーバで運用されて
いるクラウドサービスなんて危なくて使ってはいけないレベルのサービス

仮想サーバを貸し出すレンタルサーバであれば、OSの導入や設定等はユーザ
任せなのでSMBやRDPを開放して運用している人もいるかもしれないけど
サーバレンタル会社がこういう運用は危ないですよとか、このようなことをやり
たい時にはこんな機能を当社では提供していますって感じで危険そうなことは
ある程度啓蒙活動とかしてる

昔ホームページレンタルとかって言ってたサービスも最近ではレンタルサーバと
言う名前でサービスしてるけど、これは単なるサービスの提供だけでシステムの
設定とかはサービス提供会社でやっているので、普通SMBとかRDPの開放は
ありえない

なので、今も昔もその間もインターネット側にSMBとかRDPを解放するというのは
危険なことですよ

2017/09/16(土) 00:40:16.84

HTTPやHTTPSなら安全です

2017/09/16(土) 08:32:05.38

↑嘘つきw

2017/09/16(土) 10:29:00.10

RDP使うにしてもVPN張った上で使うのが普通だと思う

2017/09/24(日) 23:02:29.61

ネットワークの脆弱性をついて侵入してくるのはわかるけど
最初の感染源は何なんだろうねメールやブラウザという話も聞かないし

2017/09/26(火) 09:29:22.59

脆弱性というか単純なブルートフォースアタックもやってくるぞ

2017/10/13(金) 16:52:13.42

今週頭くらいからブラウザでメモリを食い潰すおかしなWeb広告
でてきてるから気を付けろｗ

2017/10/16(月) 19:23:47.12

>>481
これとは違うのかな
閲覧者のPCを無断でマイニングに利用するサイトが多数--5億台に影響の可能性も
https://japan.cnet.com/article/35108804/

2017/10/21(土) 12:15:19.27

昨夜からウィルスバスターが,OPS_MS17-010-SMB_REMOTE_CODE_EXECUTION_EXPLOIT-2を頻繁にブロックしてます。
昨夜2回、今日PCを起動して一時間ほどの間に3回。
ブロックされているので当然感染はしていないけど兎に角気持ちが悪い。
ブロックしてやり過ごすしか無いのでしょうか？

2017/10/22(日) 14:47:22.31

ウィルスｗｗｗｗｗｗｗｗ

2017/10/22(日) 14:57:22.50

存在するから反応する

2017/10/22(日) 15:18:56.97

いや実際に観測しない限り、活動状態のウィルスと無効化済みのウィルスが
50:50で重ね合わせで存在していると考えるべき

**名無しさん＠お腹いっぱい。** · 2017/10/22(日) 18:40:15.17

重大な個人情報を盗まれる前にフォーマットしたほうがいいな

2017/10/22(日) 22:05:20.94

ご丁寧にMS17-010とかSMBとかREMOTE_CODE_EXECUTION_EXPLOITとか知らせてくれてるのにこれでわからないとはバカにも程がある

**お利口な栗鼠** (ﾜｯﾁｮｲ ddc9-RLxF) · 2017/10/24(火) 05:42:50.08

一個前のスレに書き込みしてた。。

スレ違いで申し訳無いんだが
ランサムで搾取したBTCって
ネット上では個人情報必要無いから
匿名でいられるけれど
それを現金化する段階で足つかない？
ミキシングとかも追えない事は無いし
架空名義口座使うくらいしか
方法が思いつかないんだけど。

2017/10/25(水) 14:44:02.85

ランサムウェア「BadRabbit」が猛威、交通機関やメディアに被害

ロシアやウクライナで地下鉄などの公共交通機関や報道機関、政府機関などに被害が広がっている。
http://www.itmedia.co.jp/enterprise/spv/1710/25/news053.html

2017/10/25(水) 22:27:50.76

あのCMで有名なアイカ工業がやられたようだな

2017/10/26(木) 02:16:38.34

>>491
こりか
https://twitter.com/GroupIB_GIB/status/922972032098291718

2017/10/26(木) 02:28:17.50

ru ロシア
bg ブルガリア
ro ルーマニア
ua ウクライナ
cz チェコ
jp 日本
なんでやねんw

2017/10/26(木) 03:14:20.22

.niだったらいいの？

2017/10/26(木) 03:49:25.74

>>494
ん?
>>492に.niなんて無いよね?あったかな?
ちなみに
被害を被っているの旧東側系ばかり中に混じってなぜ日本の企業が?、、、
って意味のレスですw

2017/10/26(木) 10:52:40.79

>>495
>>494は君が「日本の国際名称が「にほん」では無く「じゃぱん」でjp
は納得出来ない」って意味で言ってるのかと思ったんだと思う。

＞被害を被っているの旧東側系ばかり中に混じってなぜ日本の企業が?、、、

去年あたりから政府がロシアに接近してる報道は普通に他の国でも流れてるから。

2017/10/26(木) 11:01:54.16

483です。

あれからダメ元でイメージバックアップからの復元でブロックが発生しだす前の状態にリストアしてみたところブロックは発生しなくなりました。
復元から4日経ちますが一度も発生していません。
ウィルスバスターとMalwarebytes Anti-MalwareでもPC全体のフルスキャンをして何も検出されなかったのですが、
セキュリティソフトでも検出されない何かが潜んでいたと言う事でしょうか・・・くわばらくわばら。
皆さんもどうぞお気をつけ下さい。

2017/10/26(木) 17:39:01.21

>>496
そうそう、そうなんだよ！