ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
話題のランサムウェアの情報を共有しましょう。
ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。
残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。
攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)
■前スレ
ランサムウェア総合スレ Part4 [無断転載禁止]©2ch.net
http://tamae.2ch.net/test/read.cgi/sec/1468625700/
■テンプレ
スレ立て時には本文の文頭に「!extend:checked:vvvvv::」を入れて立てて下さい。
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。
VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured Nortonのパワーイレイサーで検出されるCybereason Ransomって何なんだろう?
削除しても問題なく機能してるから偽物っぽい >>428
調べるとRansomFreeのフリーソフトが出るね
RansomFreeの対策ソフトでも入れてたらそれが原因かと ¶
ミ⌒彡
__ ( ´・ω・)_
\__, @|lyl|@_/ どっちでござる?あるのかないのか・・・
∪─|∞ト∪
く__」_|_|_|_,ゝ 「簡単に例えると、焚き火で得られる熱エネルギーは、木を育てる労力と釣り合わないってことさ」
「エネルギーは形を変換する毎にロスが生じる」
「宇宙全体のエネルギーは、目減りしていく一方なんだ」
「だから僕たちは、熱力学の法則に縛られないエネルギーを探し求めて来た」
「そうして見つけたのが、魔法少女の魔力だよ」
「僕たちの文明は、知的生命体の感情を、エネルギーに変換するテクノロジーを発明した」
「ところが生憎、当の僕らが感情というものを持ち合わせていなかった」
「そこで、この宇宙の様々な異種族を調査し、君たち人類を見出したんだ」
「人類の個体数と繁殖力を鑑みれば、一人の人間が生み出す感情エネルギーは、その個体が誕生し、成長するまでに要したエネルギーを凌駕する」
「君たちの魂は、エントロピーを覆す、エネルギー源たりうるんだよ」 .arenaってのに感染したわ
crysisの亜種らしいが
値段によっては金払う 感染経路はRDP
CrysisやDharmaの亜種らしい
先月下旬に発見されたようだけど、先月中旬から一昨日まで家を空けてたから、常時稼働のサーバの定義ファイルを更新してなかった(WUやWinDefenderは手動更新)
ウイルス対策ソフトはWinDefenderだけ
提示された身代金は0.7BTC
OSはwin8.1
将来複合ソフトが公開されるかもだし、暗号化された外付けHDDと表示IDだけ取っとく予定 >>454
0.7BTC !?
めちゃくちゃ高いな
31万円くらいじゃん >>455
そうそう
馬鹿じゃねーのクタバレって送っといた その他に家族写真とか音楽とかかなりあったけど、30万なんて払う気にならんし諦めたよ
wannacryの対策(SMBの脆弱性埋め)はしてただけに悔しいわ WUは兎も角、常時稼働のサーバーでDefenderの手動更新が一番不味かったですね
Defenderだけ自動更新する手段もありますけど、サードパーティーのウイルス対策を導入すべきです
自分だけしかアクセスしないならP制限もしないと駄目でしょうね >>454
RDPってWindowsFirewallの標準設定だと受信アクセス不可に設定されて
いたはずだけどアクセス可にしていたのでしょうか?
そもそも論でサーバはインターネット直結で、インターネット側からリモート
デスクトップアクセス可能になっていたってことでしょうか?
WannaCryのときはSMBがインターネット側に開かれていなくっても感染
したって言ってた方もいて、メール経由で感染したんだろうとか言われてた
けど、結局感染経路不明とか言う話もあったみたいなのでインターネット側に
開かれていない状態で感染するのかなって不思議に思いまして 1) LAN側の端末がマルに感染してRDP経由でローカルのサーバが感染した。
2) インターネットから直接RDPアクセス可能にしておいたローカルサーバが感染した。
どっち? 仮に2だとして
a)RDPやWindowsの脆弱性を突かれた
b)ブルートフォース(パスワード総当たり)
のどちらの手口でしょうかね >>461
firewallは受信アクセス可にしていました
スマホからアクセスするためにRDPを有効化していたので
>>462
2だね
>>464
新種だって言われてるくらいだから、aだと思うがな..
ただftpも使ってて、主に中国からのログイン試行が多かったのは確か >>459
サードのアンチウイルスは入れてませんが
·OSをセキュリティ高い(らしい)win10 CUに
·ransomfreeのインストール
·今まで使ってたDDNSを不使用に
·バックアップはオフライン型に
を行いました
RDPは使い続けるつもりですが、パスくらいは変えたほうがいいんですかね.. RDP使うのはいいけど、その前にVPNでも張れよ。
そうしないと、いぶれまた被害に合うぞ。 >>467
この手の件ではVPNはあまり言わないほうがいいかもよ
約2年前のIP電話の乗っ取り騒ぎのときに、
ベンダーは悪用対策としてVPNを使っていたと公表したが、
そもそもVPNはアクセス制限のための技術ではないだろ!!!、
とかなり批判が出てたような気がするので
なお、VPNを張るためには普通は認証が必要になるし、
信頼できない回線での傍受対策にもなるから意味はあるはず 直接RDPとか開放するんじゃなくて自前でVPNサーバも
導入してそこにつなげってことならありでない
クライアント側もVPNクライアント通すとか面倒くさいとは
思うけど >>469
俺はスマホにロック掛けないから、vpn接続設定できないんだよね
セキュリティ的に悪いのは承知なんだけどどうも面倒でね >>468
ネットエージェントが調査してたあれのこと? >>469
そうですね
誰でも彼でもは直接RDPにアクセス出来なくなりますから
>>470
今の運用形態は見直されたほうが良いかと思います、
またいつSMBのように新たな脆弱性が発見されるか分かりませんし 昔々)SMBやRDPはインターネットから遮断必須だった
↓
クラウドの浸透)暗号化技術の実装によりクライド上にWindowsサーバを置きインターネットを介しサービスを利用したりRDPでメンテナンスすることなども行われるようになった
↓
ランサムウェアの台頭)ブルートフォース攻撃やOS脆弱性攻撃などハッカーの技術も進化し、素のSMB/RDPなどをまたインターネットに公開できなくなった
みたいな感じでしょうか
もしかすると端からVPNでやるものであり2番目は無かったかもしれませんが >>472,473
セキュリティと利便性は若干トレードオフみたいなとこもありますかね
サーバ構成し直すのもまた面接なのでvpnとrdpの使用を見直します >>473
いわゆるクラウドっていうのはOfficeとかAdobeのソフト群とかGoogleドライブ
みたいなサービスが遠隔から使えますってものなのでSMBとかRDPとか基本
関係ない
というか、SMBとかRDPをインターネット側に解放しているサーバで運用されて
いるクラウドサービスなんて危なくて使ってはいけないレベルのサービス
仮想サーバを貸し出すレンタルサーバであれば、OSの導入や設定等はユーザ
任せなのでSMBやRDPを開放して運用している人もいるかもしれないけど
サーバレンタル会社がこういう運用は危ないですよとか、このようなことをやり
たい時にはこんな機能を当社では提供していますって感じで危険そうなことは
ある程度啓蒙活動とかしてる
昔ホームページレンタルとかって言ってたサービスも最近ではレンタルサーバと
言う名前でサービスしてるけど、これは単なるサービスの提供だけでシステムの
設定とかはサービス提供会社でやっているので、普通SMBとかRDPの開放は
ありえない
なので、今も昔もその間もインターネット側にSMBとかRDPを解放するというのは
危険なことですよ RDP使うにしてもVPN張った上で使うのが普通だと思う ネットワークの脆弱性をついて侵入してくるのはわかるけど
最初の感染源は何なんだろうねメールやブラウザという話も聞かないし 脆弱性というか単純なブルートフォースアタックもやってくるぞ 今週頭くらいからブラウザでメモリを食い潰すおかしなWeb広告
でてきてるから気を付けろw >>481
これとは違うのかな
閲覧者のPCを無断でマイニングに利用するサイトが多数--5億台に影響の可能性も
https://japan.cnet.com/article/35108804/ 昨夜からウィルスバスターが,OPS_MS17-010-SMB_REMOTE_CODE_EXECUTION_EXPLOIT-2を頻繁にブロックしてます。
昨夜2回、今日PCを起動して一時間ほどの間に3回。
ブロックされているので当然感染はしていないけど兎に角気持ちが悪い。
ブロックしてやり過ごすしか無いのでしょうか? いや実際に観測しない限り、活動状態のウィルスと無効化済みのウィルスが
50:50で重ね合わせで存在していると考えるべき 重大な個人情報を盗まれる前にフォーマットしたほうがいいな ご丁寧にMS17-010とかSMBとかREMOTE_CODE_EXECUTION_EXPLOITとか知らせてくれてるのにこれでわからないとはバカにも程がある 一個前のスレに書き込みしてた。。
スレ違いで申し訳無いんだが
ランサムで搾取したBTCって
ネット上では個人情報必要無いから
匿名でいられるけれど
それを現金化する段階で足つかない?
ミキシングとかも追えない事は無いし
架空名義口座使うくらいしか
方法が思いつかないんだけど。 ランサムウェア「BadRabbit」が猛威、交通機関やメディアに被害
ロシアやウクライナで地下鉄などの公共交通機関や報道機関、政府機関などに被害が広がっている。
http://www.itmedia.co.jp/enterprise/spv/1710/25/news053.html ru ロシア
bg ブルガリア
ro ルーマニア
ua ウクライナ
cz チェコ
jp 日本
なんでやねんw >>494
ん?
>>492に.niなんて無いよね?あったかな?
ちなみに
被害を被っているの旧東側系ばかり中に混じってなぜ日本の企業が?、、、
って意味のレスですw >>495
>>494は君が「日本の国際名称が「にほん」では無く「じゃぱん」でjp
は納得出来ない」って意味で言ってるのかと思ったんだと思う。
>被害を被っているの旧東側系ばかり中に混じってなぜ日本の企業が?、、、
去年あたりから政府がロシアに接近してる報道は普通に他の国でも流れてるから。 483です。
あれからダメ元でイメージバックアップからの復元でブロックが発生しだす前の状態にリストアしてみたところブロックは発生しなくなりました。
復元から4日経ちますが一度も発生していません。
ウィルスバスターとMalwarebytes Anti-MalwareでもPC全体のフルスキャンをして何も検出されなかったのですが、
セキュリティソフトでも検出されない何かが潜んでいたと言う事でしょうか・・・くわばらくわばら。
皆さんもどうぞお気をつけ下さい。 >>497
exploitって言うのは脆弱性を利用するものなんだが
分類的には外部からのコードを実行させる類っぽいぞ。
そのコードを検知したからブロックされたんだと思う。
ワームとかが無差別に狙ってきたんじゃないの 未だにvvvを復号したいけど出来ん・・・
英語さっぱりダメだし、(n)inja csirt見ても何が分からんのかも分からん・・・
誰か助けて・・・orz >>506
んじゃあ、金だして業者にやってもらうか、諦めるかだな >>507
業者の価格見てみたら身代金より高い・・・
>>508
そうなの?
家族写真だからなかなか諦められないわ >>509
ランサムウェアに感染したファイルを復号しますっていってるような業者はめちゃくちゃ高いけど、個人が営業してる町のパソコン修理屋とかあるじゃん?
ああいうところに頼んだら作業料(1〜2万くらい)でやってくれると思うんだけど >>510
まじで?
ちょっと探してみる。ありがとう。 >>511 おいおいw
もうパソコン辞めた方がいいな君は そんなに大切なものならまともな業者に依頼したほうがいいとおもうが
カスペのやつじゃダメなの? Win10 FCU に標準で、アンチランサムウェア機能が付いたな。 安い業者は大手からノウハウを買って商売してる単なる代理店みたいなものだよ
店で出来ないやつは大手に依頼する
流石にランサムでやられたHDDを1、2万では無理かと 今日はじめてCybereasonRansomFreeがdllhost.exeやexeplorerがファイルを暗号化してるって検知した
C:とユーザーとD:に暗号化されたファイル入りのフォルダがその度にできて削除するとCybereasonRansomFreeがまた反応してフォルダを作るみたい
どうも暗号化してるのはこのソフトじゃないのかって感じがするんだけど あのフォルダが罠って言うか囮になってるんじゃねぇの? >>521
うちもそんな感じで、消しても消しても意味不明内容のtxtやxlsx、pdfとかそこに置かれてフラグメンテーションの元に
なるから、アンインストールしちゃったよ。 >>524
だからそれは囮で仕様なんでそういうもんだっての 知らないうちにウェブコンパニオンというソフトが入ってたんですが、普通に削除すれば大丈夫でしょうか?
ESETで検索しても異常は出てきませんでした ■ このスレッドは過去ログ倉庫に格納されています