ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net

2017/05/19(金) 15:31:04.51

話題のランサムウェアの情報を共有しましょう。

ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。

残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。

攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)

■前スレ
ランサムウェア総合スレ Part4 [無断転載禁止]©2ch.net
http://tamae.2ch.net/test/read.cgi/sec/1468625700/

■テンプレ
スレ立て時には本文の文頭に｢!extend:checked:vvvvv::｣を入れて立てて下さい｡
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。

VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured

2017/09/11(月) 14:40:01.46

消えたのはエロ動画だけで済んだとか？

2017/09/12(火) 07:55:40.40

その他に家族写真とか音楽とかかなりあったけど、30万なんて払う気にならんし諦めたよ
wannacryの対策(SMBの脆弱性埋め)はしてただけに悔しいわ

2017/09/12(火) 15:59:17.02

WUは兎も角、常時稼働のサーバーでDefenderの手動更新が一番不味かったですね
Defenderだけ自動更新する手段もありますけど、サードパーティーのウイルス対策を導入すべきです
自分だけしかアクセスしないならP制限もしないと駄目でしょうね

2017/09/12(火) 16:00:10.85

P制限じゃなくてIP制限ね

2017/09/12(火) 17:43:26.17

>>454

RDPってWindowsFirewallの標準設定だと受信アクセス不可に設定されて
いたはずだけどアクセス可にしていたのでしょうか？

そもそも論でサーバはインターネット直結で、インターネット側からリモート
デスクトップアクセス可能になっていたってことでしょうか？

WannaCryのときはSMBがインターネット側に開かれていなくっても感染
したって言ってた方もいて、メール経由で感染したんだろうとか言われてた
けど、結局感染経路不明とか言う話もあったみたいなのでインターネット側に
開かれていない状態で感染するのかなって不思議に思いまして

2017/09/12(火) 19:09:49.02

1) LAN側の端末がマルに感染してRDP経由でローカルのサーバが感染した。

2) インターネットから直接RDPアクセス可能にしておいたローカルサーバが感染した。

どっち？

2017/09/12(火) 21:23:02.89

>>462
おそらく2でしょう

2017/09/13(水) 09:06:05.90

仮に2だとして
a)RDPやWindowsの脆弱性を突かれた
b)ブルートフォース(パスワード総当たり)
のどちらの手口でしょうかね

2017/09/13(水) 09:13:26.07

>>461
firewallは受信アクセス可にしていました
スマホからアクセスするためにRDPを有効化していたので
>>462
2だね
>>464
新種だって言われてるくらいだから、aだと思うがな..
ただftpも使ってて、主に中国からのログイン試行が多かったのは確か

2017/09/13(水) 09:19:10.38

>>459
サードのアンチウイルスは入れてませんが
·OSをセキュリティ高い(らしい)win10 CUに
·ransomfreeのインストール
·今まで使ってたDDNSを不使用に
·バックアップはオフライン型に
を行いました

RDPは使い続けるつもりですが、パスくらいは変えたほうがいいんですかね..

2017/09/13(水) 12:00:40.97

RDP使うのはいいけど、その前にVPNでも張れよ。
そうしないと、いぶれまた被害に合うぞ。

2017/09/13(水) 23:55:49.21

>>467
この手の件ではVPNはあまり言わないほうがいいかもよ

約2年前のIP電話の乗っ取り騒ぎのときに、
ベンダーは悪用対策としてVPNを使っていたと公表したが、
そもそもVPNはアクセス制限のための技術ではないだろ！！！、
とかなり批判が出てたような気がするので

なお、VPNを張るためには普通は認証が必要になるし、
信頼できない回線での傍受対策にもなるから意味はあるはず

2017/09/14(木) 17:41:56.16

直接RDPとか開放するんじゃなくて自前でVPNサーバも
導入してそこにつなげってことならありでない

クライアント側もVPNクライアント通すとか面倒くさいとは
思うけど

2017/09/14(木) 19:29:58.69

>>469
俺はスマホにロック掛けないから、vpn接続設定できないんだよね
セキュリティ的に悪いのは承知なんだけどどうも面倒でね

2017/09/15(金) 00:03:54.66

>>468
ネットエージェントが調査してたあれのこと？

2017/09/15(金) 00:26:26.30

>>469
そうですね
誰でも彼でもは直接RDPにアクセス出来なくなりますから
>>470
今の運用形態は見直されたほうが良いかと思います、
またいつSMBのように新たな脆弱性が発見されるか分かりませんし

2017/09/15(金) 02:19:35.47

昔々)SMBやRDPはインターネットから遮断必須だった
↓
クラウドの浸透)暗号化技術の実装によりクライド上にWindowsサーバを置きインターネットを介しサービスを利用したりRDPでメンテナンスすることなども行われるようになった
↓
ランサムウェアの台頭)ブルートフォース攻撃やOS脆弱性攻撃などハッカーの技術も進化し、素のSMB/RDPなどをまたインターネットに公開できなくなった

みたいな感じでしょうか
もしかすると端からVPNでやるものであり2番目は無かったかもしれませんが

2017/09/15(金) 07:41:38.50

>>472,473
セキュリティと利便性は若干トレードオフみたいなとこもありますかね
サーバ構成し直すのもまた面接なのでvpnとrdpの使用を見直します

2017/09/15(金) 17:48:44.99

>>473

いわゆるクラウドっていうのはOfficeとかAdobeのソフト群とかGoogleドライブ
みたいなサービスが遠隔から使えますってものなのでSMBとかRDPとか基本
関係ない

というか、SMBとかRDPをインターネット側に解放しているサーバで運用されて
いるクラウドサービスなんて危なくて使ってはいけないレベルのサービス

仮想サーバを貸し出すレンタルサーバであれば、OSの導入や設定等はユーザ
任せなのでSMBやRDPを開放して運用している人もいるかもしれないけど
サーバレンタル会社がこういう運用は危ないですよとか、このようなことをやり
たい時にはこんな機能を当社では提供していますって感じで危険そうなことは
ある程度啓蒙活動とかしてる

昔ホームページレンタルとかって言ってたサービスも最近ではレンタルサーバと
言う名前でサービスしてるけど、これは単なるサービスの提供だけでシステムの
設定とかはサービス提供会社でやっているので、普通SMBとかRDPの開放は
ありえない

なので、今も昔もその間もインターネット側にSMBとかRDPを解放するというのは
危険なことですよ

2017/09/16(土) 00:40:16.84

HTTPやHTTPSなら安全です

2017/09/16(土) 08:32:05.38

↑嘘つきw

2017/09/16(土) 10:29:00.10

RDP使うにしてもVPN張った上で使うのが普通だと思う

2017/09/24(日) 23:02:29.61

ネットワークの脆弱性をついて侵入してくるのはわかるけど
最初の感染源は何なんだろうねメールやブラウザという話も聞かないし

2017/09/26(火) 09:29:22.59

脆弱性というか単純なブルートフォースアタックもやってくるぞ

2017/10/13(金) 16:52:13.42

今週頭くらいからブラウザでメモリを食い潰すおかしなWeb広告
でてきてるから気を付けろｗ

2017/10/16(月) 19:23:47.12

>>481
これとは違うのかな
閲覧者のPCを無断でマイニングに利用するサイトが多数--5億台に影響の可能性も
https://japan.cnet.com/article/35108804/

2017/10/21(土) 12:15:19.27

昨夜からウィルスバスターが,OPS_MS17-010-SMB_REMOTE_CODE_EXECUTION_EXPLOIT-2を頻繁にブロックしてます。
昨夜2回、今日PCを起動して一時間ほどの間に3回。
ブロックされているので当然感染はしていないけど兎に角気持ちが悪い。
ブロックしてやり過ごすしか無いのでしょうか？

2017/10/22(日) 14:47:22.31

ウィルスｗｗｗｗｗｗｗｗ

2017/10/22(日) 14:57:22.50

存在するから反応する

2017/10/22(日) 15:18:56.97

いや実際に観測しない限り、活動状態のウィルスと無効化済みのウィルスが
50:50で重ね合わせで存在していると考えるべき

**名無しさん＠お腹いっぱい。** · 2017/10/22(日) 18:40:15.17

重大な個人情報を盗まれる前にフォーマットしたほうがいいな

2017/10/22(日) 22:05:20.94

ご丁寧にMS17-010とかSMBとかREMOTE_CODE_EXECUTION_EXPLOITとか知らせてくれてるのにこれでわからないとはバカにも程がある

**お利口な栗鼠** (ﾜｯﾁｮｲ ddc9-RLxF) · 2017/10/24(火) 05:42:50.08

一個前のスレに書き込みしてた。。

スレ違いで申し訳無いんだが
ランサムで搾取したBTCって
ネット上では個人情報必要無いから
匿名でいられるけれど
それを現金化する段階で足つかない？
ミキシングとかも追えない事は無いし
架空名義口座使うくらいしか
方法が思いつかないんだけど。

2017/10/25(水) 14:44:02.85

ランサムウェア「BadRabbit」が猛威、交通機関やメディアに被害

ロシアやウクライナで地下鉄などの公共交通機関や報道機関、政府機関などに被害が広がっている。
http://www.itmedia.co.jp/enterprise/spv/1710/25/news053.html

2017/10/25(水) 22:27:50.76

あのCMで有名なアイカ工業がやられたようだな

2017/10/26(木) 02:16:38.34

>>491
こりか
https://twitter.com/GroupIB_GIB/status/922972032098291718

2017/10/26(木) 02:28:17.50

ru ロシア
bg ブルガリア
ro ルーマニア
ua ウクライナ
cz チェコ
jp 日本
なんでやねんw

2017/10/26(木) 03:14:20.22

.niだったらいいの？

2017/10/26(木) 03:49:25.74

>>494
ん?
>>492に.niなんて無いよね?あったかな?
ちなみに
被害を被っているの旧東側系ばかり中に混じってなぜ日本の企業が?、、、
って意味のレスですw

2017/10/26(木) 10:52:40.79

>>495
>>494は君が「日本の国際名称が「にほん」では無く「じゃぱん」でjp
は納得出来ない」って意味で言ってるのかと思ったんだと思う。

＞被害を被っているの旧東側系ばかり中に混じってなぜ日本の企業が?、、、

去年あたりから政府がロシアに接近してる報道は普通に他の国でも流れてるから。

2017/10/26(木) 11:01:54.16

483です。

あれからダメ元でイメージバックアップからの復元でブロックが発生しだす前の状態にリストアしてみたところブロックは発生しなくなりました。
復元から4日経ちますが一度も発生していません。
ウィルスバスターとMalwarebytes Anti-MalwareでもPC全体のフルスキャンをして何も検出されなかったのですが、
セキュリティソフトでも検出されない何かが潜んでいたと言う事でしょうか・・・くわばらくわばら。
皆さんもどうぞお気をつけ下さい。

2017/10/26(木) 17:39:01.21

>>496
そうそう、そうなんだよ！

2017/10/26(木) 20:23:39.56

>>491で動きが
＞調査の進捗状況
メモ
http://toolbar.netcraft.com/site_report?url=www.aica.co.jp

2017/10/26(木) 21:54:17.28

アイカやられてんのかよｗｗｗｗｗｗｗｗ

**お利口な栗鼠** (ﾜｯﾁｮｲ 41c9-tQu8) · 2017/10/26(木) 23:03:11.30

>>497
exploitって言うのは脆弱性を利用するものなんだが
分類的には外部からのコードを実行させる類っぽいぞ。
そのコードを検知したからブロックされたんだと思う。
ワームとかが無差別に狙ってきたんじゃないの

2017/10/29(日) 08:31:32.94

>>499
ブロックリスト北
http://dns-bh.sagadc.org/domains.txt

2017/10/29(日) 23:42:11.44

未だにｖｖｖを復号したいけど出来ん・・・
英語さっぱりダメだし、(n)inja csirt見ても何が分からんのかも分からん・・・
誰か助けて・・・orz

2017/10/29(日) 23:48:17.88

パソコンに詳しいヤツに頼めよ

2017/10/30(月) 18:21:58.15

無駄な努力をするな、新しいの買えw

2017/10/30(月) 20:58:55.61

>>504
いないお(´・ω・`)

2017/10/30(月) 21:08:45.74

>>506
んじゃあ、金だして業者にやってもらうか、諦めるかだな

2017/10/31(火) 22:27:58.47

vvvのすべてが復号できるわけじゃないしな

2017/11/01(水) 23:49:48.99

>>507
業者の価格見てみたら身代金より高い・・・

>>508
そうなの？
家族写真だからなかなか諦められないわ

2017/11/02(木) 00:17:27.11

>>509
ランサムウェアに感染したファイルを復号しますっていってるような業者はめちゃくちゃ高いけど、個人が営業してる町のパソコン修理屋とかあるじゃん？

ああいうところに頼んだら作業料（1～2万くらい）でやってくれると思うんだけど

2017/11/03(金) 16:00:14.38

>>510
まじで？
ちょっと探してみる。ありがとう。

2017/11/12(日) 10:06:09.68

>>511 おいおいｗ
もうパソコン辞めた方がいいな君は

2017/11/12(日) 18:30:46.49

そんなに大切なものならまともな業者に依頼したほうがいいとおもうが
カスペのやつじゃダメなの？

2017/11/12(日) 18:39:51.44

安物買いの～になる未来しか見えないけどなｗ

2017/11/13(月) 00:54:17.90

Win10 FCU に標準で、アンチランサムウェア機能が付いたな。

2017/11/16(木) 17:03:21.53

安い業者は大手からノウハウを買って商売してる単なる代理店みたいなものだよ
店で出来ないやつは大手に依頼する
流石にランサムでやられたHDDを1、2万では無理かと

2017/11/16(木) 20:39:10.10

>>516
いや、彼のは解除ツールでてるやつだよ

2017/11/20(月) 18:30:30.17

今日はじめてCybereasonRansomFreeがdllhost.exeやexeplorerがファイルを暗号化してるって検知した
C:とユーザーとD:に暗号化されたファイル入りのフォルダがその度にできて削除するとCybereasonRansomFreeがまた反応してフォルダを作るみたい

どうも暗号化してるのはこのソフトじゃないのかって感じがするんだけど

2017/11/20(月) 18:38:01.28

ちょっと何言ってるか分からない

2017/11/20(月) 18:38:04.98

それが普通の挙動

2017/11/20(月) 19:03:33.39

え？じゃあこのフォルダは永遠に置かれたままなの?

2017/11/20(月) 21:57:05.12

あのフォルダが罠って言うか囮になってるんじゃねぇの？

2017/11/20(月) 23:13:15.14

囮なのはそうたけと、検知するのはおかしいよね

2017/11/24(金) 16:21:44.11

>>521
うちもそんな感じで、消しても消しても意味不明内容のtxtやxlsx、pdfとかそこに置かれてフラグメンテーションの元に
なるから、アンインストールしちゃったよ。

2017/11/24(金) 21:04:44.79

>>524
だからそれは囮で仕様なんでそういうもんだっての

2017/12/05(火) 11:43:31.39

知らないうちにウェブコンパニオンというソフトが入ってたんですが、普通に削除すれば大丈夫でしょうか？

ESETで検索しても異常は出てきませんでした

2017/12/05(火) 13:11:50.64

>>526
ここはランサムウェアスレですよ
スレチです

2017/12/05(火) 19:08:30.08

>>526
＞ESETで検索しても異常は出てきませんでした
だったら別に削除する必要はないんじゃないの？ESET信用してんだろ？

2017/12/27(水) 21:52:32.42

保守

2017/12/28(木) 04:50:49.26

誰でも簡単にネットで稼げる方法など
参考までに、
⇒　『加藤のセセエイウノノ』というサイトで見ることができるらしいです。

グーグル検索⇒『加藤のセセエイウノノ』

PR30Q7ZS3X

2017/12/28(木) 19:24:44.76

風呂上がりの鏡に映った俺がいつもより格好良く見える
ハンサムウェアに感染してしまったかもしれん

2017/12/29(金) 07:04:09.14

でこから上が輝いてるぞ

2017/12/30(土) 01:46:49.82

鏡にトロイの木馬が仕込まれていることにも気付いていないのかよ

2017/12/31(日) 01:42:03.85

今年はもっとランサムウェアが凶悪化すると思ったがそうでもなかったな

2018/01/03(水) 21:08:12.41

保守

2018/01/17(水) 18:31:44.19

捕手

2018/01/18(木) 08:47:30.88

テレビでやってたけどランサムウェアって北朝鮮がつくってたんだってな
嫌がらせしてそれがいったい国になんの利益をもたらすのか
目的がさっぱり理解できな

2018/01/18(木) 10:35:26.64

身代金だろフツーに考えて

**名無しさん＠お腹いっぱい。** (JP 0H13-Yxec) · 2018/01/18(木) 10:44:26.93

>>538 ランサムの意味をいまだに判ってない奴がいるんだよ >537みたいに
きっとリアルで同じようなこと言って指摘され顔真っ赤にしてる

2018/01/19(金) 00:42:13.62

>>539
いいことして皆をよろこばせれば評価は上がるんだぜ？
身代金だって引き出ししてたのほぼなかったらしいし

2018/01/19(金) 00:49:39.06

うん

2018/01/19(金) 01:16:15.86

北朝鮮は底抜けのアホだからな、身代金で大儲けを企んでたけど、払う人は
そんなにいないうえにすぐに対策ソフトが出たりして思惑が大きく外れてしまった
って事なんだろうね。

2018/01/19(金) 15:18:02.85

ウィルス対策変更したらアンチランサムフリーがやられてたみたいでウィルスだって削除されて
再インストールしてスキャンしても無反応なのよ
いつやられたんだろう？
結構気をつけてたんだけどな

2018/01/25(木) 17:30:14.43

アクロニス、ランサムウェア対策ソフトを無償公開、AI技術を使った「Acronis Ransomware Protection」
https://internet.watch.impress.co.jp/docs/news/1103039.html

2018/01/30(火) 13:42:17.98

現在って暴露ウイルスとか流行ってないの？
win10なら感染しない？
自営業で顧客名簿扱ってるから怖いんだが

2018/01/30(火) 13:50:23.17

>>545 金にならない愉快犯的なのは減ったね
でも、無くなったわけじゃない

2018/01/31(水) 00:05:02.66

心配ならオフラインにするしかない
データ置き場にするなら安いノーパソでもいいだろ
NASは逆に危険

2018/01/31(水) 00:08:17.75

>>547 ルーターのNAT設定入れてないNASなら怖くもなんともないだろ・・・

2018/01/31(水) 01:02:18.76

ウイルスにやられたらアウト

2018/01/31(水) 08:24:14.62

>>549 屁理屈レベルだな

2018/01/31(水) 08:55:53.23

>>550
やられてからでは遅いと思うよ？

2018/01/31(水) 09:28:42.48

安全神話でもあるんだろうな

2018/01/31(水) 20:47:01.53

>>551 気持ちの問題？根拠ないじゃんこのスレはそういう迷信的なのは要らないから

2018/01/31(水) 22:43:29.01

自己責任だから好きにしなよ

2018/01/31(水) 23:03:30.79

GandCrabってランサムウェアに感染した。
調べたら最近見つかったものらしい、注意してください。

2018/02/01(木) 00:09:15.21

>>555
どこで感染したの？ネット？フラッシュ？メール？

2018/02/01(木) 00:17:58.07

>>556
感染源は現在のところ不明です。
会社のネットワークドライブから感染したファイルが見つかりました。