ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
話題のランサムウェアの情報を共有しましょう。
ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。
残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。
攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)
■前スレ
ランサムウェア総合スレ Part4 [無断転載禁止]©2ch.net
http://tamae.2ch.net/test/read.cgi/sec/1468625700/
■テンプレ
スレ立て時には本文の文頭に「!extend:checked:vvvvv::」を入れて立てて下さい。
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。
VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured >>526
ここはランサムウェアスレですよ
スレチです >>526
>ESETで検索しても異常は出てきませんでした
だったら別に削除する必要はないんじゃないの?ESET信用してんだろ? 誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。
グーグル検索⇒『加藤のセセエイウノノ』
PR30Q7ZS3X 風呂上がりの鏡に映った俺がいつもより格好良く見える
ハンサムウェアに感染してしまったかもしれん 鏡にトロイの木馬が仕込まれていることにも気付いていないのかよ 今年はもっとランサムウェアが凶悪化すると思ったがそうでもなかったな テレビでやってたけどランサムウェアって北朝鮮がつくってたんだってな
嫌がらせしてそれがいったい国になんの利益をもたらすのか
目的がさっぱり理解できな >>538 ランサム の意味をいまだに判ってない奴がいるんだよ >537みたいに
きっとリアルで同じようなこと言って指摘され顔真っ赤にしてる >>539
いいことして皆をよろこばせれば評価は上がるんだぜ?
身代金だって引き出ししてたのほぼなかったらしいし 北朝鮮は底抜けのアホだからな、身代金で大儲けを企んでたけど、払う人は
そんなにいないうえにすぐに対策ソフトが出たりして思惑が大きく外れてしまった
って事なんだろうね。 ウィルス対策変更したらアンチランサムフリーがやられてたみたいでウィルスだって削除されて
再インストールしてスキャンしても無反応なのよ
いつやられたんだろう?
結構気をつけてたんだけどな アクロニス、ランサムウェア対策ソフトを無償公開、AI技術を使った「Acronis Ransomware Protection」
https://internet.watch.impress.co.jp/docs/news/1103039.html 現在って暴露ウイルスとか流行ってないの?
win10なら感染しない?
自営業で顧客名簿扱ってるから怖いんだが >>545 金にならない愉快犯的なのは減ったね
でも、無くなったわけじゃない 心配ならオフラインにするしかない
データ置き場にするなら安いノーパソでもいいだろ
NASは逆に危険 >>547 ルーターのNAT設定入れてないNASなら怖くもなんともないだろ・・・ >>551 気持ちの問題? 根拠ないじゃん このスレはそういう迷信的なのは要らないから GandCrabってランサムウェアに感染した。
調べたら最近見つかったものらしい、注意してください。 >>555
どこで感染したの?ネット?フラッシュ?メール? >>556
感染源は現在のところ不明です。
会社のネットワークドライブから感染したファイルが見つかりました。 「アクロニス、無償で使用できるAIベースのランサムウェア対策機能を発表」
https://securityinsight.jp/news/13-inbrief/2973-180129-2
アクロニス・ジャパンは1月25日、独自に開発したAIベースのテクノロジーを採用したランサムウェア対策機能「Acronis Active Protection」を、「Acronis Ransomware Protection」として無償で提供することを発表した。 >>558 挙動監視だね
あんまり負荷はなさそう
ただ、どこまでこれで守れるのかちょっとわからない
常駐アプリの監視はしてるけど、タイマー式にどこまで対応するのかがわからない ランサムウェア「GandCrab」、2種類のエクスプロイトキットで拡散--Malwarebytes
https://japan.zdnet.com/article/35114045/
新種のランサムウェアが出現した。多くのランサムウェアと異なり、2つのエクスプロイトキット(うち1つは姿を消したと考えられていた)によって拡散され、やや知名度の低い暗号通貨での支払いを要求する。
米国時間1月26日に初めて確認されたランサムウェア「GandCrab」は、2つのエクスプロイトキット「RIG EK」「GrandSoft EK」によって配布されていることがわかった。セキュリティ企業Malwarebytesの研究者が詳細を報告している。
GandCrabは、RIG EKを通じて配布されている。このRIG EKは、「Internet Explorer」や「Flash Player」の脆弱性を突いて、JavaScriptやFlash、VBscriptをベースにした攻撃を開始し、ユーザーにマルウェアを配布する。 「Adobe Flash Player」にゼロデイ脆弱性 〜Adobe、修正版を5日にリリースへ
https://forest.watch.impress.co.jp/docs/news/1104489.html
米Adobe Systemsは1日(現地時間)、「Adobe Flash Player」にリモートから任意のコードが実行可能な致命的な脆弱性(CVE-2018-4878)があるとして、セキュリティアドバイザリ(APSA18-01)を公開した。
本脆弱性を悪用したWindowsユーザーに対する標的型攻撃も確認されているとのことで、警戒が必要だ。 ランサムウエア保管の疑い、香川 22歳の男性を書類送検【社会】- 徳島新聞社
http://www.topics.or.jp/worldNews/worldSociety/2018/02/2018020801001577.html
送検容疑は昨年8月28日、48時間以内にビットコインで1万4千円相当を支払うよう画面に英語で表示するランサムウエアを外部記録媒体に保管した疑い。
海外の掲示板を通じて購入したといい、「ランサムウエアを使って生計を立てようと思った」という趣旨の供述をしている。 ランサムはウイルスだから、Win付属の対策機能なんか使わずとも、
専用のアンチウイルスで十分だわ
ただWinはいわゆる迷惑ソフト(詐欺ソフト)を駆除するようだから、そっちはありがたいかも >>564 ゼロデイ攻撃で仮想通貨が散々やられてるのに、頭湧いてんのか? やりすぎ防犯パトロール、特定人物を尾行監視 2009年3月19日19時7分配信 ツカサネット新聞
http://headlines.yahoo.co.jp/hl?a=20090319-00000026-tsuka-soci
この記事で問題になった通称やりすぎ防パトは、創価学会と警察署が引き起こしていたようです
掻い摘んで説明すると
・創価学会は、町内会や老人会、PTA、商店会等の住民組織に関し、学会員が役員になるよう積極的に働きかける運動を
90年代末から開始し、結果、多くの住民組織で役員が学会員という状況が生まれた
・防犯パトロールの担い手は地域の住民と住民組織で、防犯活動に関する会議や協議会には、住民組織の代表に役員が出席する為
防犯活動や防パトに、創価学会が間接的に影響力を行使可能となった
・防パトは住民が行う為、住民が不審者や要注意人物にでっち上げられるトラブルが起きていたが
創価学会はその緩さに目をつけ、住民組織を握っている状況を利用し、嫌がらせ対象者を不審者や要注意人物にでっち上げ
防パトに尾行や監視、付き纏いをさせるようになった
・防パトは地元警察署との緊密な連携により行われる為、創価学会は警察署幹部を懐柔して取り込んでしまい
不審者にでっち上げた住民への嫌がらせに署幹部を経由して警察署を加担させるようになった
・主に当該警察署勤務と考えられる創価学会員警察官を動かし、恐らく非番の日に、職権自体ないにもかかわらず
私服警官を偽装させて管轄内を歩いて回らせ、防犯協力をお願いしますと住民に協力を求めて回り
防犯とは名ばかりの、単なる嫌がらせを住民らに行わせた(防犯協力と称し依頼して回っていた警察官らの正体は恐らく所轄勤務の学会員警察官)
※これに加えて防犯要員が同様のお願いをして回る
・こうして防犯パトロールを悪用し、住民を欺いて嫌がらせをさせつつ、創価学会自体も会員らを動員し、組織的な嫌がらせを連動して行った
つまり警察署に勤務する学会員警察官、警察署幹部、創価学会が通称やりすぎ防犯パトロールの黒幕
詳細は下記スレをご覧下さい
やりすぎ防犯パトロールは創価学会と警察署の仕業だった
https://rio2016.5ch.net/test/read.cgi/bouhan/1516500769/ >>568
年間980円で250GBってかなり安くね? ランサムはソフトウェアだったりアドオンのアプデとかでやられるサプライチェーン攻撃が一番怖いな
メーカー開発環境とか鯖の脆弱性が狙われて、いつ混入するか分からんしね
今のマルウェアはマルウェア本体を後からDLするタイプとかだから検知するのが困難だし ほとんどのウィルス対策ソフトが検出するようなこんな物怖くなんかないわ
例えネット経由でダウンロードされたとしても実行時にUACもブロックするし対策ソフトも警告するわ
そもそもが、発見当初でも感染した少数のアホな奴らは.exeファイルを叩いた奴とポート丸開けの企業サーバーだけだよ 久しぶりに来たら
前は>>2あたりにいろいろ対処法載ってたのに
今はまともな対処法が載ってないサイトへのリンクだけになってて草 だって、わかりやすい感染パターンとかないし、暗号化されたら復旧できるかどうかウイルス作った当人でさえ判らないとか。
そういうまともじゃないウイルスなので、PCから切り離された場所にバックアップして被害を抑えるくらいしか対策できないじゃん。 未だに多いのは素人の脆弱性放置とメールで添付されてくるパターンだよ
チェックを掻い潜る為にpdfとかエクセルで送ってきて、それ自体に実行ファイルは入ってない YESYESYES連打は一定数いるからなぁ
どんなにガードしても それとは別に、無意識のうちにクリックしてしまうヒューマンエラーもある
だからこそ企業は専門家を雇って様々な対策をしている
侮るとコインチェックみたいになる 基本的には解読ツールがない種類はデータの復元できないよな >>579
http://www.itmedia.co.jp/news/articles/1803/13/news015_3.html
>TCP/80やTCP/443番といった、誰もが利用し、サービスに不可欠なポートはなかなか止められないことも課題です。
個人のユーザーならWAN側に対してはルーターを噛ましていれば、設定が何も出来なくてもパソコン側へのロケーションはされませんから
初心者さんであればあるほど安全という事になります
家庭内のWebカメラとか機器へスマホなどの外部環境からアクセスしたい場合には、
ルーターの設定が必要になりますので開いているポートの脆弱性について熟知している必要があります
また、企業についてはバカとしか言えませんから、セキュリティに関して脆弱なところは勝手に感染してろよですね
個人ユーザー側として被害を被らないのならば、そんなのどうでもいいですよね >2月にAdobeが修正したFlash Playerの脆弱性「CVE-2018-4878」
拡散しねえし、Flashのアドオンを更新しないまま仕掛けられているサイトに行くやつがアホ
ついでにセキュリティソフトもGandCrabがダウンロードされた時点で実行される前に騒ぎ出すだろ それが世の中にはセキュリティソフトの更新を手動にする馬鹿が居るんだよ
あと、7だとOSアプデが手動だったり、ノーガード状態が多数存在する
そもそも感染する奴の殆どが基本的な対策すらしてない奴ばっかりなんだし >>588
その理屈だとそんな奴らはこんなとこも見ないし、URL貼り付けたって何の意味もねえよな
俺はその記事を見た奴らが、ちゃんとセキュリティ対策をしていれば心配するこっちゃねえんだよと言いたいだけ >>589
ランサムウェアスレだから、ランサムウェア関係のニュース貼られてるだけだろ
588は一般的なこと話してるのに急にスレ限定の話とかし出して頭大丈夫か? ランサムウェアDMA Lockerに感染したHerrington & Companyは、1700ドル(18万円)の身代金を支払う代わりにIT企業Proven Data Recovery社に6000ドル(65万円)でデータの復元を依頼したが、
FBIの調査でProven Data Recoveryは犯人に身代金を支払ってデータを復元したことが判明
https://twitter.com/kitagawa_takuji/status/989379591482499072?s=21 18万の身代金の代わりに、65万でデータの復元を依頼する時点で気が付くだろと・・・
身代金払って駄目だったのなら分かるけど
記事は読んでないけど、業者は最初に料金を提示しなかったのかな? 会社イメージ的に犯罪者との直接取引は避けたかったとかじゃない?
現にProven Data Recovery社は犯人に資金提供したと情報開示されてるし 今日初めてランサムウェアに感染したわ
仮想マシンだったから本体は無事だったけど書き込み許可してた共有フォルダは全部死んだ >>598
多分ウェブブラウジング
必要があっていくつかヤバそうなサイト潜ってた
時だと思う
サイト特定出来なくて申し訳ない ワナクライ以降は危ないサイトとかは行かないようになったなぁ ブラウザやセキュリティソフトは何を使用していたのか、見たのはどこのサイトだったのか気になる OSはwin7pro、ブラウザはIE11、セキュリティソフトは切ってました まぁ仮想マシンだから分かってやってたんだろうけど
参考にはしにくいなw すごくおもしろいパソコン一台でお金持ちになれるやり方
参考までに書いておきます
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
GOTQ0 で、実際、本当にバージョンが上がって検知能力がアップしてるのか?という疑問だが、セキュリティソフトの能力比較テストで、以前、ランサムウェアの検知能力を調べているのがあった
https://avlab.pl/sites/default/files/68files/ENG_2016_ransomware.pdf
ここではESETのV9とV10 Betaで同じランサムウェア28種類をテストしてるが、V9の検知率は25/28、V10 Betaでは27/28となっていて、明確に差が出ている 初めてランサムウェアの被害にあったのでご教授いただきたく書き込みをさせていただきます。
Windows7にてネットに転がっていたexeファイルをうっかりクリックしてしまい主にCドライブ以外のファイル名が、
[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india
となってしまい、主に2TBの2台と3TBのHDDの中身もすべて暗号化されてしまいました。
転がってるEXEをクリックなんて怖くて一度もやったことが無いのに、就寝間際でボーっとしてました。。
なんのウイルスの特定と復号をしたいのですが、 >6 の方法ではうまく動作しませんでした。
まもなく寿命を迎えるであろう2頭のワンコとの写真をはじめ、多くの思い出を健忘症によって部分的に忘れ消えてしまうのがしんどいです。
この状況をどのように脱したらよいのか、どのような情報をお伝えしたら改善するのか、お教えいただけたら嬉しいです。
どうぞよろしくお願いいたします。 >609 の訂正です。
[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india
ではなく
[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india.com
です。 >>609
そのランサムウェアはCryptONの亜種だが。。
復号出来るかの情報は持ち合わせてないな。。
ちなみに身代金はいくら?
あと参考までにセキュリティソフトは反応しなかったのか教えてほしい >>609
セキュリティソフトは入れてたの?まさかノーガード? ID:zb/4U/do0 です。
>>612 さん、英語は一切読めないので何なのですが、
> https://www.bleepingcomputer.com/news/security/crypton-ransomware-installed-using-hacked-remote-desktop-services/
の中の
https://www.bleepstatic.com/images/news/ransomware/c/crypton/may-2018-campaign/crypton-ransom-note.jpg
のhtmlファイルが各フォルダに置かれています。
>>611 さん、
CryptXXX系かなとは思っていたのですが、CryptONの亜種ですか…。
セキュリティソフトは「Microsoft Security Essentials」のみで、今回に至るまではそれなりに働いてくれていたので安心しきっていました。
今回のexeクリック直後から自動的に検疫・削除を終始繰り返していましたが、いかんせん、就寝直前でボーっとしていたのでランサムであることが表示されていたのかは覚えていません。
気が付いた直後、ああだこうだとやっているうちに履歴を削除してしまいました…。
ちなみに、原因になったウイルス入りデータの配布場所は何となく把握しています。
まさかこんなことになるとは思わず、近々全面的にバックアップをやり直すつもりだったのでバックアップのバックアップが入ったHDDもPCに繋いでおり、半日ほどPCを起動したままだったのでこれらも被害に遭ってしまいました。
身代金は1000から500にダウンしました。
以下、メールのやり取りです。(認証番号は一切伝えていません)
>2018-05-25 19:43 GMT+09:00 ransomed me <ransomed@india.com>:
>last price 500$
>At 25 May 2018 09:35:20 +0000 (+00:00) from maga mail <■■■@gmail.com>:
>そんなお金は手元にありません。
>どうか■■■家族との思い出を返してください。お願いです。
>2018-05-25 15:53 GMT+09:00 ransomed me <ransomed@india.com>:
>Hello. Price for full pc decryption is 1000$ in bitcoin or etherium
>At 24 May 2018 20:07:29 +0000 (+00:00) from maga mail <■■■@gmail.com>:
>ファイルが見れなくなりました。
>どうやったら見れるようになりますか? >>613 さん、
ID:zb/4U/do0 です。
ほぼノーガードと言わざるを得ない感じですよね。。
健忘症には逆らえないんです…思い出を取り戻したいです。
お知恵をお貸しください。 Windows 7でSecurity Essentialか
ノーガードとは言えないかな
EMSISOFTがCryptONの復号Toolを出してる見たいだけど試してはどうかな?
ランサムウェアをばらまく方も復号Toolで復号できちゃうランサムウェアを新規に作るとは思えないので可能性は低いけど
だめなら残念な言い方になるけど、どうしてもデータを復活したいなら500ドル払うしかないと思う
時が経てば、ランサムウェアの脆弱性が判明してあとで暗号化されたファイルが復号できるツール等が出る可能性もあるけど、これは運がいいケースで、永遠に復号出来ない可能性のほうが高いので ID:zb/4U/do0 です。
>>616
>ノーガードとは言えないかな
お気遣いのお言葉、ありがとうございます。
>EMSISOFTがCryptONの復号Toolを出してる見たい〜
https://decrypter.emsisoft.com/ の「Emsisoft Decrypter for CryptON」ですかね?
暗号化されたファイルをドロップすると
「Please drag and drop both an encrypted and unencrypted file onto the decryptor at the same time.」
アプリ翻訳によると「同時に、暗号化されたファイルと暗号化されていないファイルの両方をデクリプタにドラッグアンドドロップしてください。」と読み取れるのですが、暗号化されていないオリジナルのファイルが必要という事ですか?泣
お金払って元に戻った話し、見かけないんですよね…。不安。。 写真ならスマフォに残ってねーの?
そん中に暗号化されたファイルの元ファイルあるんじゃね >>618
写真は無いのですが、過去に一部だけバックアップしていたword(.doc)とExcel(.xlsx)があったので、
・[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india.com
・[元ファイル名].[元拡張子]
を2個まとめてドロップしても同じメッセージが出ました。
これって、Emsisoft Decrypter for CryptON では無理という事ですよね…。(TT) >>619
>Cry36
>このランサムウェアは現時点では復号する方法が存在しません。
と、表示されました。。 じゃあ無理じゃ無いかな。
どうしても復旧したいなら
あとは一縷の望みを掛けて500ドル払うくらいしか無いかと。
勿論払い損になる可能性も有るけど、
いつか復号ツールが公開されるのを延々と待つよりはまだ希望があるかなと個人的には思う >>617
Emsisoft Decrypter for CryptONでだめでしたか
ページの説明に
".id-_locked", ".id-_locked_by_krec", ".id-_locked_by_perfect", ".id-_x3m", ".id-_r9oj", ".id-_garryweber@protonmail.ch", ".id-_steaveiwalker@india.com_",
".id-_julia.crown@india.com_", ".id-_tom.cruz@india.com_", ".id-_CarlosBoltehero@india.com_" and ".id-_maria.lopez1@india.com_".
とあったけど、ransomed@india.comが載ってないですね。
やはりCryptONの亜種の新型バージョンで現行の復号ツールでは対応できないみたいですね。 >>624
そうなんですよね、最近出回りだしたものなのかGoogleで「ransomed@india.com」で検索しても変な誘導サイトばかりで…。
こんなに大規模な被害は初めてなので、ほんと、しんどすぎます。。 ID:zb/4U/do0 です。
これまでにお金を払ってデータが戻った例ってあるのでしょうか…?
犯人はそれぞれ違うのでしょうけど。。 ■ このスレッドは過去ログ倉庫に格納されています