ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net
レス数が1000を超えています。これ以上書き込みはできません。
ほとんどのウィルス対策ソフトが検出するようなこんな物怖くなんかないわ
例えネット経由でダウンロードされたとしても実行時にUACもブロックするし対策ソフトも警告するわ
そもそもが、発見当初でも感染した少数のアホな奴らは.exeファイルを叩いた奴とポート丸開けの企業サーバーだけだよ 久しぶりに来たら
前は>>2あたりにいろいろ対処法載ってたのに
今はまともな対処法が載ってないサイトへのリンクだけになってて草 だって、わかりやすい感染パターンとかないし、暗号化されたら復旧できるかどうかウイルス作った当人でさえ判らないとか。
そういうまともじゃないウイルスなので、PCから切り離された場所にバックアップして被害を抑えるくらいしか対策できないじゃん。 未だに多いのは素人の脆弱性放置とメールで添付されてくるパターンだよ
チェックを掻い潜る為にpdfとかエクセルで送ってきて、それ自体に実行ファイルは入ってない YESYESYES連打は一定数いるからなぁ
どんなにガードしても それとは別に、無意識のうちにクリックしてしまうヒューマンエラーもある
だからこそ企業は専門家を雇って様々な対策をしている
侮るとコインチェックみたいになる 基本的には解読ツールがない種類はデータの復元できないよな >>579
http://www.itmedia.co.jp/news/articles/1803/13/news015_3.html
>TCP/80やTCP/443番といった、誰もが利用し、サービスに不可欠なポートはなかなか止められないことも課題です。
個人のユーザーならWAN側に対してはルーターを噛ましていれば、設定が何も出来なくてもパソコン側へのロケーションはされませんから
初心者さんであればあるほど安全という事になります
家庭内のWebカメラとか機器へスマホなどの外部環境からアクセスしたい場合には、
ルーターの設定が必要になりますので開いているポートの脆弱性について熟知している必要があります
また、企業についてはバカとしか言えませんから、セキュリティに関して脆弱なところは勝手に感染してろよですね
個人ユーザー側として被害を被らないのならば、そんなのどうでもいいですよね >2月にAdobeが修正したFlash Playerの脆弱性「CVE-2018-4878」
拡散しねえし、Flashのアドオンを更新しないまま仕掛けられているサイトに行くやつがアホ
ついでにセキュリティソフトもGandCrabがダウンロードされた時点で実行される前に騒ぎ出すだろ それが世の中にはセキュリティソフトの更新を手動にする馬鹿が居るんだよ
あと、7だとOSアプデが手動だったり、ノーガード状態が多数存在する
そもそも感染する奴の殆どが基本的な対策すらしてない奴ばっかりなんだし >>588
その理屈だとそんな奴らはこんなとこも見ないし、URL貼り付けたって何の意味もねえよな
俺はその記事を見た奴らが、ちゃんとセキュリティ対策をしていれば心配するこっちゃねえんだよと言いたいだけ >>589
ランサムウェアスレだから、ランサムウェア関係のニュース貼られてるだけだろ
588は一般的なこと話してるのに急にスレ限定の話とかし出して頭大丈夫か? ランサムウェアDMA Lockerに感染したHerrington & Companyは、1700ドル(18万円)の身代金を支払う代わりにIT企業Proven Data Recovery社に6000ドル(65万円)でデータの復元を依頼したが、
FBIの調査でProven Data Recoveryは犯人に身代金を支払ってデータを復元したことが判明
https://twitter.com/kitagawa_takuji/status/989379591482499072?s=21 18万の身代金の代わりに、65万でデータの復元を依頼する時点で気が付くだろと・・・
身代金払って駄目だったのなら分かるけど
記事は読んでないけど、業者は最初に料金を提示しなかったのかな? 会社イメージ的に犯罪者との直接取引は避けたかったとかじゃない?
現にProven Data Recovery社は犯人に資金提供したと情報開示されてるし 今日初めてランサムウェアに感染したわ
仮想マシンだったから本体は無事だったけど書き込み許可してた共有フォルダは全部死んだ >>598
多分ウェブブラウジング
必要があっていくつかヤバそうなサイト潜ってた
時だと思う
サイト特定出来なくて申し訳ない ワナクライ以降は危ないサイトとかは行かないようになったなぁ ブラウザやセキュリティソフトは何を使用していたのか、見たのはどこのサイトだったのか気になる OSはwin7pro、ブラウザはIE11、セキュリティソフトは切ってました まぁ仮想マシンだから分かってやってたんだろうけど
参考にはしにくいなw すごくおもしろいパソコン一台でお金持ちになれるやり方
参考までに書いておきます
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
GOTQ0 で、実際、本当にバージョンが上がって検知能力がアップしてるのか?という疑問だが、セキュリティソフトの能力比較テストで、以前、ランサムウェアの検知能力を調べているのがあった
https://avlab.pl/sites/default/files/68files/ENG_2016_ransomware.pdf
ここではESETのV9とV10 Betaで同じランサムウェア28種類をテストしてるが、V9の検知率は25/28、V10 Betaでは27/28となっていて、明確に差が出ている 初めてランサムウェアの被害にあったのでご教授いただきたく書き込みをさせていただきます。
Windows7にてネットに転がっていたexeファイルをうっかりクリックしてしまい主にCドライブ以外のファイル名が、
[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india
となってしまい、主に2TBの2台と3TBのHDDの中身もすべて暗号化されてしまいました。
転がってるEXEをクリックなんて怖くて一度もやったことが無いのに、就寝間際でボーっとしてました。。
なんのウイルスの特定と復号をしたいのですが、 >6 の方法ではうまく動作しませんでした。
まもなく寿命を迎えるであろう2頭のワンコとの写真をはじめ、多くの思い出を健忘症によって部分的に忘れ消えてしまうのがしんどいです。
この状況をどのように脱したらよいのか、どのような情報をお伝えしたら改善するのか、お教えいただけたら嬉しいです。
どうぞよろしくお願いいたします。 >609 の訂正です。
[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india
ではなく
[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india.com
です。 >>609
そのランサムウェアはCryptONの亜種だが。。
復号出来るかの情報は持ち合わせてないな。。
ちなみに身代金はいくら?
あと参考までにセキュリティソフトは反応しなかったのか教えてほしい >>609
セキュリティソフトは入れてたの?まさかノーガード? ID:zb/4U/do0 です。
>>612 さん、英語は一切読めないので何なのですが、
> https://www.bleepingcomputer.com/news/security/crypton-ransomware-installed-using-hacked-remote-desktop-services/
の中の
https://www.bleepstatic.com/images/news/ransomware/c/crypton/may-2018-campaign/crypton-ransom-note.jpg
のhtmlファイルが各フォルダに置かれています。
>>611 さん、
CryptXXX系かなとは思っていたのですが、CryptONの亜種ですか…。
セキュリティソフトは「Microsoft Security Essentials」のみで、今回に至るまではそれなりに働いてくれていたので安心しきっていました。
今回のexeクリック直後から自動的に検疫・削除を終始繰り返していましたが、いかんせん、就寝直前でボーっとしていたのでランサムであることが表示されていたのかは覚えていません。
気が付いた直後、ああだこうだとやっているうちに履歴を削除してしまいました…。
ちなみに、原因になったウイルス入りデータの配布場所は何となく把握しています。
まさかこんなことになるとは思わず、近々全面的にバックアップをやり直すつもりだったのでバックアップのバックアップが入ったHDDもPCに繋いでおり、半日ほどPCを起動したままだったのでこれらも被害に遭ってしまいました。
身代金は1000から500にダウンしました。
以下、メールのやり取りです。(認証番号は一切伝えていません)
>2018-05-25 19:43 GMT+09:00 ransomed me <ransomed@india.com>:
>last price 500$
>At 25 May 2018 09:35:20 +0000 (+00:00) from maga mail <■■■@gmail.com>:
>そんなお金は手元にありません。
>どうか■■■家族との思い出を返してください。お願いです。
>2018-05-25 15:53 GMT+09:00 ransomed me <ransomed@india.com>:
>Hello. Price for full pc decryption is 1000$ in bitcoin or etherium
>At 24 May 2018 20:07:29 +0000 (+00:00) from maga mail <■■■@gmail.com>:
>ファイルが見れなくなりました。
>どうやったら見れるようになりますか? >>613 さん、
ID:zb/4U/do0 です。
ほぼノーガードと言わざるを得ない感じですよね。。
健忘症には逆らえないんです…思い出を取り戻したいです。
お知恵をお貸しください。 Windows 7でSecurity Essentialか
ノーガードとは言えないかな
EMSISOFTがCryptONの復号Toolを出してる見たいだけど試してはどうかな?
ランサムウェアをばらまく方も復号Toolで復号できちゃうランサムウェアを新規に作るとは思えないので可能性は低いけど
だめなら残念な言い方になるけど、どうしてもデータを復活したいなら500ドル払うしかないと思う
時が経てば、ランサムウェアの脆弱性が判明してあとで暗号化されたファイルが復号できるツール等が出る可能性もあるけど、これは運がいいケースで、永遠に復号出来ない可能性のほうが高いので ID:zb/4U/do0 です。
>>616
>ノーガードとは言えないかな
お気遣いのお言葉、ありがとうございます。
>EMSISOFTがCryptONの復号Toolを出してる見たい〜
https://decrypter.emsisoft.com/ の「Emsisoft Decrypter for CryptON」ですかね?
暗号化されたファイルをドロップすると
「Please drag and drop both an encrypted and unencrypted file onto the decryptor at the same time.」
アプリ翻訳によると「同時に、暗号化されたファイルと暗号化されていないファイルの両方をデクリプタにドラッグアンドドロップしてください。」と読み取れるのですが、暗号化されていないオリジナルのファイルが必要という事ですか?泣
お金払って元に戻った話し、見かけないんですよね…。不安。。 写真ならスマフォに残ってねーの?
そん中に暗号化されたファイルの元ファイルあるんじゃね >>618
写真は無いのですが、過去に一部だけバックアップしていたword(.doc)とExcel(.xlsx)があったので、
・[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india.com
・[元ファイル名].[元拡張子]
を2個まとめてドロップしても同じメッセージが出ました。
これって、Emsisoft Decrypter for CryptON では無理という事ですよね…。(TT) >>619
>Cry36
>このランサムウェアは現時点では復号する方法が存在しません。
と、表示されました。。 じゃあ無理じゃ無いかな。
どうしても復旧したいなら
あとは一縷の望みを掛けて500ドル払うくらいしか無いかと。
勿論払い損になる可能性も有るけど、
いつか復号ツールが公開されるのを延々と待つよりはまだ希望があるかなと個人的には思う >>617
Emsisoft Decrypter for CryptONでだめでしたか
ページの説明に
".id-_locked", ".id-_locked_by_krec", ".id-_locked_by_perfect", ".id-_x3m", ".id-_r9oj", ".id-_garryweber@protonmail.ch", ".id-_steaveiwalker@india.com_",
".id-_julia.crown@india.com_", ".id-_tom.cruz@india.com_", ".id-_CarlosBoltehero@india.com_" and ".id-_maria.lopez1@india.com_".
とあったけど、ransomed@india.comが載ってないですね。
やはりCryptONの亜種の新型バージョンで現行の復号ツールでは対応できないみたいですね。 >>624
そうなんですよね、最近出回りだしたものなのかGoogleで「ransomed@india.com」で検索しても変な誘導サイトばかりで…。
こんなに大規模な被害は初めてなので、ほんと、しんどすぎます。。 ID:zb/4U/do0 です。
これまでにお金を払ってデータが戻った例ってあるのでしょうか…?
犯人はそれぞれ違うのでしょうけど。。 >>625-626
英語読めないならしかたないけど、612に
Emsisoftのdecryptorは今の亜種には効かないことも、
ID-Ransomwareのこともダメもとでできる(可能性がある)こともみんな書いてあるんだけどね
(てかgoogle翻訳も使えないの?)
最新情報が入るとすれば612のforumかemsisoftのサイトだろうし、
普通に検索したっていつものように詐欺ソフト誘導サイトばっかだろうし、
日本語で得られる情報って特にないよ そもそもバックアップもしていないし、.exeファイルを叩いた上でなおさら実行まで許可しちゃっているんだから
データを全部削除されたってしゃーないよね
危機管理能力の欠如なんだから事項自得でしょう
データサルベージ不能になって右往左往している連中と何ら変わらないように見える ランサムウェアに感染したらどうする? 本音で語るランサムウェア被害の復元と対策
ttps://mypage.otsuka-shokai.co.jp/contents/business-oyakudachi/it-security-course/2016/201608.html
>身代金を安易に支払うことを勧めるものではありませんが、
>事実から言うと、最近のランサムウェアは支払えば復元できるものが多いのです
2016年の記事だけど。
まぁ「過去の事例」なんて参考にならんよ。犯人によってスタンスが違うだろうし。
無駄金が嫌なら同一ウイルスの情報を海外のForumで収集しないと。
英語に触るのは嫌だけど無駄金も嫌なんて只の我が儘だろ >>626
ShadowExplorerを使ってボリュームシャドウコピーからファイルを復元する方法も626さんの場合、Cドライブ以外がやられているので、無理なので・・・
ということで結構厳しいっぽいですね。
ちなみにお金を払ってデータが戻った例ってあるのか?という話だけど、自分が見聞きした範囲では戻るほうの率のほうが高いです。
http://www.atmarkit.co.jp/ait/articles/1605/13/news101.html
とかね。この被害者は知人でした。
あとは、このスレのPart2で支払ってデータ回復できた人がいた。
https://tamae.5ch.net/test/read.cgi/sec/1457785786/617-644
他にも
http://tamae.5ch.net/test/read.cgi/sec/1468625700/5-6
や
https://tamae.5ch.net/test/read.cgi/sec/1457785786/87
もちろん、だからあなたも大丈夫とは言えませんが。
支払いの締め切り日とか書いてませんでしたか?
ファイルを取り戻すために金払う気が少しでもあるなら、平行して仮想通貨の支払いができる環境を準備しておいたほうがいいです。
取引所との契約とかしておかないとすぐには支払えないので。
もちろん安易に金払うことをすすめてるわけじゃないですよ。
実際、最初の記事の被害者は当時、金払って解除しましたが、あとになってTeslaCryptの復号ツールができて、結果的には金払わなくても解除できたということもありました。
http://www.itmedia.co.jp/enterprise/articles/1605/20/news068.html
でも後になって解除ツールができるかどうかは神のみぞ知るくらいのレベルです。
犯人と連絡が取れなくなったら金払って復号もできないですし。 復旧業者も結局犯人に金払って解除してるとか聞くしなぁ... >>631
この頃、身代金が1.25ビットコイン=6万円だったというのが驚きw
今は1ビットコインは80万円だけど、去年の12月には240万にもなってた
10ビットコインくらい買っとけば。。 ID:zb/4U/do0 です。
>>627 さん、
理解しました。。
>>628 さん、
仰るとおり右往左往しています。申し訳ありません。
>>629 さん、
英語が読めないこともありますが、そもそも知識が無いので理解に時間がかかるようです。
特に今焦っていますので。。
幸い?、犯人とのメールのやり取りに大して時間を要しておらず、元に戻る証拠として1個ファイルを送ってみろと言われています。
正しく復号されるようならば500$払おうかと思ってます。
ただ、bitcoin・etheriumをやってないので 何をどうしてよいのやら。。
>>631 さん、
仰るとおり、ShadowExplorerでは無理でした。
お教えいただいた記事、ありがとうございます。
熟読させていただきます!
支払い期限、いまのところ明記されていないような気がします。
返信されてくるメールも焦らすような文言は一切無いですし。
後々復号ツールが出てくるのでしょうけど、その保証はありませんし班員と連絡が取れなくなる前に勉強代として$を払う方向で考えています。
でもbitcoin・etheriumの知識が皆無なので、何をどうしたらよいのか調べなくちゃ。。泣
>>632 さん、
有りえそうですね。ちょっと笑ってしまいましたw
いまのところ業者に依頼するつもりはありませんが、情報をお教えいただきありがとうございます。
みなさま、差支えが無ければ引き続き復号出来る兆しが見えるまで お付き合いいただけたらありがたいです。
どうかよろしくお願いいたします。 >>634
あり得そう、ではなく、業者もやってることは、解除ツールが出てるやつは解除ツール使って、解除ツールが無理なのは身代金払ってやってる >>591 >>616
7のMSEなんてほぼノーガードに近い
あったら助かったかもしれない機能が全くないのだから まぁ、2010年のSecurity Essentials 2.0以降、8年間も機能アップはされてないもんな
毎年機能強化されてる市販セキュリティソフトやクラウド機能で検知率の大幅向上を果たしてるWindows Defenderと比べると厳しいわな windows7はメインストリームサポートは終わり、延長サポートもあと1年半強しかないからな 総合セキュリティソフト代をケチって、バックアップ代もケチって
それ以上の出費が必要となった悪いパターンだな >>638
それは今回の問題とはなんの関係もないけどな >>609
> ネットに転がっていたexeファイルをうっかりクリックしてしまい
転がっているEXEとはどういうこと(もの)でしょうか
いろんなソフトを扱っているサイトから有用そうなソフトをダウンロードしたということですか?
何かのソフト、または架空のソフトを装っていたのでしょうか?
また、ブラウザでローカルにダウンロード後実行したのでしょうか?
後学のためにもお手数ですがぜひ教えていただければと思います 私も
>>614の
>ちなみに、原因になったウイルス入りデータの配布場所は何となく把握しています。
が気になってました。
一体どこからダウンロードしてしまったファイルなのでしょう? アドレスを書くのが嫌なら、何を検索して辿りついたのか、サイトのジャンルだけでも書いてくれないとね
短縮URL踏んだ先にあったとか?
悪質なエロサイトでもexe単体なんてまず置かないと思うし、そういうサイトはセーフブラウジングでブロックされる危険もあるので広告収入のサイトではメリットが無いのでやらないよね
それとも、SmartScreenやセーフブラウジングでブロックが出来ないAWS上に置かれてたとか? そう思い込んでるだけで、
実際はRDP開けっ放しでそこからだと思うが
記事にもあったように RDP開けっ放しは普通だけど、ルーターがRDPを普通は通さない 「ウイルス入りデータの配布場所」って言ってるから割れ系じゃないのかね?
市販ソフトかゲームのクラック済みexeのつもりで拾ってきたとかそういうオチ。
非正規と自覚してるからSmartScreenの警告を無視して実行したとかなら割と納得できる ID:zb/4U/do0 です。
風邪ひいて全身がぎっくり腰みたいに痛くて寝込んでました。。
>>641->>645
あらかた >>646 さんの仰る通りです。
URL載せようと思ったら、DLされるファイルが違うものに置き換わってました。
以下、経過報告です。
犯人とはチャットツールではなく、暗号化されたファイル名に書かれているメールアドレス先と直接やり取りをしているのですが、
「we can decrypt 1 small file for free. for this, pack the file into a rar archive, load it on sendspace.com and send me a link」
という事で暗号化されたJPEGを送ってみたら、復号されたものが届きました。。
という事で、賛否はあるとは思いますが500$払う事にしました。
犯人からは「my bitcoin wallet [34文字の乱数字]」の送り先口座番号?の情報が届いています。
とりあえずBitcoinに関しての知識が無く、開設までに時間が掛かることもあるという事なのでとりあえずGMOコインとDMM Bitcoinの2か所に申し込んで口座開設をしました。
いま現在、たぶんBitcoinが買える状態です。…いきなり500$分を買えるのか不明ですが。
さて、これをどうしたらよいのか、 >>631 さんからの記事を読んでいます。
Bitcoinの買い方〜送り方云々は専用板で聞いた方がここの皆さんにご迷惑掛からないですよね…? >>647
買い方送り方は相談するならツイッターとかで接触出来る専門家に相談して、オープンでやったほうがいい
掲示板だと悪い奴が近付いてきて騙される可能性がある >>648 さん、
なるほどです。
Twitterではあまり社交的なことをしていないのですが、相談してみます! >>647
報告乙です
ひとつアドバイスしたいのは、払うと決めたなら、できるだけ早く支払いしたほうがいい
のんびりやってると、相手は騙すつもりがなくても、相手が警察などに逮捕されたり、または他の理由で活動を停止したりすることもあるので、ずっと連絡を取れるとは思わないほうがいい >>650 さん、
アドバイスありがとうございます。
GMOとDMMの口座を開設したはいいけど、Bitcoinの買い方がいまいちよくわからないことと、
犯人から一言だけ「https://blockchain.info」と送られてきたんだけど、この使い方が全く分からないんです…。
ひとりで夜な夜なサイトを回って調べていますが。。 そもそも、人に言えないような実行ファイルをダウンロードしてなったんだから、次回も拾ってやらかすだろうな。 払わない方がもちろん良いのだろうけど、ほかにデータを回復する手段がない場合はやむを得ない ID:zb/4U/do0 です。
ご報告が遅くなりましたが、
13日の夕方過ぎにBitcoinを送金予約、
14日の昼過ぎに送金完了、
15日の深夜に犯人からunlock.rarのダウンロードURLと起動用ID(暗号化されたファイル名内の9桁の乱数字)とパスワード(700桁の乱数字)が記載されたメールが届きました。
RARのファイルサイズは183,156 バイト、解凍後のunlock.exeは421,376 バイト。
で、さっそく作業開始すると、どんな大容量のデータでも一瞬にして復号化されていき、数時間で全てのデータが復号化。
但し、ファイルのプロパティにある「更新時間」が復号化された時間になってしまうという少し残念な結果ではありますが。。
最終的な被害金額は、交渉開始時に$500US相当のビットコインのレートが0.066BTCで日本円で55000円くらいでしたが、6/13時点では47000円ほど(諸経費除く)。
いろいろとご教授いただきました皆様、本当にありがとうございました。
以後、いろいろと気を付けたいと思います。 >>655
結果報告乙でした。
騙されなくてよかった。
ちゃんとデータ復元できたようでなにより。
あとは、マイクロソフト以外のセキュリティソフトに変えることをおすすめ。
AVLabというところで各種セキュリティソフトでランサムウエアに対するテスト結果が発表されていたけど、マイクロソフトのWindowsDefenderだけ成績が悪い。
Security EssentialはWindows Defenderよりも性能が劣るので論外・・・
https://avlab.pl/sites/default/files/inline-images/AVLab%20tabelka%20Ransomware.png
https://avlab.pl/en/best-antivirus-software-2018-based-three-security-tests 5万で済むなら安いもんだわな
業者ならそれ以上取りそうだし 業者は被害者から15万とって5万を犯人に払って復旧するからね 業者がランサム流して身代金ゲット!自分が流したやつ修理頼んできたら犯人に払う分も必要なく丸々ゲット!
とかそのうちやりはじめそう ランサムなんて作ってばら撒く奴はその業者みたいなものだろ、実質 >>656 さん、
プロバイダがJcomなので、とりあえずはそこで配布してる「マカフィー for ZAQ」を久しぶりに入れました。
…時々重くなるので気が引けるのですが。
https://cs.myjcom.jp/knowledgeDetail?an=000477720
>>657 さん、
結果的に元に戻せた事とこの程度で済んだのはのは不幸中の幸いというか、勉強代として納得してます。。 >>658 さん、
なんだかなあ…
いい人ばかりじゃない世の中、切なくなります。。
>>659 さん、
>>660 さん、
案外多いと思います、いわゆる自作自演的な。
だって、ばら撒くだけでは誰徳?ってハナシですもんねえ。。 >>661
「気が引ける」の意味を辞書で調べた方がいいと思います >>ばら撒くだけでは誰徳?ってハナシですもんねえ。。
金払った奴が言うことじゃなくねw >>665 さん、
自分への恨み節というか、嫌味ですw >>667 さん、
3年で3980とは!
メモメモφ(・ェ・o) >>671 さん、
はい、そうさせていただきます
ありがとうございます もうずっと遊んでいるフリーゲームを久しぶりに起動したら初めてランサムウエアが検出、 復元出来ないファイルしぶしぶファイル削除したけどどっから出たんど いろんな企業が感染してるけど予防策ってないんだろうか >>676 今だとレンタルUTMかな NTT東日本がやってる奴 >>676
メール使うのをやめるw
いや、以外とマジで効くと思うよww >>678
箱置く奴か
結局パケット監視じゃないのかね
>>679
そりゃそうだバカが一番の原因 >>676
管理者権限を持っているユーザーがメールの添付ファイルが.exeでも実行しちまうんだから防ぎようがない
制限付きユーザーとして使わせて、これらの実行時に要求される管理者のパスワードは絶対に教えないことだな 屁の突っ張りにもならないことはないと思うので
とりあえずAcronis Ransomware Protectionを入れてみた WebページのCMに含まれる怪しげなスクリプトとかを
完全遮断できるなら屁の突っ張り程度には役に立つかも 私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。 知り合いがnmijjtbっていうのを食らったらしい
くっそめんどくさい ググっても中国語か朝鮮語しか出てこないな
あっ・・・(察し) 復元出来ても単なる個人の環境とは違うから大変そうだな GANDCRAB 5.0.4に感染してしまいました。
動画や写真が、すべて読み込めなくなりました。
配布されているツールも試してみましたが、だめでした。 ランサムウェア「GandCrab」対応復号ツール、100万ドル超の被害回避--Bitdefender報告
ルーマニアのセキュリティ企業Bitdefenderは、先週ランサムウェア「GandCrab」に対応する復号ツールを無償公開してから、被害者がGandCrab攻撃の犯人グループに総額100万ドル(約1億1300万円)超の身代金を支払うのを防いだとしている。
Bitdefenderによると、ツールをリリースしてから数時間で、少なくとも1700人以上の被害者がGandCrabによってロックされたファイルの復号に成功したという。
Bitdefenderは10月25日、欧州刑事警察機構(Europol)やルーマニアの警察当局などの法執行機関と協力して、GandCrabの複数のバージョンに対応する復号ツールを無償公開した。
このツールは、GandCrabのバージョン1(拡張子「.GDCB」)および4(拡張子「.KRAB」)、5(複数文字のランダムな拡張子、現時点の最新バージョン)に対応している。
Bitdefenderが復号ツールを公開した翌日、GandCrabの犯行グループもBitdefenderによる復号ツールに対抗できる新バージョン「v5.0.5」をリリースしたとしている。
Bitdefenderによると、「最も被害が多いのはGandCrabのバージョン4と5」だという。
多くのセキュリティ専門家が、ランサムウェアに暗号化されたファイルを置いておき、数カ月中に公開される無償の復号ツールを待つよう、常に被害者にアドバイスしているが、BitdefenderのGandCrab対応復号ツールはそうした理由を示す好例だ。
https://japan.zdnet.com/article/35127946/ >>690
5.0.4なら、BitDefenderの復号ツールで復号できるようなニュアンスのことが書いてるがダメなん? 感染したファイルの名前が、複合化ツールに記載されてるものは、おそらく復元できると思いますが、当方のファイル名は記載されてるものではなかったので、だめでした。 感染経路はグーグルクロームのブラウザに、インストールされていないフォントが
あります、とかポップが出て、何気なしにインストールクリック。
ファイルが感染して開けなくなって調べてみたら、そのフォントをインストする
ポップがランサムウェアの感染の典型でした。 とりあえず、USB接続のHDDにバックアップしていた動画や写真は被害無しだったのが
不幸中の幸いでした。バックアップは3つのHDDに取っていましたが、マザボにつなげて
いるものは全滅です。
なので、ネットサーフィンはノートパソコンかタブレットオンリーでやることにして
メインのディスクトップパソコンでは、ネットをしないことにしました。
ウィルスソフトは亜種などを含め、意味がないように思われるためネットは
被害が最小になるよう、端末は分けようと決めました。 そういう考え方もそれはそれでわかるけど、
696氏もいうように、
その感染経路というかパターンってもうたぶん2年くらいは前からある方法で、
ふだんからある程度定期的に、その手のセキュリティのニュースに何らかの形で接する習慣をつけたほうがいいと思う
もう判で押したように同じパターン、で流行り廃りがあるから
範囲が狭く済むだけで、またかかるよ 今回の件で、絶望の闇の底に突き落とされたのです。
唯一の救いが、外付けのHDDが助かっただけでした。
思い出の家族の写真や動画が、危険にさらされないようにするのなら
多少の不便はしかたないと、受け入れようと思っています。 >>695
exe系の実行には実行許可のダイアログが表示されただろうよ
ユーザーアクセス制御を無効にしちまっているんなら自分の責任だし、
脆弱性の云々は実行ファイルにゃ通用しないよ
管理者権限で使っているんならそれくらいは自覚しとかにゃいかんよな >>695
セキュリティソフトは何も入れてなかったん?
それとも入れていたけどブロックしてくれなかったですか? >>697
将来的に、復号ツールが5.0.4にも対応できるようになる可能性があるので、ファイル自体は残しておいたほうがいいと思うよ >>699
絶望の闇の底、というくらいまでのダメージ受けてるなら身代金払ってデータ回復したらいいのに
このスレでもどうしてもデータが諦められないひとは金払って、データ回復してる例がある >>609-655
過去スレでもいた
もちろん100%戻るという保障はないから、最終的には自分で判断するしかないけどね 泡立てるパワーは凄く強いです。浅いコップだと、勢いがありすぎて、こぼれます。コップに蓋をするなどして、
こぼれない工夫が必要かと思います。また、本体を立てることができるスタンドがついているのは便利でした。
星を1つにしたのは、数日で壊れたことです。棒が折れてしまい、すぐに使えなくなり残念でした。 コップからこぼさなくなるまでグンマーの豆腐屋で修行しろ ランサムウェアってなにかなぁ
テロリストに捕まったとき着せられる
オレンジ色のやつかなぁ tp://d2gfnym7wzulsm.cloudfront.net/pc_shleld_lite_2/index.html
---------------------------
Web ページからのメッセージ
---------------------------
Windows Security Center: Your PC Shield Internet Security subscription has expired today. Renew now to protect your computer from the latest Ransomware viruses.
---------------------------
OK
---------------------------
これってランサムウェアです? >>711
Windowsセキュリティセンター:PCシールドインターネットセキュリティのサブスクリプションが今日満了しました。
最新のRansomwareウイルスからコンピュータを保護するために今すぐ更新してください。 というかランサムウェアだと思ったならそんな危険なアドレスを直接貼るなよw ネカフェのPCに繋いだ外付けHDDがランサムウェア(GANDCRAB 5.0.4)にやられたみたいで
画像ファイルとかが拡張子変更されてたんだけど、これってHDDをフォーマットすれば大丈夫なの?
なんか拡張子変わってないファイルもあるけどそれは残しておいても問題無いのかな? >>716 大丈夫
ただ、ネカフェにデータの入ったストレージを持ち込む時点で脇が甘いんじゃね?
普通に考えて、そういう脇の甘い奴は自宅でもやらかしてる ファイルは消えるが、初期化してしまえばランサムウェアなんて関係なくなる。
勿論、バックアップは取ってあるんだよな?
無いのだとしたら脇が甘すぎるわw >>717、>>718
そうなのか情報サンクス
ランサムウェア初めてだったからネカフェでいきなり背景変わった時はアレ?くらいにしか思わなかったわ
やっぱりバックアップ取るのってめんどいけど大事なんだな…(初歩的) まともなネットカフェだと電源落とす度にOSイメージが復元されてウイルスなんて気にしないでいいんだけど、そうじゃないところもあるんだな >>720
今どきのネットカフェって、そんなことになっているのか!
たまがったばい >>722
今どきの、って言うけど、10年以上前からそういうシステムのネットカフェは多かったよ
こういうやつ
https://www.tbpress.jp/solution/recovery.html 以前と比べると最近はランサムウェアの感染の話、あまり聞かなくなったよね?
もちろんなくなったわけじゃないけど、一時は大騒ぎしてたのに今は全然って感じ 知名度が十分に上がってきたからじゃね?
大半がメールの添付ファイルとかネットに転がっているexeとかだから
まぁ存在と危険性を知ってれば避けることは容易だし。
勿論例外もあるから感染者は今もいるんだろうけど マカフィー入れてたが
GandCrab5.1にかかってモーター RansomFreeはサポート去年終了してるんだな >>726
マジかよ
マカフィー防いでくれなかったのかよ
入れてるんだが
マジで怖いがな Ransome free マジだった。。
https://www.cybereason.co.jp/news/info/3074/
無償版でまだ生き残ってるのはAcronisのくらい?
Malwarebytesのはずっとベータテストしてたけど有償版に機能統合されたよね 助けて下さい
出先で外付けHDDを繋いだところGandCrab V5.1にやられました。大切なデータが多く諦められません。
質問なのですが、
1.このHDDを他のPCに繋いでも大丈夫でしょうか(感染が広がったりしないか)
2.拡張子が変更されていないファイルもあるのですが使用しても大丈夫でしょうか
3.GandCrabを駆除するおすすめの方法を知りたいです
4.データの復旧は可能でしょうか、また、その方法はどうすればいいですか?
近日に使用するデータもあり、頭を抱えています。どうかお力添えをお願いします。 まあ無料でってなら無理だね。
現状金はらうしかない >>734
1
たぶん大丈夫
でも最悪データが消えてもいいPCで体験版でもいいのでカスペルスキーかノートンの入ったPCでスキャンすることをおすすめする
2
大丈夫
3
どういう意味で「駆除」と書いてるのわからないけど、感染したのは「出先」のPCなので、外付けHDDにはウイルス(ランサムウェア)はいないはず
まぁ、万一という事もあるので、1で書いたようにチェックしたほうがいい
もし見つかればウイルス対策ソフトが駆除してくれる
4
GanCrab 5.1は現状、身代金を払う以外にデータ復旧する方法はありません
5.0.3までは復号ツールが出てるので、将来的に、5.1も5.0.3までと同じように復号できるようになる可能性もありますが、永遠に復号ツールが出ない可能性もあります。
どちらかは現時点ではわかりません。
どうしても暗号化されたデータを復旧させたいなら身代金を払えばデータが戻る可能性は高いですが、100%戻る保証があるわけではないので、おすすめするわけではないです。
このスレでも過去スレでも、身代金を払ってデータ回復した例はあります。
>>609-655 >>734
> 近日に使用するデータもあり、頭を抱えています。どうかお力添えをお願いします。
近日中にどうしてもデータが必要ならいつ出るかもわからない5.1対応の復号ツールのリリースを待てないだろうから身代金を払うしかないかもしれないですね
100%の保証はないがこういう話も
http://ascii.jp/elem/000/001/159/1159153/index-2.html 総合セキュリティソフトとは別枠(共存可)のランサムウェア専用対策ソフトって
大分下火になってきた気がするけど2019年現在で実用性的にどうなんだろう? 私もHDDのアクセスが激しいと思ったら5.1に感染していました、打つ手はないようなのでGMOとDMMの口座開設の手続きをしました。 >>736-737
ありがとうございます。
身代金を払う以外の復旧手段は無いのですね・・・
HDDが大丈夫そうなら残っているデータを確認して対応を決めたいと思います。 >>739
セキュリティソフトは何を使ってました? 訳のわからない添付ファイル実行したとか以外で感染するんか >>741
マカフイーでWindows7です、感染元はわかりません、復旧したらWindows10にしようと思います >>743
マカフィー使い続けるなら738の言うランサムウェア専用対策ソフトも入れたほうがいいですね >>732
教えてくれてありがとう
Malwarebytesのがベータ版でも更新されてるのはありがたい
以前入れてて特に問題はなかったし、これをあらためて入れることにする >>726氏と>>743氏って同一人物?!
別人だったらめっちゃ怖いわぁ、俺もマカフィー使ってるから。。
マカフィー、GandCrabの最新版を検知出来ないのかね?! GandCrab感染経路
1.Webサイト閲覧(ドライブバイ・ダウンロード)
『条件』
(1)最新のWindows Update が実施されていない
(2)Adobe Flash Playerが最新版ではない
2. ウイルスメール
(1)迷惑メールの添付ファイルを開いた
(2)迷惑メール本文中のリンクからダウンロードしたファイルを開いた
3.exeを拾い食い
こんなとこ?
マカフィーに限らずウイルスとセキュリティソフトは所詮イタチごっこだから
今のは検知できても次の亜種を検知出来るとは限らないよ。 739です
複合までいけたので報告します
まず、作成されたtxtに書いたあったアドレスにTorでアクセスしたところ、身代金、送付アドレス、身代金倍増までの時間
が表示されました、身代金はDASHで$550US、BITCOIN(+10%)と提示されていました。
開設まで間に合いそうにないのでチャットで伸ばしてもらいました
1/30に開設できたので、DASHは取り扱いがないのでBITCOINで送金、30分後位に画面が変わりDecryptorがDLできるようになりました。
送金額は日本円で65000円ほどになりました。
DLしたDecryptorで複合中ですがコマンドプロンプトで実行されバックアップを取りながら複合しているので遅いです
24時間以上複合しているのですがまだ終わりません
高い授業料でした。 貴方はそれでよかったかもしれないけれど、
そのいわゆる身代金が次のランサムウェアの開発や拡散に使われ新たな被害者が増えていく、
という現実にもキチンと向き合って欲しいね >>748
報告ありがとう
流れが参考になりました
高い授業にはなったかもしれないけど、身代金を払ったが復旧できないという最悪のケースにはならなかったようでよかった 24時間以上かかるとか復号ってそんなに時間かかるんだ
暗号化されるのはあっという間なのにね 今流行るなら「即位しませんかスパムメール」も
立太子ボタン押したら暗号化させるタイプなんだろうな >>749
大事な我が子が誘拐されました
身代金を払えば返してあげるけど、払わなかったらもう返ってこないよ、と言われてやむなく身代金を払った人を非難できるでしょうか?
いや、できないでしょう
もし彼が身代金の支払いをしなかったら、今後ランサムウェアの被害は減るのでしょうか?
いや、払っても払わなくても変わらないよね
タリバーンのテロ組織とは違うんだから >>754
PCのデータは我が子ではない
非難してない
例えば、誰一人として身代金の支払いをしなければ経費倒れに終り次のランサムウェアの開発や拡散は不可能になる
> という現実にもキチンと向き合って欲しいね
という話
理解できない人はいちいち出てこなくていい >>752
俺のところにもおととい、「Erika Toda」を名乗るメールが
来てたな、速攻で消したけど。 「現実にキチンと向き合え」って具体的に何にどう向き合えって言ってるんだっつー話だよな
たぶん言ってる本人もわかんないんだろうが
自分が格好つけるつけるために言ってるだけじゃね
>例えば、誰一人として身代金の支払いをしなければ
ありもしない妄想かよ
アホくさ 言いたいことは分からんでも無いが
2016年時点でランサムウェア制作者が手にした金額は10億ドル以上って言われてるのに
2019年時点の6万円そこらに目くじら立てるのはなぁ
お前が海にしょんべんしたから津波の被害が増えたばりのアレだわ おぉこんなことでえらいカッカするヤツ多いんだな面白い
被害者が、カネを払うことで犯罪者側に資金援助という形で加担する、
単なる被害者から被害者兼加害者になっちゃう、
という無色透明な話なのにな
ここで、テロ組織に身代金を渡すなー! とか書くと安倍がーの人が現れたりするんかな >安倍がーの人が現れたりするんかな
でたw論点ずらしw
>誰一人として身代金の支払いをしなければ経費倒れに終り
>次のランサムウェアの開発や拡散は不可能になる
こういうことをのたまうのは、無色透明というより純粋無垢だよ。
無学無能と言い換えても良いレベル。 >>748はこのスレにあくまで厚意で、ランサムウェアに感染後の対応という役立つ報告をアップしてくれてるのに、何様か知らんが無関係の>>749があんなただの理想論で上から目線で諭すとか笑止千万だわ
こんなやつがおると今後、事後報告してくれる人が減るかもしれない
せっかくの生のリアルな情報がやりとりされる場なのに
ということも分からず無意味なチャチャチャ入れるようなやつだから馬鹿なんだろう 捜査情報の入ったCD-Rからウイルス感染、福岡県警がイントラを一時停止
ttps://tech.nikkeibp.co.jp/atcl/nxt/news/18/04092/ >>770
ファイルをコピーした事実が正しいのならその後に.exeを実行しているからだ
コピーなどしていなくてもCD-R内にあった.exeファイルを直接実行しているかも知れない >>771
そこまでアホじゃないんじゃないか
俺の妄想では、捜査情報ってのは押収した電子メールで、添付ファイルがWord形式
開いてマクロが実行されてランサムウェアを呼び込んだパターンかな、とか やっぱランサム対策にはそれ専用のアンチランサム入れないと
駄目か?
win10の設定が飛んじゃって、面倒臭いからしばらくほっぽって
Linuxを使ってたら、いつの間にかサイバーリーズンのアンチラ
ンサムのサポートも終わってたしなぁ、どうしよう・・・ 最終的にはユーザーアカウント制御画面の警告確認画面が表示されているのに
(添付ファイルでも展開後に最終的には実行ファイルに対しては確認画面が表示されます)
どの実行ファイルに対して制御が掛かっているのかも確認しないで使用ユーザーがOKしてしまうんだからムダです UAC回避のランサムウェアなんて数年前から出回ってるけどな 特権昇格の穴と組み合わせているのに引っかかっているんなら
さっさと穴を埋めるの方が先だよな
そんなヤツらは勝手にどんなものにでも引っかかっていて下さい 意味不明ならもっと知識が必要だな
こんな所でアドバイスなんてしていないでもっと勉強しましょう ユーザーアカウント制御を回避するランサムウェアやマルウェアなんてなんて数年前から出てるのに
https://www.mbsd.jp/blog/20171012.html
https://tech.nikkeibp.co.jp/it/atcl/news/15/020900463/
>最終的にはユーザーアカウント制御画面の警告確認画面が表示されているのに
(添付ファイルでも展開後に最終的には実行ファイルに対しては確認画面が表示されます)
>どの実行ファイルに対して制御が掛かっているのかも確認しないで使用ユーザーがOKしてしまうんだからムダです
とかしたり顔で言う無能 >>766
仰る通り。
そもそも >>749 は何故上から目線なのか?非常に不愉快。 ユーザーアカウントの制御画面をパスするって事はsysytem権限で実行されるって事だぞ
管理者権限で実行されていたら確認画面は表示されます
その最初の画面でOKしてしまっているから感染しているのですよ
それらのサイトの内容は全く信用なりませんw 脆弱性の穴を突いて実行して権限昇格ってのは管理者権限で実行すると
勝手にウィルスなどの実行プログラムがsystem権限に昇格されて実行されちまうって事だぞ
だから、ユーザーアクセス制御画面をスルーする
嘘っぱちな記事なんて信用しているんじゃないよ
まあ、今の所サイト閲覧だけで実行されるようなものはここのところずっと発生していないようだから
問題なさそうだけどoffice製品の穴辺りは放って置くとヤバいかも知れないけどさ・・・ >ユーザーアカウントの制御画面をパスするって事はsystem権限で実行されるって事だぞ >>782
https://tech.nikkeibp.co.jp/it/atcl/ncd/14/457163/020900436/
> 1)Dridexが、アプリケーション互換性データベース($$$.sdb)、バッチファイル($$$.bat)、Dridexのコピー(edg3FAC.exe)を作成する。
> 2)アプリケーション互換性データベースのインストール・アンインストール用コマンド「sdbinst」を使用して、$$$.sdbをインストールする。
> 3)iSCSIイニシエータのコマンドラインツール「iscsicli」をDridexが起動。$$$.sdbの設定に従って、iscsicli.exeが$$$.batを管理者権限で実行する。
> 4)$$$.batがedg3FAC.exeを管理者権限で実行する。
>
> 以上が可能になるのは、sdinst.exeやiscsicli.exeのような自動昇格プログラムは、プログラム起動時にUACの警告を表示することなく管理者権限に自動的に昇格するためだという。
>
> JPCERT/CCでは、今回紹介した新手法は従来の手法によりもシンプルなので、今後Windowsの仕様が変更されたとしても、継続して用いられる可能性があるとしている。
> また、Dridexだけでなく、別のウイルスで使われていることも確認しているという。
シンプルに悪質な手口で草生える
ユーザーアカウントの制御画面はいつも使っているアプリケーションでも毎回表示される設定なせいで
そもそも動作が習慣化しやすい人間が毎日継続して使うことを前提にした設計になってないし
いつか自分も被害に遭う可能性を考えると頼りないな >信頼できる企業・組織にデジタル署名されているプログラムと、
>sysprep.exeのような自動昇格プログラムを組み合わせて、ウイルスを管理者権限で実行させるという。
これは、いつも問題になっているバッファオーバーフローなどの脆弱性を利用しているものと推測される
こいつはいつもsystem権限に特権昇格して実行されてしまうので、決して管理者権限としての実行ではない
管理者権限で実行されたものはUACアカウント制御の画面が必ず表示されます
でも、マイクロソフトのOSなので確実ではない可能性は十分にありますよ GANDCRAB v5.1用の複合ツールはまだか!? UAC回避機能を複数搭載したランサムウェア「HkCrypt」
https://www.mbsd.jp/blog/20171012.html
たったのこれだけでUAC回避って・・・ まあ、UACなんて80%くらいの人が無効にしてるだろう 検索したんだけど「HkCrypt」の実態がわからん
これは自体は実行ファイルですよね?
普通にクリックしたのでは、最初に一度だけUAC制御画面が表示されると思いますよね
脆弱性を利用して普通の実行ファイル以外のものが走った際に主にやられてしまうものなんでしょうかね?
実行しちまうとUAC制御画面をスルーするだけですか?
この説明を見る限りは各ベンダーがリアルタイムスキャンで対応していて当たり前の挙動だと思いますが
未対応なんですかね? 『「HkCrypt」が実装していたUACバイパスの手法は、今年になり海外のウイルス対策ソフトウェアベンダーの
セキュリティ情報サイトで言及(※)されたUACバイパスの手法と同一であることが判明しました。』
Fileless UAC Bypass Uses Windows Backup and Restore Utility
https://threatpost.com/fileless-uac-bypass-uses-windows-backup-and-restore-utility/124579/
>>This attack, similar to a UAC bypass using the Event Viewer feature disclosed
>>by Nelson last summer, is fileless
>> “From an attackers perspective, this reduces the risk of their malware/payload getting detected
>>and quarantined by different security products.” 読む限りrootにsetuidされたプログラムが走らせるスクリプトのパーミッションが777に設定されてるようなもんだと思うんだけど
修正されずに放置されてんの? お前のセキュリティーソフトは新種・亜種すべてに対応してる、完璧なものなのか?
実行ファイル???
お笑いものだな totalvirusってあるよね
あれのハッカー版があるんだよ
作ったウイルス検知されないか調べるHPがある >>796
>脆弱性を利用して普通の実行ファイル以外のものが走った際に主にやられてしまうものなんでしょうかね?
この言ってる意味がわかるか?
トリガーになる「HkCrypt」になる実体ファイルは実行ファイルなのか?あんたにはわかっているのか?
それならば説明が欲しい
私が >>791 の最初にexplorer.exeの配下で起動されているものを見る限りは
実行ファイルだと思われる
てことは、一般的な感染ルートとして何らかの脆弱性の基でこの実行ファイルが起動されていると考えます ランサムウェア「GandCrab」の復号ツールが機能強化 - 最新版にも対応
http://www.security-next.com/102646 なお、5.1までの復号ツールがリリースされたため、2/19に復号ツールが効かない5.2がリリースされた模様 RSA-2048の鍵をどうやって生成するのかよく分からんけど
1ファイルは無料で復号できるってのが穴になってるんだろうか? GandCrab 5.1の複合ツールで早速復号させて頂きました。
ありがたやありがたや。 >>803
それは関係ないんじゃないかな
一時猛威をふるったLockyも1ファイル無料で復元サービスあったけど、結局、復号ツール出なかったし
GandCrabも流行ってるけど、復号ツールと新バージョンのいたちごっこになっている
脆弱性が見つかりやすいのかな >>804
ホントによかった
復号にはそれなりに時間かかるの? >>806
物凄く速かったよ。バックアップ有り(オプション)でも。
ただ、セーフモード(+ネットワーク)で実行しないと、途中で進まなくなる事があった。 GandCrab 4/5はファイルの先頭1MBしか暗号化しないと書いてあるね >>808-809
なるほど、そうなのね
ありがと >>804
改善報告有り難い
よければURL載せていただけると助かります 本当にこれ国内で相当数の感染あるのかな?
どうもマッチポンプの気がするな 最近、芸能人の名をカタり、圧縮ファイルを添付した変なメールが
くるもんなぁ。
いつも速攻で削除してるが、先週は「戸田恵梨香」、今朝も「金城武」
からメールが来てたw >>811
>>800の記事にリンクはってあるだろが >>815
日本語の壁は大きいよね
完璧な日本語で巧みに添付のマクロ入りWord文書を開かせるような文面だったらもっと感染者はもっと増えると思うわ >>814のサイト右下部にある「GandCrab (V1, V4 and V5 up to V5.1 versions)」で5.1の復号化できた
貴重なエロDVDのデータだから助かったわ 「Takayuki Yamada!」など、日本の芸能人(男女を問わず)の件名の不審メール、午後もバラ撒かれています。
添付されたファイルは、GandCrabランサムウェアに感染させるマルウェア(広義にはウイルス)ですので、絶対に開かないよう、お気を付け下さい。
https://twitter.com/harugasumi/status/1099917637117591552?s=21
これ、GandCrab 5.2を落としてくるマルウェアらしいが、新種(亜種)が出たばかりではセキュリティソフトの定義ファイルではほとんど検知できないな
https://www.virustotal.com/ja/file/736895b5b6b194e55499c6ee6004fe2be2c90d079d7d59ed319c510a12ec675d/analysis/1551073656/
ヒューリスティック検知とかで見つけてくれるのかしら
併用可能なランサムウェア専用のセキュリティソフトもいくつかあるけど効果があるのかいまいちよく分からない
https://twitter.com/5chan_nel (5ch newer account) さっきチェックしたら、また来てたわ〜
今度は、「阿部寛」と「クリスタル・ケイ」w 挙動自体はファイルの暗号化&元ファイルの削除一括処理.batだから
OSの機能として暗号化が行われる際はバックアップを取るようにして
削除含めた複数の処理が行われた場合はユーザーに確認を促して続行するか中止して復元するかを選ばせるだけでも止まるんだけどな ランサムウェアに感染するようなレベルのやつの言うことなんて説得力ゼロだわ 元ファイルが生のまま別途保存される暗号化処理って何の意味があるん? 暗号化処理するのはランサムウェアの挙動で
その暗号化処理が行われる前にOSがバックアップを作っておくってことじゃね 普通に考えて暗号化したブロック毎に逐一元ファイルに上書きだろうに 別にOSに暗号化をお願いするわけでもないから
ファイルを読んで読み込んだ内容を何か処理して上書きするってプログラムにしか見えないよ
もちろん誤爆を恐れないならそういう挙動をヒューリスティックに検出するってのはありうるけど >>825
暗号化処理がランサムウェア由来か判断できないから
OS側で暗号化処理を察知したら毎回元データのバックアップを取るようにしろって話やぞ ファイル上書きの場合はユーザーに確認獲れるまで別途バックアップ領域に一時保管しておくってのは良い線行ってるかもな
OneDrive/GoogleDrive/iCloud普及させたい思惑とも一致するだろうし そもそもアプリのアップデートでファイル更新される事との違いすらOSにはわからんだろう
一体何Gのバックアップが必要になるんだよと GB程度で済むなら設定する人多そう
アプリケーションのアップデートの時もどの領域が書き換えられているのか明示されたら
偽のアップデーターとかアドウェア混入の判別も付きやすいだろうし GBオーダーの上書きと削除を毎回ユーザーに続行するか中止するか確認せるのか スナップショット系のバックアップで5分ごとにバックアップをとる製品はあるから無謀ではないよね 今朝もいろんなやつからメール来てたな、「中森明菜」や「新垣結衣」
既に故人の「藤圭子」からも来てた (^^; 拡張子がqweuirtksdに代わってしまった。それとビットコインで支払えというtxtが貼られている バックアップから復元して犯人たちをあざ笑ってやればいいだけ NASでpassなしor簡易なpass?
モスクワの子がまたヒマになったか >>837
はい、これはNASでPASSなしでした。
qweuirtksdはNASを狙ってくるんですか? >>839
情報ありがとうございます。
NASの中にできたexeファイルを何回も削除しても生成されちゃって困ってましたが、
PASSを掛けたら 止まりました。
ということは外部からずっと入ってきたんでしょうか。。
とりあえず復元できる情報がなかったので
qweuirtksdの拡張子を消してそのまま使えるか試しました。
結果 mp3ファイルは 出だしの数秒が消えていましたが他は再生できました。 日本の芸能人の名前を件名にした悪質メールが拡散、ダウンロードされるのはランサムウェア「GandCrab」やスパムボット「Phorpiex」など
https://internet.watch.impress.co.jp/docs/news/1178925.html cryptotesterがkasumiとかmistyにも対応してくれてたらなぁ パソコンのファイルの拡張子の後ろに.lodetという拡張子が書き加えられてしまいファイルが開かなくなりました。
.mp3.lodet
.pdf.lodetなど
これもランサムウェアでしょうか? 挙動を見る限りそれっぽいね
金銭を要求されてるなら確実 >>844
ありがとうございます
やはりそうなんですね…
この状況を解決する手段などあるものなんでしょうか?
調べてみても.lodetの症状は見つからなくて… 「No More Ransom」プロジェクト
https://www.nomoreransom.org/ja/index.html
とりあえずここで確認してみるといいよ。
多分、一番情報が集まってるサイト >>846
情報ありがとうございます。
ここに2つのファイルとテキストデータを入れた所、エラーが表示されてしまい何も得られませんでした… まぁ今の時点で感染発病する時点でもうまともな対抗策は出てこないよ
諦めたほうが速い 一応情報の共有というか…
ここのサイトに誘導されました。
http://www.torproject.org/ ところで金銭の要求はされてるの?
ビットコインで払え的な >>8
まだ要求されるような画面には入って無いのでわかりません…
犯人がパソコンのいたるところに残した同じ内容のテキストデータを見ると、上のサイトに誘導されるような内容だったのですがまだ怖くてみてません いまテキストデータを読んでて気がついたのですが、ウイルスの種類はgland crabというもののようです。 GandCrabなら復号ツールが>>846で公開されてるね。
バージョンが合えばだけど 自分の知識が足らなくて感染したバカだと思って諦めましょう
次回からはきちんとバックアップしてオフラインとして置いておきましょうね
企業内でやらかしたのならば相当なアホですねw 拡張子にcodnatがついてますが、これは何にランサムウェア何でしょうか?
対策は? 対策:クリーンインストール
今後:AI、ふるまい検知強化のアンチウイルスを入れる
去年からファイルレスなマルウェア・ランサムが増えてきたんで
ファイルR/Wをトリガに検知するアンチウイルスは無抵抗・無防備状態
ゼロデイも増えてきたので考え方の切り替えが必要だと思う
Cylanceとかかなぁ 「WannaCry」型マルウェア再来の恐れも
Microsoftが5月の月例更新プログラムを公開
Microsoftは、5月の月例更新プログラムで79件の脆弱性に対処した。2017年に猛威を振るった「WannaCry」のようなマルウェアに利用されかねない脆弱性も含まれる。
https://www.itmedia.co.jp/enterprise/articles/1905/15/news075.html
ことの重大性に鑑み、なんとXPにもパッチ提供とのこと >>862
IObitのマルウェアファイターの最新版でGandCrab5.2に対応してるはず。 現状まともに更新続いてる専用対策ソフトってAppCheckくらいだけど
これってどうなん?使ってる奴いる? ファイルサーバが5.2にcドライブのファイル4/1ほどやられ、Malware Fighterでスキャンするも何も検出されず。
それ以降特に被害が増えることもなく今に至るんだが、そういうものなの? ファイルレスな攻撃されたら、ファイルI/Oトリガのソフトでは検出できない
ファイルレスなのでPC再起動するとマルウェア自体は消滅するのでそこで被害は
ストップする
しかし、ファイルレスマルウェアを実行した行為を再度行えば同じく被害を受ける
この手のタイプはCylance(サイランス)とか、UTM(NGFW)といった最新型の
セキュリティ対策以外では防ぐことはできない
んで、その手のは個人・家庭では導入が金銭的に難しくハードルが高い
だから、個人・家庭向けは「バックアップで守ろう」という姿勢で対策をとってるが
当然この対処方法は「対処になってない」アホ丸出しで
有償無償を含めて今のランサムウェア対策は無能と言ってもいい
それは、つまり「駆除できない」という事実であり
SMBv1無効にした程度ではどうにもできない
パワーシェル型が非常に厄介でWindows使う限りMS側がなんとかしないとダメかも
今のパワーシェルって無防備JAVA時代と同じで、対策のしようがないレベルになってる
どうすんだろうね・・・ これでキャッシュレス社会は程遠くなるな
やっぱ現金主義が一番だ >>870 どうかな現状、家庭・個人向けの購入窓口は無い気がするけど
DELLとかLannscopeとかOEMしてるので購入手段はあるのかも Cylanceって具体的な情報が全然情報無いな
ぼくのかんがえたさいきょうのそふと
みたいな記事はいくつかあるけど デモできるんで使ってみたけど
基本は、クラウド上の管理機能で管理
常駐して監視するのは同じ
対象として、スクリプトを検出するのでPowerGohst的なのも検知・駆除可能
主要な他社アンチウイルスDBとの誤認確認もできるので
Cylanceではグレーでも、他社が黒なら許可しよう とかそういう切り分けもできる
自信の検知力よりは他社と見比べて判断する感じかな
スクリプトは 正誤の判断付きやすいので、ファイルレスマルウェアの対策には
この仕様の常駐監視が必要だとは思う うげぇww
やられました
[helpyourdata@qq.com].actin
の拡張子のランサムウエア復元ソフトありませんでしょうか?
宜しくお願しますm(_ _)m >>877 復元はOS機能なんで復元ポイントが残ってるなら戻せばいいんじゃね
まぁデータは対象外にしてる場合は諦めるしかない
あと、問題解決でググったサイトはサンドボックスブラウザで開いてね
リバースソーシャルエンジアリングなサイト多いので誘いこまれないように >>878
やはり難しですか
ご返答ありがとうございます Bitdefender、ランサムウェア「GandCrab」の最新版にも対応したデータ復旧ツールを無償提供
「GandCrab」開発者は“20億ドル以上の身代金を得た”と主張しシャットダウンを宣言
https://forest.watch.impress.co.jp/docs/news/1191684.html ランサム「GandCrab」提供者が引退、キー削除か - ベンダーが最新の復号化ツール
http://www.security-next.com/105875 gandcrabはv2とv3だけ未だに復号ツールないのはなぜなのか >>862 >>867
よかったな
GandCrab 5.2の復号ツールが出たぞ >>882
>収益の6割が分配されるアフィリエイトサービスの参加者が、同ランサムウェアをさまざまな方法で拡散、感染被害が広がった。
完全にランサムウェアビジネスとしてシステム化されてるんだよな
ビジネスだから信用が大事で、払えばデータを取り戻せるんだ、と被害者の信用を得ないと成功はしない
知恵袋とかでは、アホなカテゴリーマスターどもが身代金払ってもデータは返ってこないと連呼してるが、実態はこのスレでも>>655のように払えばたいていはデータは戻る
犯罪者に払うことがいいこととは思わないけど、払ってもデータは返ってこないと嘘をつくのはだめだね ID:zb/4U/do0さんとほぼ同じ様な状況になりました、raynorzlol@tutanota.comです
ID RANSOMEWAREで調べたらPhobosとのことです
.adameで検索したら同様の質問がBleeping Computer Ransomeware Helpにあります。
現在犯人からのメールの返事を待ってます。
win10,AVGです・・・。
ID:zb/4U/do0 同様にお金で解決するならお金を払いたい所です。
また現在は別PCから書いてますが、感染したPCは個人データを残して「このPCを初期状態に戻す」を実行しましたが、
未だに同様の暗号化ファイルが出て、ポップアップで送金を要求する画面が出る状態です。
ご教授お願いします。 「個人データを残してこのPCを初期状態に戻す」だと文字通り一部データは保持したまんまだから
ポップアップも残るかもね
ちなみに感染経路同様にexe直踏み? Sorry,I don't have enough money now...
please discount.
There are pictures of my family and memories.
please
On 2019/08/17 0:18, raynorzlol@tutanota.com wrote:
> Hello,
>
> You got hit by a ransomware.
>
> You need to pay 1000USD worth of Bitcoins in order to fully decrypt your files.
>
> Where to buy bitcoins?
>
> * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
> 'Buy bitcoins', and select the seller by payment method and price:
> https://localbitcoins.com/buy_bitcoins
> * Also you can find other places to buy Bitcoins and beginners guide here:
> http://www.coindesk.com/information/how-can-i-buy-bitcoins
>
>
> Attention!
> * Do not rename encrypted files.
> * Do not try to decrypt your data using third party software, it may cause permanent data loss.
> * Decryption of your files with the help of third parties may cause increased price
> (they add their fee to our) or you can become a victim of a scam.
>
> Once you ready to pay. Please email me and we will give you our wallet address for you to send the bitcoin there.
>
> Thank you! 返事が「700USD in 3 days」とだけ来ました
前回の方はlast price 500$とまで安くしてますけど、何か交渉があったのでしょうか?
なにかおすすめの文章があればアドバイスください。 ID:zb/4U/do0さんって誰かと思ったら>>609 >>655氏のことか
>>891
3daysとは厳しい犯人ですな
bitcoinの送金手段をすでに持ってなければそもそも3日では無理かと
>前回の方はlast price 500$とまで安くしてますけど、何か交渉があったのでしょうか?
日本語で「そんなお金は手元にありません」とメールしたら1000ドルにから500ドルに減額されたという話だったけど、犯人が違うんだからそこはあんまり参考にならないような気がする
>>614
>身代金は1000から500にダウンしました。
>以下、メールのやり取りです。(認証番号は一切伝えていません)
>
>>2018-05-25 19:43 GMT+09:00 ransomed me <ransomed@india.com>:
>>last price 500$
>
>>At 25 May 2018 09:35:20 +0000 (+00:00) from maga mail <■■■@gmail.com>:
>>そんなお金は手元にありません。
>>どうか■■■家族との思い出を返してください。お願いです。
>
>>2018-05-25 15:53 GMT+09:00 ransomed me <ransomed@india.com>:
>>Hello. Price for full pc decryption is 1000$ in bitcoin or etherium
>
>>At 24 May 2018 20:07:29 +0000 (+00:00) from maga mail <■■■@gmail.com>:
>>ファイルが見れなくなりました。
>>どうやったら見れるようになりますか? 金なんか払うなよ
犯罪を後押ししてるってことに気づけ ホントそれだわ。
金払う→次のランサムウェア作られる→他の被害者を産む
の流れを理解して欲しい。 中東のゲリラ組織と違うんだから、>>887が金を払わない選択をしたからといって将来的にランサムウェアの被害が減る訳でもない
何も変わらない
被害を受けてない第三者が「払うな」と強要はできない
ただし、払うなら、払ってもデータが戻ってこない可能性もあるという覚悟で払うべき
100%戻ってくる保証はない >>895
被害者全員が金を払わなきゃランサムウェア開発に手を割く暇人が減るだろうよ
まぁ、ウィルス開発なんて元々非営利の愉快犯みたいな所があったからゼロにはならないのは認めるが 個人がいくら払わなくてもメインターゲットの企業が払うから無意味だろ
で営利団体の企業が払わないはずがない >>896
>被害者全員が金を払わなきゃ
可能性ゼロの理想論をぶち上げても意味は無いんだが >>887
exeというのは明らかなな実行ファイルなわけですよね?
ちなみにexeというのはどういうexeなのでしょうか?
どこにでもあるようなフリーソフトを落としたもの?
有償の専門ソフトやゲームなどの海賊版的なもの?
またどの時点で発生したのでしょう?
起動した瞬間?
ファイルをダウンロードした時点やダブルクリックした瞬間などに
AVGは一切反応しなかったの?
またファイルの起動前にウイルスチェックはしなかった感じですか?
質問ばかりですみません piratebayで手に入れた某ソフトのcrackです。
AVGは解凍した時は反応しませんでした。
今まではスキャンしなくてもexeをクリックした時点で自動的に削除してくれていたので、今回もしていませんでした。
発生したタイミングはインストールが昼頃だったんですが、暗号化されたファイルの更新時間を見ると、
テレビの録画もしてるPCで起動しっぱなしでスタンバイとかでもない状態で、
私が寝ている間に何も操作がなくなったのを見計らって暗号化された様な感じがします。
動いていたせいか分かりませんが録画フォルダのあるドライブは無事でした。 教えていただきありがとうございます
なるほど、、、
AVGのリアルタイム監視をすり抜けたっぽいということですよね
しかし無事なドライブもあったと
少しでもうまくデータがもどるといいですね
復号ツールとかあればいいんだろうけど・・待つのも手ですかね >>890
昨今は作る人と使う人は別々なんで身代金が払われなくても開発は滞らないかな
>>900>>901
最近のウィルスは本ちゃんのファイルをダウンロードして実行するだけとかの
フロントエンドだけって言うものも増えているので、すでに既出でCCサーバが判明
しているようなものでないとリアルタイム監視や手動チェックでも検知不能だったり
する
怪しいファイルを試すならばFireWallで送受信監視をしておいておかしな通信を
始めないかの確認とVMWareみたいな仮想環境で試してみるくらいのことは
しないとやられまくるよ リモートデスクトップで繋ぎっぱで寝てただけで感染したわ
PHOBOSってやつみたい
3台負荷分散運営でやってたが全部やられたわ
ただ朝起きて全PCのCPU使用率が100%なんで慌てて電源落としたので脅迫文表示まではいかなかったみたい
25年以上パソコン扱ってて初めてウイルスというものに感染
逆に関心、あるんだねこんな事 >>904
外部から繋いでいたのか?
繋ぎっぱなしにしていたら感染って、状況が読めん。 Phobosって>>887さんと同じじゃないか
去年の終わりくらいに出てきた割とマイナーなランサムウェアのように思っててたが、新型の亜種が流行し始めてるのかね
>>904
リモートデスクトップで繋ぎっぱなしにしてたから感染、というのがよく分からない
Windows Updateは最新にしてました? >>905
>>906
Windows Updateは最新だね
RDPはローカルネットワーク内というか本当に自宅内のネットワークだったんだけど
パスワードも単純でポートもデフォルト番号でやっていた
一応プライベートネットワーク指定でやってはいた
それが原因か、それとも何か踏んだのか思い当たる節は無いんだよね
ネットで落としたソフトやファイルの解凍切っ掛けでウイルス対策ソフト無反応とかだったら無理ゲーだよな
今回を機に一応ポート変更とかファイヤーウォールでIP限定とかPWの間違え回数制限とか色々覚えたよ
まぁ、遅いけどねw
ちなみに拡張子は.actonというものでした
この拡張子以外にも他に結構多岐に渡ってあるみたいよ、同じPHOBOSの仲間の中でね 907だけどexeとかは踏んでないんですよね
ただrar解凍はしたかなぁと >>908
そのrarは自分や近い人が作ったものではなく、ネット上から落としたもの?
mp3とか動画とか漫画的なこれまた海賊版的なものとかですか? 実際に個人がランサム系に感染するきっかけとしては
ネットから落とした出所不明の違法コピー系exeファイルを実行する、というパターンが
多い印象があるけどそれ以外で感染してしまった人いる?
例えば海外アダルト系サイトを訪れただけで感染しちゃったとか
改ざんサイトとかメール経由とか・・
メールの場合もexeクリックしちゃうんだろうか
あるいはjpgに偽装されてたり? RLO偽装とかVBAを悪用したpdf、excel、wardファイルを開いて感染は良く聞く
photo_exe.rarみたいな実行ファイルとか >>911
感染者じゃないが、今年前半は日本人をターゲットにしたメールばらまきが多数あった
>>815-820らへん
セキュリティソフトでも検知しなかったケースも多いようなので(今回の人もAVG無反応だったとか)リテラシーの低い人は、このメールの添付ファイルを開いて感染、というケースもそれなりにいたかもしれない 多くの場合、認識せずに実行ファイルを走らせてしまっているパターンに終止すると思われるけど。
ファイルレスでランサムウェア感染って事例あるん?
RDPの新手の脆弱性を突いたものだとしても、プライベートネットワーク内の出来事であれば、トリガーは何かしらあるはず。 >>912
その場合pdf、エクセル、ワードファイルは
ウイルスチェックした場合スルーされる構造なのかね そのファイルが本体を後から落とすみたいな
それとも暗号化する実行ファイルも含まれてたりするんだろうか
まぁケースバイケースだろうけど
ちなみにその例えでいくと
photo_exe.rar はダブルクリックしたら解凍に回されるんじゃなくて
実行されちゃうような感じ?解凍後自動で実行という想定? >>915
RLO偽装は以下の記事が詳しい。結局は名前を変えた実行ファイル。
https://www.atmarkit.co.jp/ait/articles/0909/28/news088_2.html
VBA利用したランサムウェアとかウイルスチェック引っかかりそうだけどどうなんだろうね?
yaraiとかAppGuardみたいな新型のエンドポイントセキュリティが流行の商売になってるから
逆説的に既存のウイルスチェックはする抜けるのかも試練 >>916
ありがとう
RLO挿入ははじめて知りました
わずかな違和感を感じることが大事ということか・・ >>907
レスありがとう
Windows Updateは最新だったのね
現状、どこから入ってきたのか分からないという感じなんですね 最新のエターナルブルーにかかったかもしれないんだけど、ここは違うスレなのかな……。 エターナルブルーは手段でランサムウェアなのは結果だから
エターナルブルーを使ったランサムウェアならここでよいんでない >>919
EternalBlueというのはexploitのこと
だから
>エターナルブルーにかかった
というのは、そもそも話がおかしい
何が言いたいのかわかりません セキュリティソフト入れててもランサムウェアに感染したという報告がいくつもある >>726 >>743 >>887
ので、気休めかもしれんけど、Malwarebytes Anti-Ransomwareを入れてみた
重さは全く感じない Malwarebytesのってフリーは2017年以降更新してないんじゃなかったっけ?
今も有効なん? そうなんや入れてみたいけど
Malwarebytesのフリー版をセカンドオピニオンに使ってるから
Anti-Ransomは入れられんのよねぇ
AppCheckとか使って見た人いないかな 26日に送金したのに返事が来ません
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail raynorzlol@tutanota.com
Write this ID in the title of your message (私のID)
In case of no answer in 24 hours write us to this e-mail:raynorzlol@protonmail.com
If there is no response from our mail, you can install the Jabber client and write to us in support of raynorzlol@thesecure.biz
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
最初のポップアップの画面にはこの様なメッセージが来ていて、最初は一個目のアドレスでやりとりしていました
ですが途中で犯人が1つ目のアドレスは使わなくなって、ずっと2つ目でやりとりして送金後に返事が来なくなりました。
それまでは必ず0時台に返事が来てました。
で犯人の言うJabber clientをインストールして、メールを送れば良いのかと思ってたけど、
そうじゃなくて友達にraynorzlol@thesecure.bizを追加したけど友達に承認されない状態です。
メッセージを送ってロシア語で「ブロックされています。 ロックを解除するには、リンクをたどってください」でキャプチャを入力して
リクエストを送るという手順を踏みました。
何かJabber clientの使い方が間違ってるでしょうか? どんなことをすると
こういうウイルスに感染するの? >>929
このスレ全部読めばわかるよ
15分もかからんでしょ >>929
基本はバカだから野良.exeファイルの実行
しかし、過去には脆弱性があってウェブページの閲覧だけでなんの前触れもなく感染した可能性はある
当然現在でも一般に発見されていない隠された脆弱性も残っていますのでそれを利用されないとは限りませんが
でかいのが発見されていないので感染報告として余り騒がれませんね >>928
どうやらそんな感じがします、
もう一個XMPPのアカウントを作って自分に友達リクエストを送った所、自分の操作が間違ってないことが確認出来たので。
新規に連絡を取りたくても取れない状態です、別のアドレスから送っても返事が来ないから犯人にとっても何も旨味がないのでおかしいとは思うんですけど ランサムウェアにもいろんなのがあるからな
ルーターだけじゃ無理だろうな 場合によってはDNS書き換えられたルーターのせいで感染もあり得る >>933
インターネットからの通信をルーター上のサンドボックスに展開して振る舞いを検知してからネットワーク上のPCに
流すのがあるが、サンドボックスは完全じゃないので迂回される脆弱性が見つかって最近、修正されたばかりなので
100万以下の家庭用ルーターの防御力はかなり限定的。 感染した時点でファイアーウォールが変なプロセスからの発信を検知するだろうし、
またサーバーとして機能するリモート操作が可能な常駐型ならば
ルーターが間にあるのならルーター側の設定でアクセス先のパソコンとポートアドレッシングを任意に設定した上で
ポートを開いてやらないとWAN側からリモート操作は不能なので問題はない
初心者には理屈もわからないだろうけどさ >>933
ルータが遮断できるのはかなり特殊な機能を持つものでなければ通信だけ
ランサムウゥアは感染するものなのでルータで通信を遮断しても不用意に
実行ファイルやマクロファイルを実行すれば感染するし、ブラウジングして
いるだけでも感染することはある
ルータで遮断できるのは正しい設定をされている場合に限り、自身がサーバに
なるようなタイプのリモコンアプリとかだけで、CCサーバを使用するような
クライアント動作のウィルスとかも防ぐことが出来ない 連絡が取れなくなって諦めていたんですが、.adameで検索してID ransomewareの管理人であるAmigo AさんのツイートでAnoter new variants of phobosのツイートに.adameと連絡先が書いてあることを発見しました。
そこでコンタクトを取ってみた所、同じ人物だと言ってきました。
私が700USD払ったんだから送れと言ったら、なぜ1000USDじゃないんだと言ってきて、こいつは安くしたことを知らないから別人なのではないかと疑ったりしてましたが、復号化ツール「ph_decrypt」を送って来て、残りの金を送ったらコードを送ってやるとのこと
最初の人物と同一である証拠もなく、私がさらに送った暗号化済みのファイルを復号化してくれなかったりと怪しかったですが、送るからアドレスを教えろと言った所、前回と同じだと言うので、半信半疑ながらも残りの300USDを送ったらコードを返してきました。
で、無事に復号化出来ました。 >>939
がめつい犯罪者だったのね。
でも結果的には復元できてよかったですね。 >>931
昔はそうだけど今も野良.exeファイル実行なんてする人いるのね >>609
>>888-889
このスレだけでも複数いるしな >>941
RDPをデフォルト状態で繋いでるだけでも感染するぞ >>943
https://www.atmarkit.co.jp/ait/articles/0309/27/news003.html
>操作方法
>具体的にはTCPの3389番を使っており、サーバ側は、このポートでクライアントからの接続をリッスン(待ち受け)している。
ルーター側のポートが開いていない場合には、どうやってクライアント側からインターネット経由でリモート操作ができるんですか?
何かしらに感染しており、これ以外での攻撃を受けているのならば気付かないユーザーが自業自得という事になりますよ https://www.akakagemaru.info/port/faq-remote.html
通常はこのように設定しておかないとサーバー側のリモートデスクトップサービスにはアクセス出来ませんよ
ここで脆弱なパスワード設定などになっているのならばそれは本人の責任です
ためになるなあw ここにはどうやらC&Cサーバーからならばリモート操作が可能だと言い張っているのがいるようだが
こんなのに操作されるようなクライアントプロセスが起動している時点でもうそのパソコンは終わっているぞw
初心者レベルで気付かないのだとしたら使っているセキュリティソフトが何の役にもたっていないよね
ウィルス対策ソフトが未対応のプロセスでスルーしたとしてもファイアーウォール側では通信を検出するだろうよ IRC プロトコルを利用した攻撃者と感染端末の探索手法
https://ipsj.ixsq.nii.ac.jp/ej/index.php?action=pages_view_main&active_action=repository_action_common_download&item_id=98213&item_no=1&attribute_id=1&file_no=1&page_id=13&block_id=8
チョット古い記事だけど詳しい人がそれなりにIRC BOTについて調べた内容で書かれています
感染している人の参考にでもなればね ためになるなあw >>947 FWがC&Cを防いだなんて話は一体どのくらい大昔なのか・・・
NGFWのパロアルトですら標的型C&Cはスルーなのに、
・ぼくのかんがえたSAIKYOのファイアーウォール
とは一体どこのものなのかね?
結局ゲートウェイでは対処できないのでサンドボックス化で逃げてるだけで
現状、マジな攻撃には無防備状態が続いてるよ
さらに漏洩ではなく、破壊攻撃のファイルレス・マルウェア対策となったら
完全にお手上げ状態 検知率100%とか上位20社の全て検知できないまま
2年近く放置されてる >>949
それならばその仮想環境上でマルウェアに感染しまくっていればいいだろうよw
一般ユーザーがIRC BOTに感染している確率なんて本当に少ないんだぞ
感染していても気付かないとしたら企業さんでしょうよw
取り越し苦労して仮想環境で使っていればいいと思うよ
俺は仮想ドライブにでもインストールしといてテスト用のOSではOS以外のドライブを全てOff Lineに設定しておくだけで十分だと思うよ その数少ない感染例のために必要以上の取り越し苦労をして
完璧なセキュリティだなどと勘違いしている方がどうかと思うよw >>944-948
あのさ、RDPの一般的な方法のポート開けるっていう前提条件スルーしてイキってるだけだよね
デフォルトって>>943で書かれてるのに"ポートが開いてない場合は"とか脳味噌と目玉は飾りなのか?
一般的な方法で有り得るから注意しようって話なのにイキりながら自分の環境での論点ずれた話して恥ずかしくないの? 本当に恥ずかしいやつだな アホ
おまえなんてどうでもいいやなw みんな専ブラ使って、ID:OGZgUkQB0 はNGにしてください 論破されたら
>>953
>本当に恥ずかしいやつだな アホ
>おまえなんてどうでもいいやなw
って捨てゼリフ、むちゃくちゃかっこ悪いねw 論破したって言うのならIRC BOTを利用したRDP操作の具体的方法を1つだけでも個人の意見として理論的に説明してみろよ
それか、説明したリンク先1つでもいいよ
>948のリンク先よりも理論的に突っ込んだ内容で頼むわ
どうもネット用語だけで誤魔化そうとしているようにしか俺には思えないんだわな ネット記事って結構と提灯内容が多いんだよね
迂闊に信用するとバカを見る事になるんだよ >>956
論破がどうこうと興味は無いけども
それ君が理論的に説明しなきゃならないことじゃね?
RDP云々は>>943が言い出したことだけど
唐突にIRC BOT云々言い出したの君だしさ
IRC BOTとか君以外誰も触れてないよ
君のやってることってランサムウェアと関係無いことへ論点ずらししてマウント取ろうとしてるだけだよね?
それでマウント取るの失敗したらアホとかバカとか小学生レベルのレスするの?
君自身は否定するだろうけど周りから見ればそうとしか見えないよ >>956
ついでに言っとくけど「IRC BOTを利用したRDP操作」とか説明しなくていいぞ
ランサムウェアのことじゃないから必要ないし おまえがこのスレのリーダーになってアピールする事自体に意味があんの?w
そう言った態度がそもそもクッダラねえんだよ >>960
何でリーダーだとかアピールとか言ってるのか分からないけれど
そもそもマウント取って優越感に浸りたいがために頓珍漢なレスしてイキった君の落ち度だろ
それを反論されて態度がくだらないとかアピールとか言っても滑稽なだけだよ 「スレのリーダー」くっそワロタw
笑い死にさせる作戦か? >959と>962はその特徴から同一人物での自演です
実に下らないアホと思われる >>963
根拠なしの妄想炸裂乙
全くの別人ですわ 拡張子に全部.nesa がついた...
めっちゃ不便!
どうすれば良いでしょうか・・・ >>965
絶対に取り戻したいなら早めにビットコインの口座を作ることをおすすめします >>965
バックアップしてあるものから全部リストアする
バックアップもしていないのならアホだと思って諦めるしかない
通常使用していても故障すればデータは全部吹っ飛ぶんだから
そんなのは当たり前だよね >>967
多分変なフリーソフトDLしてexe起動したせいですね
根絶は出来ても、全部手動で拡張子書き換えなんて面倒過ぎて...
バックアップが大分古いので参ってます >>969 暗号化されているので拡張子を書き換えてもムダだと思われ… そんな可愛いランサムウェアだったら一瞬で直せるでしょ 大抵具体的なサイトやファイル名とか書かないんだよな。
「AサイトのBフリーウエアをダウンロードして実行したら、暗号化されました!!!」
発言小町かよw >>976
ありがとう
調べてみます
たしかに、金払わないと戻らなそうだけど、払っても結局情報出て行って更にドツボにハマるらしいね どうやら、STOPDescrypterで復元できそうだけど、.nesaはまだ新種だからコードが見つかっていないようなので、暫く様子見ます 確か、複合化ツールはランサムウェアのメモリ上の複合化コードを抜き出しているか、間違った実装を突いて複合化してるのが殆んどだったはず
PCの電源落とせばランサムウェアのメモリ上の複合化コードが消えると思う ほう それは制作者よりも詳しそうですな
もっと指導の程をよろしく >>969
「変なフリーソフト」って具体的になんですか? 何故かフリーで使える有料ソフト的なサムシングじゃないの? 変なサイト訪問、誘導とかサイト改ざんとかで感染した人とかいるのかね?
自分はそれが一番怖い たぶん脆弱性絡みでリンクを踏んだ際にインストールされたやつはほとんどいないでしょうね
最近の脆弱性を利用しているコードはまず一般ユーザー環境では発動しませんね 何らかのフェイクされた実行ファイル(ゲームとかのインストーラーなど)を実行してしまった結果がほとんどなんでしょう
その際にもUACの確認画面が一旦表示されますが、ハイをクリックしてしまったらもうお終いですよね
既に対策されているのでUAC確認画面をスルーする脆弱性は暫くの間は発見されないと思います >>979
つまり再起動してしまったら終わり、と
オンラインキー、オフラインキーとかよく違いが分からないんですよね
そもそもオンラインキーだったら、支払うしかないんだけども
クラウド系までしっかり感染してしまったので、意外と痛い >>986
乱数を使用した鍵コードから生成された暗号化キーと複合化キーがあるけど
その複合化キーがサーバーへ送信されるタイプがオンラインキー
オフラインキーはランサムウェアその物に暗号化されて内蔵されている複合化キーのことだと思う
オンラインキーの場合はランサムウェアを閉じると複合化キーがメモリ上からも消えると言う点がある
ハッカーからすれば複合化ツールで複合化されにくいメリットがある
しかし、複合化キーを保存するサーバーを用意しなければ行けないというデメリットも存在する
オフラインキーの場合は複合化キーが内蔵されているため複合化ツールを使って複合化出来る可能性がある
ハッカーからすれば複合化キーを解析されやすいと言うデメリットがあるが
オンラインキーと違ってサーバーが無くても運用可能と言う利点が存在する
オフラインキーの場合は複合化ツールで複合化出来る可能性は高いが
オンラインキーではランサムウェアを閉じると複合化出来る可能性が低くなると言うことだね
間違った暗号化の実装に期待するくらいしか無いかな
前に解析した時は無かったが
研究の一環としてサーバーへ複合化キーを送信した後にメモリ上の鍵コードと複合化キーを乱数で上書きすると言う方法も技術的に可能だった
だから初回起動であってもオンラインキーのランサムウェアなら複合化は難しいだろうね >>987
なるほど、ありがとうございます
とりあえず、nesaの複合化キーが早く見つかって欲しいですね 複合キーがあるのか
複合のあとに何か仕込まれるんじゃないか
諦めてさっさと初期化してしまうのが吉かと 「9mg38」というのにやられました。
同じのにやれらたかたや、情報、お持ちの方いますか? >>991
win10でリモートデスクトップのポートをあけて2日後のAM3:00頃にやられました。
多分これが原因かと思われます。
それまではVPNのポートの穴をあけ、使っていて、
このようなハッキングはなかったのですが、
スマホからアクセスするために穴をあけました。
スマホからもVPN接続すれば良かったのですが、
スマホの画面ロック・解除の設定を嫌がったために起きました。
自己嫌悪に陥るくらい反省してます。 開けてただけでやってきたということですか?
こういう場合ってネットの向こうから
悪意のある人が開いてるポートを無作為に探してるということ?
990さんは海賊版ソフトを落として実行したとかなかったの?
ウイルスの呼び込み元というか >>992 それはない、RDPポート開けただけではDMZで外に開放でもしてない限り安全
993の人も言ってるように、なにか呼び込むソフトを実行してるはず 10って書いてあるけども自動更新をブロックしている人もいるからな
どうだろうね? セキュア板でアップデートブロックって・・・ 論外じゃね? 皆様、様々なご指摘ありがとうございます。
当方の最初の説明に以下を補足させて頂きます。
当方、宅内でルーターを介して複数台のwin10をLAN接続しています。
当方が行った行為は、ルータに穴をあけて特定の固定アドレスを持つPCにポートフォワーディング
(当方のルーターではポートマッピングと書かれています)を行ったということです。
>>993さん
ルーターのポートをスキャンして、開いているポートに対して手当たり次第に撃ってくる輩がいるのではと思ってます。
リモートディスクトップの場合、「ユーザー名」と「パスワード」さえグルグル回しソフトで合致すればよいのですから比較的簡単かと。
しかも当方は、ユーザー名=パスワードとしている間抜け振りですから脅迫犯からみれば、これほど手間暇のかからない相手はなかったものかと思う次第です。
また、海賊版ソフトとかについては極めて神経質なほうで使ったことはありません。
ジャンクメール、フィシングメール、見知らぬ人の添付ファイルについても慎重に対処しているつもりです。
>>994さん
DMZ=ポートフォワーディング=ポートマッピング、であれば上の通りです。
当方の解釈が間違っていたらすみません。
>>995さん
>ヒント パッチ未適用
当方win10の更新に関してはデフォルトのままなので、該当PCも適宜アップデートがあたっていたと記憶しています。
>>996さん
>自動更新をブロック
MSが大きなアップデートをやると挙動がおかしくなるという人がいるようで、そのような人は更新をブロックしている、とききますが、当方はその
ような経験はないのでデフォルトのままです。 このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 864日 1時間 15分 4秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。