ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
話題のランサムウェアの情報を共有しましょう。
ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。
残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。
攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)
■前スレ
ランサムウェア総合スレ Part4 [無断転載禁止]©2ch.net
http://tamae.2ch.net/test/read.cgi/sec/1468625700/
■テンプレ
スレ立て時には本文の文頭に「!extend:checked:vvvvv::」を入れて立てて下さい。
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。
VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured 初めてランサムウェアの被害にあったのでご教授いただきたく書き込みをさせていただきます。
Windows7にてネットに転がっていたexeファイルをうっかりクリックしてしまい主にCドライブ以外のファイル名が、
[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india
となってしまい、主に2TBの2台と3TBのHDDの中身もすべて暗号化されてしまいました。
転がってるEXEをクリックなんて怖くて一度もやったことが無いのに、就寝間際でボーっとしてました。。
なんのウイルスの特定と復号をしたいのですが、 >6 の方法ではうまく動作しませんでした。
まもなく寿命を迎えるであろう2頭のワンコとの写真をはじめ、多くの思い出を健忘症によって部分的に忘れ消えてしまうのがしんどいです。
この状況をどのように脱したらよいのか、どのような情報をお伝えしたら改善するのか、お教えいただけたら嬉しいです。
どうぞよろしくお願いいたします。 >609 の訂正です。
[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india
ではなく
[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india.com
です。 >>609
そのランサムウェアはCryptONの亜種だが。。
復号出来るかの情報は持ち合わせてないな。。
ちなみに身代金はいくら?
あと参考までにセキュリティソフトは反応しなかったのか教えてほしい >>609
セキュリティソフトは入れてたの?まさかノーガード? ID:zb/4U/do0 です。
>>612 さん、英語は一切読めないので何なのですが、
> https://www.bleepingcomputer.com/news/security/crypton-ransomware-installed-using-hacked-remote-desktop-services/
の中の
https://www.bleepstatic.com/images/news/ransomware/c/crypton/may-2018-campaign/crypton-ransom-note.jpg
のhtmlファイルが各フォルダに置かれています。
>>611 さん、
CryptXXX系かなとは思っていたのですが、CryptONの亜種ですか…。
セキュリティソフトは「Microsoft Security Essentials」のみで、今回に至るまではそれなりに働いてくれていたので安心しきっていました。
今回のexeクリック直後から自動的に検疫・削除を終始繰り返していましたが、いかんせん、就寝直前でボーっとしていたのでランサムであることが表示されていたのかは覚えていません。
気が付いた直後、ああだこうだとやっているうちに履歴を削除してしまいました…。
ちなみに、原因になったウイルス入りデータの配布場所は何となく把握しています。
まさかこんなことになるとは思わず、近々全面的にバックアップをやり直すつもりだったのでバックアップのバックアップが入ったHDDもPCに繋いでおり、半日ほどPCを起動したままだったのでこれらも被害に遭ってしまいました。
身代金は1000から500にダウンしました。
以下、メールのやり取りです。(認証番号は一切伝えていません)
>2018-05-25 19:43 GMT+09:00 ransomed me <ransomed@india.com>:
>last price 500$
>At 25 May 2018 09:35:20 +0000 (+00:00) from maga mail <■■■@gmail.com>:
>そんなお金は手元にありません。
>どうか■■■家族との思い出を返してください。お願いです。
>2018-05-25 15:53 GMT+09:00 ransomed me <ransomed@india.com>:
>Hello. Price for full pc decryption is 1000$ in bitcoin or etherium
>At 24 May 2018 20:07:29 +0000 (+00:00) from maga mail <■■■@gmail.com>:
>ファイルが見れなくなりました。
>どうやったら見れるようになりますか? >>613 さん、
ID:zb/4U/do0 です。
ほぼノーガードと言わざるを得ない感じですよね。。
健忘症には逆らえないんです…思い出を取り戻したいです。
お知恵をお貸しください。 Windows 7でSecurity Essentialか
ノーガードとは言えないかな
EMSISOFTがCryptONの復号Toolを出してる見たいだけど試してはどうかな?
ランサムウェアをばらまく方も復号Toolで復号できちゃうランサムウェアを新規に作るとは思えないので可能性は低いけど
だめなら残念な言い方になるけど、どうしてもデータを復活したいなら500ドル払うしかないと思う
時が経てば、ランサムウェアの脆弱性が判明してあとで暗号化されたファイルが復号できるツール等が出る可能性もあるけど、これは運がいいケースで、永遠に復号出来ない可能性のほうが高いので ID:zb/4U/do0 です。
>>616
>ノーガードとは言えないかな
お気遣いのお言葉、ありがとうございます。
>EMSISOFTがCryptONの復号Toolを出してる見たい〜
https://decrypter.emsisoft.com/ の「Emsisoft Decrypter for CryptON」ですかね?
暗号化されたファイルをドロップすると
「Please drag and drop both an encrypted and unencrypted file onto the decryptor at the same time.」
アプリ翻訳によると「同時に、暗号化されたファイルと暗号化されていないファイルの両方をデクリプタにドラッグアンドドロップしてください。」と読み取れるのですが、暗号化されていないオリジナルのファイルが必要という事ですか?泣
お金払って元に戻った話し、見かけないんですよね…。不安。。 写真ならスマフォに残ってねーの?
そん中に暗号化されたファイルの元ファイルあるんじゃね >>618
写真は無いのですが、過去に一部だけバックアップしていたword(.doc)とExcel(.xlsx)があったので、
・[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india.com
・[元ファイル名].[元拡張子]
を2個まとめてドロップしても同じメッセージが出ました。
これって、Emsisoft Decrypter for CryptON では無理という事ですよね…。(TT) >>619
>Cry36
>このランサムウェアは現時点では復号する方法が存在しません。
と、表示されました。。 じゃあ無理じゃ無いかな。
どうしても復旧したいなら
あとは一縷の望みを掛けて500ドル払うくらいしか無いかと。
勿論払い損になる可能性も有るけど、
いつか復号ツールが公開されるのを延々と待つよりはまだ希望があるかなと個人的には思う >>617
Emsisoft Decrypter for CryptONでだめでしたか
ページの説明に
".id-_locked", ".id-_locked_by_krec", ".id-_locked_by_perfect", ".id-_x3m", ".id-_r9oj", ".id-_garryweber@protonmail.ch", ".id-_steaveiwalker@india.com_",
".id-_julia.crown@india.com_", ".id-_tom.cruz@india.com_", ".id-_CarlosBoltehero@india.com_" and ".id-_maria.lopez1@india.com_".
とあったけど、ransomed@india.comが載ってないですね。
やはりCryptONの亜種の新型バージョンで現行の復号ツールでは対応できないみたいですね。 >>624
そうなんですよね、最近出回りだしたものなのかGoogleで「ransomed@india.com」で検索しても変な誘導サイトばかりで…。
こんなに大規模な被害は初めてなので、ほんと、しんどすぎます。。 ID:zb/4U/do0 です。
これまでにお金を払ってデータが戻った例ってあるのでしょうか…?
犯人はそれぞれ違うのでしょうけど。。 >>625-626
英語読めないならしかたないけど、612に
Emsisoftのdecryptorは今の亜種には効かないことも、
ID-Ransomwareのこともダメもとでできる(可能性がある)こともみんな書いてあるんだけどね
(てかgoogle翻訳も使えないの?)
最新情報が入るとすれば612のforumかemsisoftのサイトだろうし、
普通に検索したっていつものように詐欺ソフト誘導サイトばっかだろうし、
日本語で得られる情報って特にないよ そもそもバックアップもしていないし、.exeファイルを叩いた上でなおさら実行まで許可しちゃっているんだから
データを全部削除されたってしゃーないよね
危機管理能力の欠如なんだから事項自得でしょう
データサルベージ不能になって右往左往している連中と何ら変わらないように見える ランサムウェアに感染したらどうする? 本音で語るランサムウェア被害の復元と対策
ttps://mypage.otsuka-shokai.co.jp/contents/business-oyakudachi/it-security-course/2016/201608.html
>身代金を安易に支払うことを勧めるものではありませんが、
>事実から言うと、最近のランサムウェアは支払えば復元できるものが多いのです
2016年の記事だけど。
まぁ「過去の事例」なんて参考にならんよ。犯人によってスタンスが違うだろうし。
無駄金が嫌なら同一ウイルスの情報を海外のForumで収集しないと。
英語に触るのは嫌だけど無駄金も嫌なんて只の我が儘だろ >>626
ShadowExplorerを使ってボリュームシャドウコピーからファイルを復元する方法も626さんの場合、Cドライブ以外がやられているので、無理なので・・・
ということで結構厳しいっぽいですね。
ちなみにお金を払ってデータが戻った例ってあるのか?という話だけど、自分が見聞きした範囲では戻るほうの率のほうが高いです。
http://www.atmarkit.co.jp/ait/articles/1605/13/news101.html
とかね。この被害者は知人でした。
あとは、このスレのPart2で支払ってデータ回復できた人がいた。
https://tamae.5ch.net/test/read.cgi/sec/1457785786/617-644
他にも
http://tamae.5ch.net/test/read.cgi/sec/1468625700/5-6
や
https://tamae.5ch.net/test/read.cgi/sec/1457785786/87
もちろん、だからあなたも大丈夫とは言えませんが。
支払いの締め切り日とか書いてませんでしたか?
ファイルを取り戻すために金払う気が少しでもあるなら、平行して仮想通貨の支払いができる環境を準備しておいたほうがいいです。
取引所との契約とかしておかないとすぐには支払えないので。
もちろん安易に金払うことをすすめてるわけじゃないですよ。
実際、最初の記事の被害者は当時、金払って解除しましたが、あとになってTeslaCryptの復号ツールができて、結果的には金払わなくても解除できたということもありました。
http://www.itmedia.co.jp/enterprise/articles/1605/20/news068.html
でも後になって解除ツールができるかどうかは神のみぞ知るくらいのレベルです。
犯人と連絡が取れなくなったら金払って復号もできないですし。 復旧業者も結局犯人に金払って解除してるとか聞くしなぁ... >>631
この頃、身代金が1.25ビットコイン=6万円だったというのが驚きw
今は1ビットコインは80万円だけど、去年の12月には240万にもなってた
10ビットコインくらい買っとけば。。 ID:zb/4U/do0 です。
>>627 さん、
理解しました。。
>>628 さん、
仰るとおり右往左往しています。申し訳ありません。
>>629 さん、
英語が読めないこともありますが、そもそも知識が無いので理解に時間がかかるようです。
特に今焦っていますので。。
幸い?、犯人とのメールのやり取りに大して時間を要しておらず、元に戻る証拠として1個ファイルを送ってみろと言われています。
正しく復号されるようならば500$払おうかと思ってます。
ただ、bitcoin・etheriumをやってないので 何をどうしてよいのやら。。
>>631 さん、
仰るとおり、ShadowExplorerでは無理でした。
お教えいただいた記事、ありがとうございます。
熟読させていただきます!
支払い期限、いまのところ明記されていないような気がします。
返信されてくるメールも焦らすような文言は一切無いですし。
後々復号ツールが出てくるのでしょうけど、その保証はありませんし班員と連絡が取れなくなる前に勉強代として$を払う方向で考えています。
でもbitcoin・etheriumの知識が皆無なので、何をどうしたらよいのか調べなくちゃ。。泣
>>632 さん、
有りえそうですね。ちょっと笑ってしまいましたw
いまのところ業者に依頼するつもりはありませんが、情報をお教えいただきありがとうございます。
みなさま、差支えが無ければ引き続き復号出来る兆しが見えるまで お付き合いいただけたらありがたいです。
どうかよろしくお願いいたします。 >>634
あり得そう、ではなく、業者もやってることは、解除ツールが出てるやつは解除ツール使って、解除ツールが無理なのは身代金払ってやってる >>591 >>616
7のMSEなんてほぼノーガードに近い
あったら助かったかもしれない機能が全くないのだから まぁ、2010年のSecurity Essentials 2.0以降、8年間も機能アップはされてないもんな
毎年機能強化されてる市販セキュリティソフトやクラウド機能で検知率の大幅向上を果たしてるWindows Defenderと比べると厳しいわな windows7はメインストリームサポートは終わり、延長サポートもあと1年半強しかないからな 総合セキュリティソフト代をケチって、バックアップ代もケチって
それ以上の出費が必要となった悪いパターンだな >>638
それは今回の問題とはなんの関係もないけどな >>609
> ネットに転がっていたexeファイルをうっかりクリックしてしまい
転がっているEXEとはどういうこと(もの)でしょうか
いろんなソフトを扱っているサイトから有用そうなソフトをダウンロードしたということですか?
何かのソフト、または架空のソフトを装っていたのでしょうか?
また、ブラウザでローカルにダウンロード後実行したのでしょうか?
後学のためにもお手数ですがぜひ教えていただければと思います 私も
>>614の
>ちなみに、原因になったウイルス入りデータの配布場所は何となく把握しています。
が気になってました。
一体どこからダウンロードしてしまったファイルなのでしょう? アドレスを書くのが嫌なら、何を検索して辿りついたのか、サイトのジャンルだけでも書いてくれないとね
短縮URL踏んだ先にあったとか?
悪質なエロサイトでもexe単体なんてまず置かないと思うし、そういうサイトはセーフブラウジングでブロックされる危険もあるので広告収入のサイトではメリットが無いのでやらないよね
それとも、SmartScreenやセーフブラウジングでブロックが出来ないAWS上に置かれてたとか? そう思い込んでるだけで、
実際はRDP開けっ放しでそこからだと思うが
記事にもあったように RDP開けっ放しは普通だけど、ルーターがRDPを普通は通さない 「ウイルス入りデータの配布場所」って言ってるから割れ系じゃないのかね?
市販ソフトかゲームのクラック済みexeのつもりで拾ってきたとかそういうオチ。
非正規と自覚してるからSmartScreenの警告を無視して実行したとかなら割と納得できる ID:zb/4U/do0 です。
風邪ひいて全身がぎっくり腰みたいに痛くて寝込んでました。。
>>641->>645
あらかた >>646 さんの仰る通りです。
URL載せようと思ったら、DLされるファイルが違うものに置き換わってました。
以下、経過報告です。
犯人とはチャットツールではなく、暗号化されたファイル名に書かれているメールアドレス先と直接やり取りをしているのですが、
「we can decrypt 1 small file for free. for this, pack the file into a rar archive, load it on sendspace.com and send me a link」
という事で暗号化されたJPEGを送ってみたら、復号されたものが届きました。。
という事で、賛否はあるとは思いますが500$払う事にしました。
犯人からは「my bitcoin wallet [34文字の乱数字]」の送り先口座番号?の情報が届いています。
とりあえずBitcoinに関しての知識が無く、開設までに時間が掛かることもあるという事なのでとりあえずGMOコインとDMM Bitcoinの2か所に申し込んで口座開設をしました。
いま現在、たぶんBitcoinが買える状態です。…いきなり500$分を買えるのか不明ですが。
さて、これをどうしたらよいのか、 >>631 さんからの記事を読んでいます。
Bitcoinの買い方〜送り方云々は専用板で聞いた方がここの皆さんにご迷惑掛からないですよね…? >>647
買い方送り方は相談するならツイッターとかで接触出来る専門家に相談して、オープンでやったほうがいい
掲示板だと悪い奴が近付いてきて騙される可能性がある >>648 さん、
なるほどです。
Twitterではあまり社交的なことをしていないのですが、相談してみます! >>647
報告乙です
ひとつアドバイスしたいのは、払うと決めたなら、できるだけ早く支払いしたほうがいい
のんびりやってると、相手は騙すつもりがなくても、相手が警察などに逮捕されたり、または他の理由で活動を停止したりすることもあるので、ずっと連絡を取れるとは思わないほうがいい >>650 さん、
アドバイスありがとうございます。
GMOとDMMの口座を開設したはいいけど、Bitcoinの買い方がいまいちよくわからないことと、
犯人から一言だけ「https://blockchain.info」と送られてきたんだけど、この使い方が全く分からないんです…。
ひとりで夜な夜なサイトを回って調べていますが。。 そもそも、人に言えないような実行ファイルをダウンロードしてなったんだから、次回も拾ってやらかすだろうな。 払わない方がもちろん良いのだろうけど、ほかにデータを回復する手段がない場合はやむを得ない ID:zb/4U/do0 です。
ご報告が遅くなりましたが、
13日の夕方過ぎにBitcoinを送金予約、
14日の昼過ぎに送金完了、
15日の深夜に犯人からunlock.rarのダウンロードURLと起動用ID(暗号化されたファイル名内の9桁の乱数字)とパスワード(700桁の乱数字)が記載されたメールが届きました。
RARのファイルサイズは183,156 バイト、解凍後のunlock.exeは421,376 バイト。
で、さっそく作業開始すると、どんな大容量のデータでも一瞬にして復号化されていき、数時間で全てのデータが復号化。
但し、ファイルのプロパティにある「更新時間」が復号化された時間になってしまうという少し残念な結果ではありますが。。
最終的な被害金額は、交渉開始時に$500US相当のビットコインのレートが0.066BTCで日本円で55000円くらいでしたが、6/13時点では47000円ほど(諸経費除く)。
いろいろとご教授いただきました皆様、本当にありがとうございました。
以後、いろいろと気を付けたいと思います。 ■ このスレッドは過去ログ倉庫に格納されています
