ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
話題のランサムウェアの情報を共有しましょう。
ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。
残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。
攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)
■前スレ
ランサムウェア総合スレ Part4 [無断転載禁止]©2ch.net
http://tamae.2ch.net/test/read.cgi/sec/1468625700/
■テンプレ
スレ立て時には本文の文頭に「!extend:checked:vvvvv::」を入れて立てて下さい。
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。
VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured 私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。 知り合いがnmijjtbっていうのを食らったらしい
くっそめんどくさい ググっても中国語か朝鮮語しか出てこないな
あっ・・・(察し) 復元出来ても単なる個人の環境とは違うから大変そうだな GANDCRAB 5.0.4に感染してしまいました。
動画や写真が、すべて読み込めなくなりました。
配布されているツールも試してみましたが、だめでした。 ランサムウェア「GandCrab」対応復号ツール、100万ドル超の被害回避--Bitdefender報告
ルーマニアのセキュリティ企業Bitdefenderは、先週ランサムウェア「GandCrab」に対応する復号ツールを無償公開してから、被害者がGandCrab攻撃の犯人グループに総額100万ドル(約1億1300万円)超の身代金を支払うのを防いだとしている。
Bitdefenderによると、ツールをリリースしてから数時間で、少なくとも1700人以上の被害者がGandCrabによってロックされたファイルの復号に成功したという。
Bitdefenderは10月25日、欧州刑事警察機構(Europol)やルーマニアの警察当局などの法執行機関と協力して、GandCrabの複数のバージョンに対応する復号ツールを無償公開した。
このツールは、GandCrabのバージョン1(拡張子「.GDCB」)および4(拡張子「.KRAB」)、5(複数文字のランダムな拡張子、現時点の最新バージョン)に対応している。
Bitdefenderが復号ツールを公開した翌日、GandCrabの犯行グループもBitdefenderによる復号ツールに対抗できる新バージョン「v5.0.5」をリリースしたとしている。
Bitdefenderによると、「最も被害が多いのはGandCrabのバージョン4と5」だという。
多くのセキュリティ専門家が、ランサムウェアに暗号化されたファイルを置いておき、数カ月中に公開される無償の復号ツールを待つよう、常に被害者にアドバイスしているが、BitdefenderのGandCrab対応復号ツールはそうした理由を示す好例だ。
https://japan.zdnet.com/article/35127946/ >>690
5.0.4なら、BitDefenderの復号ツールで復号できるようなニュアンスのことが書いてるがダメなん? 感染したファイルの名前が、複合化ツールに記載されてるものは、おそらく復元できると思いますが、当方のファイル名は記載されてるものではなかったので、だめでした。 感染経路はグーグルクロームのブラウザに、インストールされていないフォントが
あります、とかポップが出て、何気なしにインストールクリック。
ファイルが感染して開けなくなって調べてみたら、そのフォントをインストする
ポップがランサムウェアの感染の典型でした。 とりあえず、USB接続のHDDにバックアップしていた動画や写真は被害無しだったのが
不幸中の幸いでした。バックアップは3つのHDDに取っていましたが、マザボにつなげて
いるものは全滅です。
なので、ネットサーフィンはノートパソコンかタブレットオンリーでやることにして
メインのディスクトップパソコンでは、ネットをしないことにしました。
ウィルスソフトは亜種などを含め、意味がないように思われるためネットは
被害が最小になるよう、端末は分けようと決めました。 そういう考え方もそれはそれでわかるけど、
696氏もいうように、
その感染経路というかパターンってもうたぶん2年くらいは前からある方法で、
ふだんからある程度定期的に、その手のセキュリティのニュースに何らかの形で接する習慣をつけたほうがいいと思う
もう判で押したように同じパターン、で流行り廃りがあるから
範囲が狭く済むだけで、またかかるよ 今回の件で、絶望の闇の底に突き落とされたのです。
唯一の救いが、外付けのHDDが助かっただけでした。
思い出の家族の写真や動画が、危険にさらされないようにするのなら
多少の不便はしかたないと、受け入れようと思っています。 >>695
exe系の実行には実行許可のダイアログが表示されただろうよ
ユーザーアクセス制御を無効にしちまっているんなら自分の責任だし、
脆弱性の云々は実行ファイルにゃ通用しないよ
管理者権限で使っているんならそれくらいは自覚しとかにゃいかんよな >>695
セキュリティソフトは何も入れてなかったん?
それとも入れていたけどブロックしてくれなかったですか? >>697
将来的に、復号ツールが5.0.4にも対応できるようになる可能性があるので、ファイル自体は残しておいたほうがいいと思うよ >>699
絶望の闇の底、というくらいまでのダメージ受けてるなら身代金払ってデータ回復したらいいのに
このスレでもどうしてもデータが諦められないひとは金払って、データ回復してる例がある >>609-655
過去スレでもいた
もちろん100%戻るという保障はないから、最終的には自分で判断するしかないけどね 泡立てるパワーは凄く強いです。浅いコップだと、勢いがありすぎて、こぼれます。コップに蓋をするなどして、
こぼれない工夫が必要かと思います。また、本体を立てることができるスタンドがついているのは便利でした。
星を1つにしたのは、数日で壊れたことです。棒が折れてしまい、すぐに使えなくなり残念でした。 コップからこぼさなくなるまでグンマーの豆腐屋で修行しろ ランサムウェアってなにかなぁ
テロリストに捕まったとき着せられる
オレンジ色のやつかなぁ tp://d2gfnym7wzulsm.cloudfront.net/pc_shleld_lite_2/index.html
---------------------------
Web ページからのメッセージ
---------------------------
Windows Security Center: Your PC Shield Internet Security subscription has expired today. Renew now to protect your computer from the latest Ransomware viruses.
---------------------------
OK
---------------------------
これってランサムウェアです? >>711
Windowsセキュリティセンター:PCシールドインターネットセキュリティのサブスクリプションが今日満了しました。
最新のRansomwareウイルスからコンピュータを保護するために今すぐ更新してください。 というかランサムウェアだと思ったならそんな危険なアドレスを直接貼るなよw ネカフェのPCに繋いだ外付けHDDがランサムウェア(GANDCRAB 5.0.4)にやられたみたいで
画像ファイルとかが拡張子変更されてたんだけど、これってHDDをフォーマットすれば大丈夫なの?
なんか拡張子変わってないファイルもあるけどそれは残しておいても問題無いのかな? >>716 大丈夫
ただ、ネカフェにデータの入ったストレージを持ち込む時点で脇が甘いんじゃね?
普通に考えて、そういう脇の甘い奴は自宅でもやらかしてる ファイルは消えるが、初期化してしまえばランサムウェアなんて関係なくなる。
勿論、バックアップは取ってあるんだよな?
無いのだとしたら脇が甘すぎるわw >>717、>>718
そうなのか情報サンクス
ランサムウェア初めてだったからネカフェでいきなり背景変わった時はアレ?くらいにしか思わなかったわ
やっぱりバックアップ取るのってめんどいけど大事なんだな…(初歩的) まともなネットカフェだと電源落とす度にOSイメージが復元されてウイルスなんて気にしないでいいんだけど、そうじゃないところもあるんだな >>720
今どきのネットカフェって、そんなことになっているのか!
たまがったばい >>722
今どきの、って言うけど、10年以上前からそういうシステムのネットカフェは多かったよ
こういうやつ
https://www.tbpress.jp/solution/recovery.html 以前と比べると最近はランサムウェアの感染の話、あまり聞かなくなったよね?
もちろんなくなったわけじゃないけど、一時は大騒ぎしてたのに今は全然って感じ 知名度が十分に上がってきたからじゃね?
大半がメールの添付ファイルとかネットに転がっているexeとかだから
まぁ存在と危険性を知ってれば避けることは容易だし。
勿論例外もあるから感染者は今もいるんだろうけど マカフィー入れてたが
GandCrab5.1にかかってモーター RansomFreeはサポート去年終了してるんだな >>726
マジかよ
マカフィー防いでくれなかったのかよ
入れてるんだが
マジで怖いがな Ransome free マジだった。。
https://www.cybereason.co.jp/news/info/3074/
無償版でまだ生き残ってるのはAcronisのくらい?
Malwarebytesのはずっとベータテストしてたけど有償版に機能統合されたよね 助けて下さい
出先で外付けHDDを繋いだところGandCrab V5.1にやられました。大切なデータが多く諦められません。
質問なのですが、
1.このHDDを他のPCに繋いでも大丈夫でしょうか(感染が広がったりしないか)
2.拡張子が変更されていないファイルもあるのですが使用しても大丈夫でしょうか
3.GandCrabを駆除するおすすめの方法を知りたいです
4.データの復旧は可能でしょうか、また、その方法はどうすればいいですか?
近日に使用するデータもあり、頭を抱えています。どうかお力添えをお願いします。 まあ無料でってなら無理だね。
現状金はらうしかない >>734
1
たぶん大丈夫
でも最悪データが消えてもいいPCで体験版でもいいのでカスペルスキーかノートンの入ったPCでスキャンすることをおすすめする
2
大丈夫
3
どういう意味で「駆除」と書いてるのわからないけど、感染したのは「出先」のPCなので、外付けHDDにはウイルス(ランサムウェア)はいないはず
まぁ、万一という事もあるので、1で書いたようにチェックしたほうがいい
もし見つかればウイルス対策ソフトが駆除してくれる
4
GanCrab 5.1は現状、身代金を払う以外にデータ復旧する方法はありません
5.0.3までは復号ツールが出てるので、将来的に、5.1も5.0.3までと同じように復号できるようになる可能性もありますが、永遠に復号ツールが出ない可能性もあります。
どちらかは現時点ではわかりません。
どうしても暗号化されたデータを復旧させたいなら身代金を払えばデータが戻る可能性は高いですが、100%戻る保証があるわけではないので、おすすめするわけではないです。
このスレでも過去スレでも、身代金を払ってデータ回復した例はあります。
>>609-655 >>734
> 近日に使用するデータもあり、頭を抱えています。どうかお力添えをお願いします。
近日中にどうしてもデータが必要ならいつ出るかもわからない5.1対応の復号ツールのリリースを待てないだろうから身代金を払うしかないかもしれないですね
100%の保証はないがこういう話も
http://ascii.jp/elem/000/001/159/1159153/index-2.html 総合セキュリティソフトとは別枠(共存可)のランサムウェア専用対策ソフトって
大分下火になってきた気がするけど2019年現在で実用性的にどうなんだろう? 私もHDDのアクセスが激しいと思ったら5.1に感染していました、打つ手はないようなのでGMOとDMMの口座開設の手続きをしました。 >>736-737
ありがとうございます。
身代金を払う以外の復旧手段は無いのですね・・・
HDDが大丈夫そうなら残っているデータを確認して対応を決めたいと思います。 >>739
セキュリティソフトは何を使ってました? 訳のわからない添付ファイル実行したとか以外で感染するんか >>741
マカフイーでWindows7です、感染元はわかりません、復旧したらWindows10にしようと思います >>743
マカフィー使い続けるなら738の言うランサムウェア専用対策ソフトも入れたほうがいいですね >>732
教えてくれてありがとう
Malwarebytesのがベータ版でも更新されてるのはありがたい
以前入れてて特に問題はなかったし、これをあらためて入れることにする >>726氏と>>743氏って同一人物?!
別人だったらめっちゃ怖いわぁ、俺もマカフィー使ってるから。。
マカフィー、GandCrabの最新版を検知出来ないのかね?! GandCrab感染経路
1.Webサイト閲覧(ドライブバイ・ダウンロード)
『条件』
(1)最新のWindows Update が実施されていない
(2)Adobe Flash Playerが最新版ではない
2. ウイルスメール
(1)迷惑メールの添付ファイルを開いた
(2)迷惑メール本文中のリンクからダウンロードしたファイルを開いた
3.exeを拾い食い
こんなとこ?
マカフィーに限らずウイルスとセキュリティソフトは所詮イタチごっこだから
今のは検知できても次の亜種を検知出来るとは限らないよ。 739です
複合までいけたので報告します
まず、作成されたtxtに書いたあったアドレスにTorでアクセスしたところ、身代金、送付アドレス、身代金倍増までの時間
が表示されました、身代金はDASHで$550US、BITCOIN(+10%)と提示されていました。
開設まで間に合いそうにないのでチャットで伸ばしてもらいました
1/30に開設できたので、DASHは取り扱いがないのでBITCOINで送金、30分後位に画面が変わりDecryptorがDLできるようになりました。
送金額は日本円で65000円ほどになりました。
DLしたDecryptorで複合中ですがコマンドプロンプトで実行されバックアップを取りながら複合しているので遅いです
24時間以上複合しているのですがまだ終わりません
高い授業料でした。 貴方はそれでよかったかもしれないけれど、
そのいわゆる身代金が次のランサムウェアの開発や拡散に使われ新たな被害者が増えていく、
という現実にもキチンと向き合って欲しいね >>748
報告ありがとう
流れが参考になりました
高い授業にはなったかもしれないけど、身代金を払ったが復旧できないという最悪のケースにはならなかったようでよかった 24時間以上かかるとか復号ってそんなに時間かかるんだ
暗号化されるのはあっという間なのにね 今流行るなら「即位しませんかスパムメール」も
立太子ボタン押したら暗号化させるタイプなんだろうな >>749
大事な我が子が誘拐されました
身代金を払えば返してあげるけど、払わなかったらもう返ってこないよ、と言われてやむなく身代金を払った人を非難できるでしょうか?
いや、できないでしょう
もし彼が身代金の支払いをしなかったら、今後ランサムウェアの被害は減るのでしょうか?
いや、払っても払わなくても変わらないよね
タリバーンのテロ組織とは違うんだから >>754
PCのデータは我が子ではない
非難してない
例えば、誰一人として身代金の支払いをしなければ経費倒れに終り次のランサムウェアの開発や拡散は不可能になる
> という現実にもキチンと向き合って欲しいね
という話
理解できない人はいちいち出てこなくていい >>752
俺のところにもおととい、「Erika Toda」を名乗るメールが
来てたな、速攻で消したけど。 「現実にキチンと向き合え」って具体的に何にどう向き合えって言ってるんだっつー話だよな
たぶん言ってる本人もわかんないんだろうが
自分が格好つけるつけるために言ってるだけじゃね
>例えば、誰一人として身代金の支払いをしなければ
ありもしない妄想かよ
アホくさ 言いたいことは分からんでも無いが
2016年時点でランサムウェア制作者が手にした金額は10億ドル以上って言われてるのに
2019年時点の6万円そこらに目くじら立てるのはなぁ
お前が海にしょんべんしたから津波の被害が増えたばりのアレだわ おぉこんなことでえらいカッカするヤツ多いんだな面白い
被害者が、カネを払うことで犯罪者側に資金援助という形で加担する、
単なる被害者から被害者兼加害者になっちゃう、
という無色透明な話なのにな
ここで、テロ組織に身代金を渡すなー! とか書くと安倍がーの人が現れたりするんかな >安倍がーの人が現れたりするんかな
でたw論点ずらしw
>誰一人として身代金の支払いをしなければ経費倒れに終り
>次のランサムウェアの開発や拡散は不可能になる
こういうことをのたまうのは、無色透明というより純粋無垢だよ。
無学無能と言い換えても良いレベル。 >>748はこのスレにあくまで厚意で、ランサムウェアに感染後の対応という役立つ報告をアップしてくれてるのに、何様か知らんが無関係の>>749があんなただの理想論で上から目線で諭すとか笑止千万だわ
こんなやつがおると今後、事後報告してくれる人が減るかもしれない
せっかくの生のリアルな情報がやりとりされる場なのに
ということも分からず無意味なチャチャチャ入れるようなやつだから馬鹿なんだろう 捜査情報の入ったCD-Rからウイルス感染、福岡県警がイントラを一時停止
ttps://tech.nikkeibp.co.jp/atcl/nxt/news/18/04092/ >>770
ファイルをコピーした事実が正しいのならその後に.exeを実行しているからだ
コピーなどしていなくてもCD-R内にあった.exeファイルを直接実行しているかも知れない >>771
そこまでアホじゃないんじゃないか
俺の妄想では、捜査情報ってのは押収した電子メールで、添付ファイルがWord形式
開いてマクロが実行されてランサムウェアを呼び込んだパターンかな、とか やっぱランサム対策にはそれ専用のアンチランサム入れないと
駄目か?
win10の設定が飛んじゃって、面倒臭いからしばらくほっぽって
Linuxを使ってたら、いつの間にかサイバーリーズンのアンチラ
ンサムのサポートも終わってたしなぁ、どうしよう・・・ 最終的にはユーザーアカウント制御画面の警告確認画面が表示されているのに
(添付ファイルでも展開後に最終的には実行ファイルに対しては確認画面が表示されます)
どの実行ファイルに対して制御が掛かっているのかも確認しないで使用ユーザーがOKしてしまうんだからムダです UAC回避のランサムウェアなんて数年前から出回ってるけどな 特権昇格の穴と組み合わせているのに引っかかっているんなら
さっさと穴を埋めるの方が先だよな
そんなヤツらは勝手にどんなものにでも引っかかっていて下さい 意味不明ならもっと知識が必要だな
こんな所でアドバイスなんてしていないでもっと勉強しましょう ユーザーアカウント制御を回避するランサムウェアやマルウェアなんてなんて数年前から出てるのに
https://www.mbsd.jp/blog/20171012.html
https://tech.nikkeibp.co.jp/it/atcl/news/15/020900463/
>最終的にはユーザーアカウント制御画面の警告確認画面が表示されているのに
(添付ファイルでも展開後に最終的には実行ファイルに対しては確認画面が表示されます)
>どの実行ファイルに対して制御が掛かっているのかも確認しないで使用ユーザーがOKしてしまうんだからムダです
とかしたり顔で言う無能 >>766
仰る通り。
そもそも >>749 は何故上から目線なのか?非常に不愉快。 ■ このスレッドは過去ログ倉庫に格納されています