ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
話題のランサムウェアの情報を共有しましょう。
ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。
残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。
攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)
■前スレ
ランサムウェア総合スレ Part4 [無断転載禁止]©2ch.net
http://tamae.2ch.net/test/read.cgi/sec/1468625700/
■テンプレ
スレ立て時には本文の文頭に「!extend:checked:vvvvv::」を入れて立てて下さい。
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。
VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured 貴方はそれでよかったかもしれないけれど、
そのいわゆる身代金が次のランサムウェアの開発や拡散に使われ新たな被害者が増えていく、
という現実にもキチンと向き合って欲しいね >>748
報告ありがとう
流れが参考になりました
高い授業にはなったかもしれないけど、身代金を払ったが復旧できないという最悪のケースにはならなかったようでよかった 24時間以上かかるとか復号ってそんなに時間かかるんだ
暗号化されるのはあっという間なのにね 今流行るなら「即位しませんかスパムメール」も
立太子ボタン押したら暗号化させるタイプなんだろうな >>749
大事な我が子が誘拐されました
身代金を払えば返してあげるけど、払わなかったらもう返ってこないよ、と言われてやむなく身代金を払った人を非難できるでしょうか?
いや、できないでしょう
もし彼が身代金の支払いをしなかったら、今後ランサムウェアの被害は減るのでしょうか?
いや、払っても払わなくても変わらないよね
タリバーンのテロ組織とは違うんだから >>754
PCのデータは我が子ではない
非難してない
例えば、誰一人として身代金の支払いをしなければ経費倒れに終り次のランサムウェアの開発や拡散は不可能になる
> という現実にもキチンと向き合って欲しいね
という話
理解できない人はいちいち出てこなくていい >>752
俺のところにもおととい、「Erika Toda」を名乗るメールが
来てたな、速攻で消したけど。 「現実にキチンと向き合え」って具体的に何にどう向き合えって言ってるんだっつー話だよな
たぶん言ってる本人もわかんないんだろうが
自分が格好つけるつけるために言ってるだけじゃね
>例えば、誰一人として身代金の支払いをしなければ
ありもしない妄想かよ
アホくさ 言いたいことは分からんでも無いが
2016年時点でランサムウェア制作者が手にした金額は10億ドル以上って言われてるのに
2019年時点の6万円そこらに目くじら立てるのはなぁ
お前が海にしょんべんしたから津波の被害が増えたばりのアレだわ おぉこんなことでえらいカッカするヤツ多いんだな面白い
被害者が、カネを払うことで犯罪者側に資金援助という形で加担する、
単なる被害者から被害者兼加害者になっちゃう、
という無色透明な話なのにな
ここで、テロ組織に身代金を渡すなー! とか書くと安倍がーの人が現れたりするんかな >安倍がーの人が現れたりするんかな
でたw論点ずらしw
>誰一人として身代金の支払いをしなければ経費倒れに終り
>次のランサムウェアの開発や拡散は不可能になる
こういうことをのたまうのは、無色透明というより純粋無垢だよ。
無学無能と言い換えても良いレベル。 >>748はこのスレにあくまで厚意で、ランサムウェアに感染後の対応という役立つ報告をアップしてくれてるのに、何様か知らんが無関係の>>749があんなただの理想論で上から目線で諭すとか笑止千万だわ
こんなやつがおると今後、事後報告してくれる人が減るかもしれない
せっかくの生のリアルな情報がやりとりされる場なのに
ということも分からず無意味なチャチャチャ入れるようなやつだから馬鹿なんだろう 捜査情報の入ったCD-Rからウイルス感染、福岡県警がイントラを一時停止
ttps://tech.nikkeibp.co.jp/atcl/nxt/news/18/04092/ >>770
ファイルをコピーした事実が正しいのならその後に.exeを実行しているからだ
コピーなどしていなくてもCD-R内にあった.exeファイルを直接実行しているかも知れない >>771
そこまでアホじゃないんじゃないか
俺の妄想では、捜査情報ってのは押収した電子メールで、添付ファイルがWord形式
開いてマクロが実行されてランサムウェアを呼び込んだパターンかな、とか やっぱランサム対策にはそれ専用のアンチランサム入れないと
駄目か?
win10の設定が飛んじゃって、面倒臭いからしばらくほっぽって
Linuxを使ってたら、いつの間にかサイバーリーズンのアンチラ
ンサムのサポートも終わってたしなぁ、どうしよう・・・ 最終的にはユーザーアカウント制御画面の警告確認画面が表示されているのに
(添付ファイルでも展開後に最終的には実行ファイルに対しては確認画面が表示されます)
どの実行ファイルに対して制御が掛かっているのかも確認しないで使用ユーザーがOKしてしまうんだからムダです UAC回避のランサムウェアなんて数年前から出回ってるけどな 特権昇格の穴と組み合わせているのに引っかかっているんなら
さっさと穴を埋めるの方が先だよな
そんなヤツらは勝手にどんなものにでも引っかかっていて下さい 意味不明ならもっと知識が必要だな
こんな所でアドバイスなんてしていないでもっと勉強しましょう ユーザーアカウント制御を回避するランサムウェアやマルウェアなんてなんて数年前から出てるのに
https://www.mbsd.jp/blog/20171012.html
https://tech.nikkeibp.co.jp/it/atcl/news/15/020900463/
>最終的にはユーザーアカウント制御画面の警告確認画面が表示されているのに
(添付ファイルでも展開後に最終的には実行ファイルに対しては確認画面が表示されます)
>どの実行ファイルに対して制御が掛かっているのかも確認しないで使用ユーザーがOKしてしまうんだからムダです
とかしたり顔で言う無能 >>766
仰る通り。
そもそも >>749 は何故上から目線なのか?非常に不愉快。 ユーザーアカウントの制御画面をパスするって事はsysytem権限で実行されるって事だぞ
管理者権限で実行されていたら確認画面は表示されます
その最初の画面でOKしてしまっているから感染しているのですよ
それらのサイトの内容は全く信用なりませんw 脆弱性の穴を突いて実行して権限昇格ってのは管理者権限で実行すると
勝手にウィルスなどの実行プログラムがsystem権限に昇格されて実行されちまうって事だぞ
だから、ユーザーアクセス制御画面をスルーする
嘘っぱちな記事なんて信用しているんじゃないよ
まあ、今の所サイト閲覧だけで実行されるようなものはここのところずっと発生していないようだから
問題なさそうだけどoffice製品の穴辺りは放って置くとヤバいかも知れないけどさ・・・ >ユーザーアカウントの制御画面をパスするって事はsystem権限で実行されるって事だぞ >>782
https://tech.nikkeibp.co.jp/it/atcl/ncd/14/457163/020900436/
> 1)Dridexが、アプリケーション互換性データベース($$$.sdb)、バッチファイル($$$.bat)、Dridexのコピー(edg3FAC.exe)を作成する。
> 2)アプリケーション互換性データベースのインストール・アンインストール用コマンド「sdbinst」を使用して、$$$.sdbをインストールする。
> 3)iSCSIイニシエータのコマンドラインツール「iscsicli」をDridexが起動。$$$.sdbの設定に従って、iscsicli.exeが$$$.batを管理者権限で実行する。
> 4)$$$.batがedg3FAC.exeを管理者権限で実行する。
>
> 以上が可能になるのは、sdinst.exeやiscsicli.exeのような自動昇格プログラムは、プログラム起動時にUACの警告を表示することなく管理者権限に自動的に昇格するためだという。
>
> JPCERT/CCでは、今回紹介した新手法は従来の手法によりもシンプルなので、今後Windowsの仕様が変更されたとしても、継続して用いられる可能性があるとしている。
> また、Dridexだけでなく、別のウイルスで使われていることも確認しているという。
シンプルに悪質な手口で草生える
ユーザーアカウントの制御画面はいつも使っているアプリケーションでも毎回表示される設定なせいで
そもそも動作が習慣化しやすい人間が毎日継続して使うことを前提にした設計になってないし
いつか自分も被害に遭う可能性を考えると頼りないな >信頼できる企業・組織にデジタル署名されているプログラムと、
>sysprep.exeのような自動昇格プログラムを組み合わせて、ウイルスを管理者権限で実行させるという。
これは、いつも問題になっているバッファオーバーフローなどの脆弱性を利用しているものと推測される
こいつはいつもsystem権限に特権昇格して実行されてしまうので、決して管理者権限としての実行ではない
管理者権限で実行されたものはUACアカウント制御の画面が必ず表示されます
でも、マイクロソフトのOSなので確実ではない可能性は十分にありますよ GANDCRAB v5.1用の複合ツールはまだか!? UAC回避機能を複数搭載したランサムウェア「HkCrypt」
https://www.mbsd.jp/blog/20171012.html
たったのこれだけでUAC回避って・・・ まあ、UACなんて80%くらいの人が無効にしてるだろう 検索したんだけど「HkCrypt」の実態がわからん
これは自体は実行ファイルですよね?
普通にクリックしたのでは、最初に一度だけUAC制御画面が表示されると思いますよね
脆弱性を利用して普通の実行ファイル以外のものが走った際に主にやられてしまうものなんでしょうかね?
実行しちまうとUAC制御画面をスルーするだけですか?
この説明を見る限りは各ベンダーがリアルタイムスキャンで対応していて当たり前の挙動だと思いますが
未対応なんですかね? 『「HkCrypt」が実装していたUACバイパスの手法は、今年になり海外のウイルス対策ソフトウェアベンダーの
セキュリティ情報サイトで言及(※)されたUACバイパスの手法と同一であることが判明しました。』
Fileless UAC Bypass Uses Windows Backup and Restore Utility
https://threatpost.com/fileless-uac-bypass-uses-windows-backup-and-restore-utility/124579/
>>This attack, similar to a UAC bypass using the Event Viewer feature disclosed
>>by Nelson last summer, is fileless
>> “From an attackers perspective, this reduces the risk of their malware/payload getting detected
>>and quarantined by different security products.” 読む限りrootにsetuidされたプログラムが走らせるスクリプトのパーミッションが777に設定されてるようなもんだと思うんだけど
修正されずに放置されてんの? お前のセキュリティーソフトは新種・亜種すべてに対応してる、完璧なものなのか?
実行ファイル???
お笑いものだな totalvirusってあるよね
あれのハッカー版があるんだよ
作ったウイルス検知されないか調べるHPがある >>796
>脆弱性を利用して普通の実行ファイル以外のものが走った際に主にやられてしまうものなんでしょうかね?
この言ってる意味がわかるか?
トリガーになる「HkCrypt」になる実体ファイルは実行ファイルなのか?あんたにはわかっているのか?
それならば説明が欲しい
私が >>791 の最初にexplorer.exeの配下で起動されているものを見る限りは
実行ファイルだと思われる
てことは、一般的な感染ルートとして何らかの脆弱性の基でこの実行ファイルが起動されていると考えます ランサムウェア「GandCrab」の復号ツールが機能強化 - 最新版にも対応
http://www.security-next.com/102646 なお、5.1までの復号ツールがリリースされたため、2/19に復号ツールが効かない5.2がリリースされた模様 RSA-2048の鍵をどうやって生成するのかよく分からんけど
1ファイルは無料で復号できるってのが穴になってるんだろうか? GandCrab 5.1の複合ツールで早速復号させて頂きました。
ありがたやありがたや。 >>803
それは関係ないんじゃないかな
一時猛威をふるったLockyも1ファイル無料で復元サービスあったけど、結局、復号ツール出なかったし
GandCrabも流行ってるけど、復号ツールと新バージョンのいたちごっこになっている
脆弱性が見つかりやすいのかな >>804
ホントによかった
復号にはそれなりに時間かかるの? >>806
物凄く速かったよ。バックアップ有り(オプション)でも。
ただ、セーフモード(+ネットワーク)で実行しないと、途中で進まなくなる事があった。 GandCrab 4/5はファイルの先頭1MBしか暗号化しないと書いてあるね >>808-809
なるほど、そうなのね
ありがと >>804
改善報告有り難い
よければURL載せていただけると助かります 本当にこれ国内で相当数の感染あるのかな?
どうもマッチポンプの気がするな 最近、芸能人の名をカタり、圧縮ファイルを添付した変なメールが
くるもんなぁ。
いつも速攻で削除してるが、先週は「戸田恵梨香」、今朝も「金城武」
からメールが来てたw >>811
>>800の記事にリンクはってあるだろが >>815
日本語の壁は大きいよね
完璧な日本語で巧みに添付のマクロ入りWord文書を開かせるような文面だったらもっと感染者はもっと増えると思うわ >>814のサイト右下部にある「GandCrab (V1, V4 and V5 up to V5.1 versions)」で5.1の復号化できた
貴重なエロDVDのデータだから助かったわ 「Takayuki Yamada!」など、日本の芸能人(男女を問わず)の件名の不審メール、午後もバラ撒かれています。
添付されたファイルは、GandCrabランサムウェアに感染させるマルウェア(広義にはウイルス)ですので、絶対に開かないよう、お気を付け下さい。
https://twitter.com/harugasumi/status/1099917637117591552?s=21
これ、GandCrab 5.2を落としてくるマルウェアらしいが、新種(亜種)が出たばかりではセキュリティソフトの定義ファイルではほとんど検知できないな
https://www.virustotal.com/ja/file/736895b5b6b194e55499c6ee6004fe2be2c90d079d7d59ed319c510a12ec675d/analysis/1551073656/
ヒューリスティック検知とかで見つけてくれるのかしら
併用可能なランサムウェア専用のセキュリティソフトもいくつかあるけど効果があるのかいまいちよく分からない
https://twitter.com/5chan_nel (5ch newer account) さっきチェックしたら、また来てたわ〜
今度は、「阿部寛」と「クリスタル・ケイ」w 挙動自体はファイルの暗号化&元ファイルの削除一括処理.batだから
OSの機能として暗号化が行われる際はバックアップを取るようにして
削除含めた複数の処理が行われた場合はユーザーに確認を促して続行するか中止して復元するかを選ばせるだけでも止まるんだけどな ランサムウェアに感染するようなレベルのやつの言うことなんて説得力ゼロだわ 元ファイルが生のまま別途保存される暗号化処理って何の意味があるん? 暗号化処理するのはランサムウェアの挙動で
その暗号化処理が行われる前にOSがバックアップを作っておくってことじゃね 普通に考えて暗号化したブロック毎に逐一元ファイルに上書きだろうに 別にOSに暗号化をお願いするわけでもないから
ファイルを読んで読み込んだ内容を何か処理して上書きするってプログラムにしか見えないよ
もちろん誤爆を恐れないならそういう挙動をヒューリスティックに検出するってのはありうるけど >>825
暗号化処理がランサムウェア由来か判断できないから
OS側で暗号化処理を察知したら毎回元データのバックアップを取るようにしろって話やぞ ファイル上書きの場合はユーザーに確認獲れるまで別途バックアップ領域に一時保管しておくってのは良い線行ってるかもな
OneDrive/GoogleDrive/iCloud普及させたい思惑とも一致するだろうし そもそもアプリのアップデートでファイル更新される事との違いすらOSにはわからんだろう
一体何Gのバックアップが必要になるんだよと GB程度で済むなら設定する人多そう
アプリケーションのアップデートの時もどの領域が書き換えられているのか明示されたら
偽のアップデーターとかアドウェア混入の判別も付きやすいだろうし GBオーダーの上書きと削除を毎回ユーザーに続行するか中止するか確認せるのか スナップショット系のバックアップで5分ごとにバックアップをとる製品はあるから無謀ではないよね 今朝もいろんなやつからメール来てたな、「中森明菜」や「新垣結衣」
既に故人の「藤圭子」からも来てた (^^; 拡張子がqweuirtksdに代わってしまった。それとビットコインで支払えというtxtが貼られている バックアップから復元して犯人たちをあざ笑ってやればいいだけ NASでpassなしor簡易なpass?
モスクワの子がまたヒマになったか >>837
はい、これはNASでPASSなしでした。
qweuirtksdはNASを狙ってくるんですか? >>839
情報ありがとうございます。
NASの中にできたexeファイルを何回も削除しても生成されちゃって困ってましたが、
PASSを掛けたら 止まりました。
ということは外部からずっと入ってきたんでしょうか。。
とりあえず復元できる情報がなかったので
qweuirtksdの拡張子を消してそのまま使えるか試しました。
結果 mp3ファイルは 出だしの数秒が消えていましたが他は再生できました。 日本の芸能人の名前を件名にした悪質メールが拡散、ダウンロードされるのはランサムウェア「GandCrab」やスパムボット「Phorpiex」など
https://internet.watch.impress.co.jp/docs/news/1178925.html cryptotesterがkasumiとかmistyにも対応してくれてたらなぁ パソコンのファイルの拡張子の後ろに.lodetという拡張子が書き加えられてしまいファイルが開かなくなりました。
.mp3.lodet
.pdf.lodetなど
これもランサムウェアでしょうか? 挙動を見る限りそれっぽいね
金銭を要求されてるなら確実 >>844
ありがとうございます
やはりそうなんですね…
この状況を解決する手段などあるものなんでしょうか?
調べてみても.lodetの症状は見つからなくて… 「No More Ransom」プロジェクト
https://www.nomoreransom.org/ja/index.html
とりあえずここで確認してみるといいよ。
多分、一番情報が集まってるサイト >>846
情報ありがとうございます。
ここに2つのファイルとテキストデータを入れた所、エラーが表示されてしまい何も得られませんでした… まぁ今の時点で感染発病する時点でもうまともな対抗策は出てこないよ
諦めたほうが速い ■ このスレッドは過去ログ倉庫に格納されています
