ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
話題のランサムウェアの情報を共有しましょう。 ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。 たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。 残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。 ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。 攻撃手法は主に3つ 普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法 不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法 メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い) ■前スレ ランサムウェア総合スレ Part4 [無断転載禁止]©2ch.net http://tamae.2ch.net/test/read.cgi/sec/1468625700/ ■テンプレ スレ立て時には本文の文頭に「!extend:checked:vvvvv::」を入れて立てて下さい。 強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。 VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured まずこんなのにひっかかるのってまさにセキュリティって何レベルの放置環境ぐらいしかあり得ない その上でなんにも考えず日頃からIE使ってるようなのだけ >>75 できている >>77 そのURLのどこに 「、3月のMS17-010の修正パッチを適応していないOSはwindows10でも感染すると書いてある。 」 なんて書いてる? >>79 「Windows 10 Creators Update (バージョン 1703) は対策済みのため MS17-010 を適用する必要はありません」の部分だけど、ちょっと深読みすしぎたかな? ま、MS17-010の修正パッチはwindous10でも出てるしな。 https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx >>80 WannaCrypt で使用されている悪用コードは Windows 10 には無効であることを確認しています。 ttps://news.microsoft.com/ja-jp/2017/05/15/170515-information/ 別にCUに限定してないみたいだけどな >>81 それは深読みとかいうレベルじゃなく読み間違いレベル 脆弱性があってWindows10用のパッチが出てること自体は事実だが、パッチが当たってなかったら攻撃を受けるという話ではない。 https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/ に "The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack." と書いてある。 >>82 う〜ん、そうか… こっちが間違えたようだ、すまん まあ、なんにしても初心者レベルの何も知らないユーザーは、アローンでルーターを介してネットしているのなら 攻撃対象にならなかったのは幸運だな 企業は以前からそうだが、サーバーの脆弱性に関して危機感のない所ばかりだから勝手にしろって感じですね 指摘されていてもずっと放置しているウェブサーバーがたくさんあるから、 ホームページを書き換えられたりする クロスサイトリクエストフォージェリの脆弱性だって知らんぷりしてずっと放置していましたからね 素人向けの対策 ・WindowsUpdateは自動にしておく ・LANが不要であってもルーターを使う ・まともなセキュリティ対策ソフトを入れる 実際、これやってるだけで今回は感染しないわけでな・・・・・・ >>86 お年寄りが感染しているという事実をどうみますか。 初期設定のままだろうに。 ポート閉じるとかやっておきたいけれども、 正直やり方分からないw >>76 > 主な感染源はWebの広告等からクリックしなくてもプロセスを実行される系の攻撃なので WannaCryに関してはこれは間違い。他の記述はあってるけど。 意外にも、外部から445番ポートでアクセスできるPCは結構多かったということ。 >>47 氏が使ってる古いルーターとかね。 2017年5月18日に行ったインターネット検索エンジン「SHODAN」の検索結果によれば、インターネット上で445番ポートを開放している Windows環境は全世界で 50万件以上が確認されました。 日本でも同条件で 3万件近くが稼働しており、そのうち Microsoft が使用停止を求めている「SMBv1(サーバー メッセージ ブロック 1.0)サーバ」の使用が推測されるものが 7割以上を占めていました。 http://blog.trendmicro.co.jp/archives/14920 >>87 86じゃないけど、>>47 のようなADSLルーターもあるみたいなので、WindowsUpdateしてないことと相まって感染したのでは WannaCryptじゃないけど実際それだけやってても感染したぞ>>86 今回の件であまりパソコンに傾倒しすぎるのも良くないなと思った パソコンは1台でいいや あー、>>94 は>>88 宛てでした。 >>93 質問に答えたやったのにスルーとか死ね >>95 すいません 飛ばしてました ありがとうございました! >>95 135,137,138,139,445 全て解放されていないそう ありがとう ポートを閉じるんではなくて、この場合445番をフィルターするんだよ。 紆余曲折あって現在MSEに原点回帰しているのですがやはり変えたほうがいいでしょうか >>99 前スレの>>282-283 や>>940 を見るとそう言えるかもしれませんね 例のほとんどが防いでいたというあのテスト結果ですよね やはり検討します OSとアンチウイルスの会社は分けたほうがいいかもしれませんね。気休めですが。 今回の件はNSAが作ったSMB1の脆弱性をついたウイルスがハッカーに盗まれてしまった事を公開しセキュリティパッチを積極的に当てさせる行動をとるべきだったんじゃないかと思ってる。 >>92 多分だがフラッシュなどの脆弱性つかれたか単純にランサムウェア入りのファイルを気付かず実行したか、怪しいメールから感染とかもあるからランサムウェアは注意しなければならない >>94 ルーター側がポートを開いていたって、ローカルIPアドレスにそれをマッピングしないと パソコンまでパケットが到達しないので、外部からの攻撃は不可能だ どこでそんな知識を入手しているんだ? モデム直付けなんだろうね おまけにファイアーウォールが適正に設定されていない このレベルはもうどんなアドバイスしてもダメだろうね >>88 ポート自体を完全に閉じたければ、445番関連のファイル共有のサービスなどをを無効にする そもそも、ポートを開くのは該当プログラムだから、起動させなければ開かない ただし、ネットとメール以外で色々と障害が出るのが予想される >>92 そもそも>>86 は「今回は感染しない」と書いてるのに、 > WannaCryptじゃないけど ってどーいうことよw 意味不明にもほどがある >>103 NSAからウイルスがハッカーに盗まれたわけではない >>105 結果が閉じてれば問題って話だろう 最後のやつ、ミスった 閉じてれば問題ないって話だろう だった ルータで意図的にポートを閉じる必要は普通はない UPnPで無理やりNAPTテーブルを作られた場合に安全という程度 Kaspersky Labによると、ランサムウェア「WannaCry」に感染したPCのOSの98%は既にセキュリティパッチが公開されていた「Windows 7」で、 「Windows XP」はほとんどなかったという。 世界中で猛威を振るったランサムウェア「WannaCry」に感染したPCの98%は「Windows 7」搭載だった──。 ロシアのセキュリティ企業Kaspersky Labのグローバルリサーチ担当ディレクター、コスティン・ライウ氏が5月19日(現地時間)、 自身のTwitterアカウントでバージョン別感染率グラフをツイートした。 https://twitter.com/craiu/status/865562842149392384/photo/1 「WannaCryのWindowsバージョン別感染で、最悪だったのはWindows 7 x64だった。Windows XPはほとんどない」と説明する。 http://image.itmedia.co.jp/news/articles/1705/20/yu_wanna1.jpg WannaCry感染のWindowsバージョンでの内訳(資料:Kaspersky Lab) 「Windows 7」はまだ米Microsoftのサポート対象であり、WannaCryを回避するためのセキュリティアップデートはWannaCryまん延の2カ月前には公開されていた。 MicrosoftはWannaCry発生直後にサポートを終了したWindows XPなどに対してもセキュリティパッチを公開したが、Kasperskyの調査によると、 被害に遭ったユーザーのほとんどが、正規のセキュリティアップデートを適用していなかったことになる。 米分析会社Net Applicationsが毎月発表している世界OS市場のバージョン別シェアでは、4月の時点でWindows 7のシェアが48.5%でトップだった。 Windows XPは7.04%だ。 http://image.itmedia.co.jp/news/articles/1705/20/yu_wanna2.jpg 2017年4月のバージョン別世界OS市場シェア(資料:Net Applications) http://www.itmedia.co.jp/news/articles/1705/20/news034.html >>110 感染したパソコンの件数じゃなく、感染してしまった企業の件数と個人に特定したデータを是非公表して欲しいね セキュリティ企業だから、大げさに発表したくてウズウズしているんだろうけど・・・ 今回のものの特徴は、WAN網じゃなくて最初に感染した1台がLAN網でワーム活動をして、感染を広げるのが特徴 .exeを踏んだ以外でのネット網経由での個人の感染件数なんてほんの一握りだけだよ そもそも7とVistaとWS2008以外はexe踏まないと感染しないんじゃないかな 今回のバージョンはメール経由で拡散された形跡はないらしいからexe踏んだ人は4月以前から出回ってた古いやつに引っかかった、と >>113 それきっと、WAN網から445番ポートにアクセスしてきたパケットの件数だけだよね 今回の件で企業の脆弱なサーバーは、ワーム攻撃で感染はしただろうけど、 それはほんの一例に過ぎず自己責任です 感染した企業例は少ないはずです 多くても怠慢だと笑うだけですけど・・・ 暗号化されてあぼんするだけだろ山田やキンタマに比べたら余裕だわ >>87 基本は初期設定でもいいというだけで、初期設定=安全ってわけじゃねーからな セキュリティ対策ソフト、ちゃんと更新してねーとか WindowsUpdateは自動だけど、更新に失敗しているとか そもそもOSが古くて論外ってパターンもあるでしょ まぁ分かるなら、今回について言えばSMBv1を明確に無効化したほうがいい (SMBv1無効にしても、Win7以降のファイル共有は問題ないので) なんでぇ、正規のWUやってなかったのが原因なのかよ 自業自得じゃねーか パッチ当たってない445ポートから感染したのとかはもういいから それ以外の愚弟的な感染経緯の情報って出ました? 脆弱性対策をしてセキュリティソフト入れて怪しいメールは開かない あとは変なサイトにはいかないのが最低限の対策か android(asus zenfon3 laser)でFirefox使って以下にアクセスしたら firefoxをロックしましたって出たんだけどこれってウイルスですか? http://www.vitron.pl/jfdya-fudnyxe-riljr-wlbrzgt-hmsi-y43265-lxqiwj-ufvcp-b320175271-msbax-whzmwhgt-glgcxgu-cykyvnkl-vhkw/& ;sa=U&ved=0ahUKEwjI5YPqyv_TAhXKKJQKHcMgAVEQFggRMAM&usg=AFQjCNFG4GjJpp_8wQ6dRV-QApcPR17bSA android(asus zenfon3 laser)でFirefox使って以下にアクセスしたら firefoxをロックしましたって出たんだけどこれってウイルスですか? http://www.vitron.pl/jfdya-fudnyxe-riljr-wlbrzgt-hmsi-y43265-lxqiwj-ufvcp-b320175271-msbax-whzmwhgt-glgcxgu-cykyvnkl-vhkw/& ;sa=U&ved=0ahUKEwjI5YPqyv_TAhXKKJQKHcMgAVEQFggRMAM&usg=AFQjCNFG4GjJpp_8wQ6dRV-QApcPR17bSA >>118 >パッチ当たってない445ポートから感染したのとか こいつまるで何もわかってない >>121 ポーランド語で建設中としか書いてないページですけど? >>120 もしそのURLがウイルス撒くサイトだったらキミはお縄になる可能性がある 特に女性様が涙ながらに訴えたら終わり 脆弱性っていつも決まって、実行権限が昇格されてしまって、 ブロックしていて実行しないことになっているプログラムコードが実行されちまうんだろ? 脆弱性っていつもバッファオーバーフローなんだよなぁ 配列渡しを考慮しないでポインターからの相対アドレスでどこまでも 処理してしまうプログラムを書いていた昔のプログラマーたちの負の遺産なんだよな コードが膨大すぎてマイクロソフトは、もうすべてに対処仕切れないんでしょうかね? これって、ユーザーアカウント制御ダイアログが表示されないで、システム権限とかで実行されちまうんだよな! これで合っていますか? >>119 ありがとう そう、知りたかったのは一般的なPCセキュリティ対策を講じている前提で この問題特有の具体的なあるいは新たな原因とその防御法が何かあるのかなあと思った次第です >>122 ごめんね わかってないです^^; >>110 Windows 7 - 98.35% Windows Server 2008 - 1.52% Windows 10 - 0.03% その他(XP?)合計 - 0.1% ほんまかいな XPはこんなに少ないのか? Windows10作る時1からプログラム組んでos作ればよかったのに そしたら負の遺産もどうにかなるだろうし プログラム経験一切ないから分からないけど XPを使ってる人自体も少ないだろうし XPを使い続けるリスクってのを理解したうえで使ってる人ばかりだろうから >>128 何言ってるのかマジでわからん。 過去からの莫大なの資産の継承ができることがWindows最大のメリットなのに。 Windows RTがどうなったか知らん? それにそもそもWindows 10はセキュリティに強いという謳い文句は嘘ではなかった。 >>128 枯れたコード使わずにOS作るって どれだけ危険なことだか分かってるの? >>127 XPも10もSMBv1の脆弱性でワームに侵入されての感染はない >>130 すまんWindowsRT使ったことないからわかんね >>131 1から作るとやっぱり危険か よく考えると1から作ったら脆弱性とか凄いことになるのかwwwww 自分が無知すぎてワロタ すまん!!! 前スレで、WannaCryの感染報告してた人が3人ほどいたけど、将来、暗号キーの流出等による暗号化されたファイルの復活に期待をかけて拡張子wncryのファイルを保存してるなら、 WannaCryの暗号化の仕組み上、一緒に生成されている00000000.ekyというファイルも復活の時に必要になってくるらしいので、それもとっておいた方がいいよ ランサムだったからこれだけ問題になったけど、これに感染するような所は情報ダダ漏れしてても気付いてなさそうだ ある意味大規模侵入テストみたいなもので、最低限の対策すらしていな所が炙り出された結果となった >>127 XPでのwannacry感染例は世界中どこにも存在しないんよ。 セキュリティ業者が検体を使って故意に感染させたものはあるけど、その場合も伝染させる活動はできないそうだ。 MSはこれに気付いて善意の面をかぶってパッチを配り、XP最強という事実を隠そうとしたけどね。 >>136 じゃあ、あのXP用のパッチの中身は何だったの? >>137 脆弱性自体はあるからパッチの意味はある ただ今回のワームはXPで動作確認していなかったらしく XPではワームに侵入されてもクラッシュしてWannaCryの起動までは至らないらしい パソコン熟知した人でもランサムウェアとかにかかるとやっぱり動揺するものなのかな 俺はまだかかったことないから分からないけど なったらたぶん動揺して何をしていいか分からなくなると思う >>126 見た目でわかるサイトなんて今の時代そうそうないから無意味 怪しいメールも本人は怪しいと思ってないから開くわけで振込詐欺と同じ どちらもこの問題特有ではなく、どんなに教育しても行動力のあるバカを止められない環境ではどうしようもない 被害をなるべく減らすようにバカが使う環境は隔離するとかそういう対処しかない 折角OSにSmartScreenとか装備しても 条件反射で解除してexe起動する馬鹿もいるからな >>136 今回のランサムウェアの出来が悪くてそうなっただけで、同じ脆弱性を悪用した新種が出て来たら感染も伝染も出来ることには変わりはないからパッチを配るのは正しいだろう パッチを当てるOSを最新にするのは当たり前としてセキュリティソフトは本当にWindowsDefenderで大丈夫なのか…? 勘違いしてるヤツ多いけど 今回のパッチは進入経路をふさぐだけのもの ウィルス(ワーム)の活動を阻止するものじゃない ランサムだからこれだけ騒がれたって考えてるやつがまだいるのか ランサムであることは話題作り一役買ったけど、根本的には大規模なワームだから騒がれたんだよ たまたま身代金を要求してきただけで、データぶっ壊すこと自体は他のウイルスと変わらん >>145 ファイル暗号化型ランサムウエア28種類のテスト https://avlab.pl/sites/default/files/68files/ENG_2016_ransomware.pdf 検知しファイル暗号化を防げた数/ランサムウエアの種類 感染数0 28/28 Arcabit Internet Security 28/28 Comodo Cloud Antivirus 28/28 Emsisoft Internet Security 11 28/28 Emsisoft Internet Security 12 28/28 Foltyn SecurityShield 28/28 F-Secure SAFE 28/28 G DATA Internet Security 28/28 Kaspersky Internet Security 2017 28/28 Qihoo 360 Total Security 28/28 SecureAPlus Premium 28/28 Trend Micro Internet Security 2017 28/28 Voodoo Shield Pro 28/28 Zemana Antimalware Premium 28/28 ZoneAlarm Internet Security Suite 感染数1 27/28 Avast Internet Security 2016 27/28 Avira Internet Security Suite 27/28 Bitdefender Antivirus Free Edition 27/28 Bitdefender Internet Security 2017 27/28 Dr. Web Space Security 27/28 ESET Smart Security 10 (BETA) 27/28 TrustPort Internet Security 感染数2 26/28 Avast Free Antivirus 2016 26/28 AVG AntiVirus Free Edition 26/28 AVG Internet Security 26/28 Comodo Internet Security 8 感染数3 25/28 Ad-Aware Free Antivirus 25/28 ESET Smart Security 9 25/28 FortiClient Free 25/28 Norton Security 25/28 Panda Internet Security 25/28 Sophos HOME 感染数5 23/28 Malwarebytes Anti-Malware Premium 23/28 McAfee LiveSafe 23/28 Webroot SecureAnywhere Comlpete 感染数6 22/28 Avira Free Antivirus 22/28 Panda Free Antivirus 感染数7 21/28 Dr Web Katana 感染数17 11/28 Windows Defender 感染数21 7/28 Malwarebytes Anti-Ransomware (BETA) ワームを発見して駆除する通信プロトコルが使われてるらしい先見の明が楽しすぎ。鳥類キャリアのアレな。 都立高校の公式サイトで学校見学の受け付けシステム画面に RFC 1149 なのよ。 スマホ画面画像の最上部に RFC 1149 Network って表示されてる。 http://www.mukogaoka-h.metro.tokyo.jp/site/zen/page_0000000_00017.html 去年の見学用の画面だが今年も見学やってたら誰かに行ってこいww パソコンを立ち上げたらランサムウェアに感染してた ってパターンがありますけど、それってどのタイミングで感染してるんですか? 起動した瞬間?最中? 立ち上げの時間はセキュリティ的には甘くなってるんですかね? あまりパソコンはシャットダウンしない方がセキュリティ的にはいいんでしょうか? >>153 起動した瞬間に感染します。 立ち上げの時間は、セキュリティ的に甘くなっているので 危険ですね。シャットダウンは、なるべく行わない方が良いでしょう。。 >このランサムウェアに感染してしまうと、パソコンの再起動時、 >Windowsが起動する前に身代金を要求するメッセージが表示され、 >OSを立ち上げることができなくなってしまいます。 ttps://www.is702.jp/special/1962/ 再起動時に「感染していることに気づいた」ってだけじゃない? >>153 大抵は前日とかの前回PC使ってる時、又は何日も前と思っといておk。 今時のはランサムもそれ以外も潜伏期間設けて元凶サイト等を判り辛くさせてる。 PC再起動するまでなら対処出来るが何もせず再起動したらアウトってのもある。 前スレの147とかにあるshadow explorer、Recuvaのような、 シャドーコピーからファイルを復活させる方法は、 今回のWannaCryでは、結局、ほとんどダメだったん? 今更だし、半分冗談だけど、拡張子を変更する取り急ぎの方法として、 拡張子を追加するのはどうだろw コマンドプロンプトで、例えば for /r %f in (*.*) do copy %f %f.バックアップ とかやれば、.バックアップという拡張子を足したコピーを作れる ディスク容量が2倍必要になるとか、チープな方法だがw でも、ブームが過ぎたとかで消したくなった時は、 del *.バックアップ で済む あれ、144氏とワッチョイが被ってる ワッチョイも、たまたま同じになる事が稀によくある? >>153 種類によるかも知れんが、ランサムウェア側が勝手に落とすので、 そこから立ち上げたら・・・・ って事になる。 XPで導入可能なランサムウェア対策ソフトはBitdefender Anti-Ransomwareだけ? >>157 今回は試した人はほとんど見かけないし成功例は見てないね まぁご存じのようにransomwareの動作不良だったときのダメモトだし、別に可能性がゼロと確定したわけでもない ごく短時間での感染拡大だったし、感染後の対処法より感染前の予防法の話ばかりになっちゃったからね ここの人たちってRansomFreeとか入れてるの? >WikiLeaks、CIA開発の新マルウェア“Athena”を暴露。攻撃対象OSはWindows XP以降すべて >http://pc.watch.impress.co.jp/docs/news/1060755.html セkリュティ会社が自作自演 >>158 拡張子変更での暗号化予防は、基本的に怪しい というのも例えば、ransomwareの複合感染を以前からちょくちょく見かける uniqueな拡張子のファイルをさらに別のransomwareに暗号化されるということはつまりはそういうこと 昔のように暗号化されるファイルの拡張子の種類が1桁の時代なら決め撃ちだったろうが、 今の百数十種類が云々なんて単に既存の(使われている)拡張子のファイル群を置いて感染確認してるだけだと思う OSとransomwareの動作に必要なものだけ除外設定されてて、それ以外は対象、と考えた方がいいと思う (要はホワイトリスト/ブラックリストと同じ) 2バイト文字拡張子がransomwareからどう見えるか、かかる諸々の手間を単なるofflineバックアップと比べてどうか、という視点は横に置いとくとして >>158 バックアップ作るならISO形式にに固めておけばこれを簡単には改変できない。 マウントすればそのまま使えるし、その状態なら常にREADONLYだ >>157 いつものランサムウェアと同じようにボリュームシャドウコビーも破壊されるから難しかったらしい。 ただ、デスクトップとマイドキュメント、外付けドライブの元のファイルはランダムな文字列で上書き後に消去されているので復元は困難だけど、それ以外の場所のファイルは単純に消去されるだけなので、復元ツールで回復可能とのこと >>167 WannaCryはISOも暗号化するのに意味あるか? http://d.hatena.ne.jp/Kango/20170513/1494700355 もちろん外付けハードディスクに保存していつもはケーブル抜いとくとかならわかるけど >>169 マウントしているISOを暗号化できるなら、おまえを先生と呼んでやるよ >>170 別のランサムウェアは稼働中のVMの実体ファイルも書き換えて起動不能にしてくれるよ? >>170 マウントすれば云々は一行目の追加で書いてるんだろ? なんで都合よく最初からマウント前提の話に変えてるんだ? アメリカ製のマルウェアだったら、カスペが効くのかしらね >>157 shadow explorerは、あんま使えん。全く見えん。 フリーなら、Glary Undeleteの方が良い。ちと怪しい気もしなくも無いが・・・ なんとなくだが。同一能力のもあるが、有料だ。 >>164 アメリカ様はやりたい放題だな まじで国防のためにも国産OSに国産セキュリティ欲しいな ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる