ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net

[0001 名無しさん＠お腹いっぱい。 転載ダメ©2ch.net (ﾜｯﾁｮｲ 0f0d-hKny) 2017/05/19(金) 15:31:04.51 ID:yhnq7ZSF0]

話題のランサムウェアの情報を共有しましょう。

ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。

残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。

攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)

■前スレ
ランサムウェア総合スレ Part4 [無断転載禁止]©2ch.net
http://tamae.2ch.net/test/read.cgi/sec/1468625700/

■テンプレ
スレ立て時には本文の文頭に｢!extend:checked:vvvvv::｣を入れて立てて下さい｡
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。

---

VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured

[0952 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 1f15-7uHn) 2019/09/17(火) 10:00:21.86 ID:CU75qwb30]

>>944-948
あのさ、RDPの一般的な方法のポート開けるっていう前提条件スルーしてイキってるだけだよね
デフォルトって>>943で書かれてるのに"ポートが開いてない場合は"とか脳味噌と目玉は飾りなのか？
一般的な方法で有り得るから注意しようって話なのにイキりながら自分の環境での論点ずれた話して恥ずかしくないの？

[0953 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 9f27-UCMP) 2019/09/17(火) 10:02:24.55 ID:OGZgUkQB0]

本当に恥ずかしいやつだな　アホ
おまえなんてどうでもいいやなw

[0954 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 9f06-cgmd) 2019/09/17(火) 10:44:18.72 ID:cb6KkAQA0]

みんな専ブラ使って、ID:OGZgUkQB0 はNGにしてください

[0955 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 1f94-1Lne) 2019/09/17(火) 13:37:44.65 ID:LJOExw4y0]

論破されたら

>>953
>本当に恥ずかしいやつだな　アホ
>おまえなんてどうでもいいやなw

って捨てゼリフ、むちゃくちゃかっこ悪いねw

[0956 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 9f27-UCMP) 2019/09/17(火) 17:12:01.56 ID:OGZgUkQB0]

論破したって言うのならIRC BOTを利用したRDP操作の具体的方法を1つだけでも個人の意見として理論的に説明してみろよ
それか、説明したリンク先1つでもいいよ
>948のリンク先よりも理論的に突っ込んだ内容で頼むわ
どうもネット用語だけで誤魔化そうとしているようにしか俺には思えないんだわな

[0957 名無しさん＠お腹いっぱい。 (ﾄﾞｺｸﾞﾛ MM7f-UCMP) 2019/09/17(火) 17:49:09.87 ID:0NsG94K1M]

ネット記事って結構と提灯内容が多いんだよね
迂闊に信用するとバカを見る事になるんだよ

[0958 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 1f15-7uHn) 2019/09/17(火) 18:12:35.19 ID:CU75qwb30]

>>956
論破がどうこうと興味は無いけども
それ君が理論的に説明しなきゃならないことじゃね？
RDP云々は>>943が言い出したことだけど
唐突にIRC BOT云々言い出したの君だしさ
IRC BOTとか君以外誰も触れてないよ

君のやってることってランサムウェアと関係無いことへ論点ずらししてマウント取ろうとしてるだけだよね？
それでマウント取るの失敗したらアホとかバカとか小学生レベルのレスするの？
君自身は否定するだろうけど周りから見ればそうとしか見えないよ

[0959 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 1f15-7uHn) 2019/09/17(火) 18:25:07.12 ID:CU75qwb30]

>>956
ついでに言っとくけど「IRC BOTを利用したRDP操作」とか説明しなくていいぞ
ランサムウェアのことじゃないから必要ないし

[0960 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 9f27-UCMP) 2019/09/17(火) 20:08:16.26 ID:OGZgUkQB0]

おまえがこのスレのリーダーになってアピールする事自体に意味があんの？w
そう言った態度がそもそもクッダラねえんだよ

[0961 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 1f15-7uHn) 2019/09/17(火) 21:31:31.04 ID:CU75qwb30]

>>960
何でリーダーだとかアピールとか言ってるのか分からないけれど
そもそもマウント取って優越感に浸りたいがために頓珍漢なレスしてイキった君の落ち度だろ
それを反論されて態度がくだらないとかアピールとか言っても滑稽なだけだよ

[0962 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 9f71-PuqW) 2019/09/17(火) 23:28:29.23 ID:4ZaQeTLE0]

「スレのリーダー」くっそワロタw

笑い死にさせる作戦か？

[0963 名無しさん＠お腹いっぱい。 (ﾄﾞｺｸﾞﾛ MM7f-UCMP) 2019/09/18(水) 00:27:06.93 ID:UjhufXyKM]

>959と>962はその特徴から同一人物での自演です
実に下らないアホと思われる

[0964 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 9f71-PuqW) 2019/09/18(水) 19:28:58.76 ID:38SP/wfD0]

>>963
根拠なしの妄想炸裂乙
全くの別人ですわ

[0965 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 0724-m/N3) 2019/09/26(木) 06:44:25.64 ID:ldv143KF0]

拡張子に全部.nesa がついた...
めっちゃ不便！
どうすれば良いでしょうか・・・

[0966 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 0724-Cuvf) 2019/09/26(木) 09:48:28.14 ID:lhplWa8Y0]

>>965
絶対に取り戻したいなら早めにビットコインの口座を作ることをおすすめします

[0967 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 5fdf-PRKi) 2019/09/26(木) 10:05:41.18 ID:Bzr8f7eA0]

>>965 感染経路を教えてもらえませんかね？

[0968 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ e727-m57F) 2019/09/26(木) 14:46:37.85 ID:LPn0K7Tm0]

>>965
バックアップしてあるものから全部リストアする
バックアップもしていないのならアホだと思って諦めるしかない
通常使用していても故障すればデータは全部吹っ飛ぶんだから
そんなのは当たり前だよね

[0969 名無しさん＠お腹いっぱい。 (ｵｲｺﾗﾐﾈｵ MM1b-m/N3) 2019/09/26(木) 20:44:05.25 ID:9pYMWiBoM]

>>967
多分変なフリーソフトDLしてexe起動したせいですね
根絶は出来ても、全部手動で拡張子書き換えなんて面倒過ぎて...
バックアップが大分古いので参ってます

[0970 名無しさん＠お腹いっぱい。 (ｱｳｱｳｳｰ Sa8b-nvFa) 2019/09/26(木) 21:25:08.56 ID:Muf4+Ts0a]

>>969 暗号化されているので拡張子を書き換えてもムダだと思われ…

[0971 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ df62-9V9k) 2019/09/26(木) 22:51:09.55 ID:xtDY/kyv0]

そもそもマルウェアを根絶出来てるかも怪しい

[0972 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 0724-m/N3) 2019/09/27(金) 06:42:56.16 ID:IUSrux5f0]

>>970
え、そういうことなの？

[0973 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 0724-Cuvf) 2019/09/27(金) 08:19:25.67 ID:lHu+UL3u0]

そんな可愛いランサムウェアだったら一瞬で直せるでしょ

[0974 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ bf10-PRKi) 2019/09/27(金) 08:25:11.99 ID:ZUyFT1Ap0]

拡張子変える程度でだれが金を払うかよ・・・

[0975 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ c782-c9EJ) 2019/09/27(金) 09:38:38.54 ID:WVhEugDX0]

大抵具体的なサイトやファイル名とか書かないんだよな。
「ＡサイトのＢフリーウエアをダウンロードして実行したら、暗号化されました！！！」
発言小町かよw

[0976 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ e715-srNF) 2019/09/27(金) 11:33:46.54 ID:/UMDzTC60]

>>965
同じやつに感染して全て.nesaになった
調べてここに辿り着いたが英語が苦手でどのように使うのか復号出来るのかわからないがどうぞ
https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/page-474#entry4859489

[0977 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 0724-m/N3) 2019/09/27(金) 20:35:09.95 ID:IUSrux5f0]

>>976
ありがとう
調べてみます

たしかに、金払わないと戻らなそうだけど、払っても結局情報出て行って更にドツボにハマるらしいね

[0978 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 0724-m/N3) 2019/09/27(金) 22:24:56.00 ID:IUSrux5f0]

どうやら、STOPDescrypterで復元できそうだけど、.nesaはまだ新種だからコードが見つかっていないようなので、暫く様子見ます

[0979 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 2715-Xaj8) 2019/09/27(金) 23:01:20.73 ID:muHolBVf0]

確か、複合化ツールはランサムウェアのメモリ上の複合化コードを抜き出しているか、間違った実装を突いて複合化してるのが殆んどだったはず
PCの電源落とせばランサムウェアのメモリ上の複合化コードが消えると思う

[0980 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ e727-m57F) 2019/09/27(金) 23:14:07.14 ID:WjDArQPY0]

ほう　それは制作者よりも詳しそうですな
もっと指導の程をよろしく

[0981 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ e7d1-y+KO) 2019/09/28(土) 00:07:38.12 ID:v93W8XL80]

>>969
「変なフリーソフト」って具体的になんですか？

[0982 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ df62-9V9k) 2019/09/28(土) 00:13:16.46 ID:AwXwEqgH0]

何故かフリーで使える有料ソフト的なサムシングじゃないの？

[0983 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ e7d1-y+KO) 2019/09/28(土) 00:29:07.15 ID:v93W8XL80]

変なサイト訪問、誘導とかサイト改ざんとかで感染した人とかいるのかね？
自分はそれが一番怖い

[0984 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ e727-m57F) 2019/09/28(土) 01:31:54.71 ID:yapnEary0]

たぶん脆弱性絡みでリンクを踏んだ際にインストールされたやつはほとんどいないでしょうね
最近の脆弱性を利用しているコードはまず一般ユーザー環境では発動しませんね

[0985 名無しさん＠お腹いっぱい。 (ﾄﾞｺｸﾞﾛ MM7f-m57F) 2019/09/28(土) 02:35:32.39 ID:1hPh2th9M]

何らかのフェイクされた実行ファイル(ゲームとかのインストーラーなど)を実行してしまった結果がほとんどなんでしょう
その際にもUACの確認画面が一旦表示されますが、ハイをクリックしてしまったらもうお終いですよね
既に対策されているのでUAC確認画面をスルーする脆弱性は暫くの間は発見されないと思います

[0986 名無しさん＠お腹いっぱい。 (ｵｲｺﾗﾐﾈｵ MM1b-m/N3) 2019/09/28(土) 10:04:27.43 ID:SXHix8dPM]

>>979
つまり再起動してしまったら終わり、と

オンラインキー、オフラインキーとかよく違いが分からないんですよね
そもそもオンラインキーだったら、支払うしかないんだけども
クラウド系までしっかり感染してしまったので、意外と痛い

[0987 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 2715-Xaj8) 2019/09/28(土) 12:07:49.10 ID:GwipjuAd0]

>>986
乱数を使用した鍵コードから生成された暗号化キーと複合化キーがあるけど
その複合化キーがサーバーへ送信されるタイプがオンラインキー
オフラインキーはランサムウェアその物に暗号化されて内蔵されている複合化キーのことだと思う

オンラインキーの場合はランサムウェアを閉じると複合化キーがメモリ上からも消えると言う点がある
ハッカーからすれば複合化ツールで複合化されにくいメリットがある
しかし、複合化キーを保存するサーバーを用意しなければ行けないというデメリットも存在する
オフラインキーの場合は複合化キーが内蔵されているため複合化ツールを使って複合化出来る可能性がある
ハッカーからすれば複合化キーを解析されやすいと言うデメリットがあるが
オンラインキーと違ってサーバーが無くても運用可能と言う利点が存在する

オフラインキーの場合は複合化ツールで複合化出来る可能性は高いが
オンラインキーではランサムウェアを閉じると複合化出来る可能性が低くなると言うことだね
間違った暗号化の実装に期待するくらいしか無いかな

前に解析した時は無かったが
研究の一環としてサーバーへ複合化キーを送信した後にメモリ上の鍵コードと複合化キーを乱数で上書きすると言う方法も技術的に可能だった
だから初回起動であってもオンラインキーのランサムウェアなら複合化は難しいだろうね

[0988 名無しさん＠お腹いっぱい。 (ｵｲｺﾗﾐﾈｵ MM1b-m/N3) 2019/09/28(土) 15:14:04.53 ID:SXHix8dPM]

>>987
なるほど、ありがとうございます

とりあえず、nesaの複合化キーが早く見つかって欲しいですね

[0989 名無しさん＠お腹いっぱい。 (ｱｳｱｳｶｰ Sa9b-dAjT) 2019/09/28(土) 15:35:16.11 ID:XNBUkx7+a]

複合キーがあるのか
複合のあとに何か仕込まれるんじゃないか

諦めてさっさと初期化してしまうのが吉かと

[0990 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ e792-srNF) 2019/09/28(土) 19:29:19.53 ID:p8serOXJ0]

「9mg38」というのにやられました。
同じのにやれらたかたや、情報、お持ちの方いますか？

[0991 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ c7d9-y+KO) 2019/09/28(土) 23:53:10.45 ID:kpWWd62q0]

>>990
やられた原因は何ですか？

[0992 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ e792-srNF) 2019/09/29(日) 07:26:28.80 ID:1Pci6ZI/0]

>>991
win10でリモートデスクトップのポートをあけて２日後のAM3:00頃にやられました。
多分これが原因かと思われます。

それまではVPNのポートの穴をあけ、使っていて、
このようなハッキングはなかったのですが、
スマホからアクセスするために穴をあけました。　
スマホからもVPN接続すれば良かったのですが、
スマホの画面ロック・解除の設定を嫌がったために起きました。
自己嫌悪に陥るくらい反省してます。

[0993 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ c7d9-y+KO) 2019/09/29(日) 22:59:53.62 ID:/ZRdq0w10]

開けてただけでやってきたということですか？
こういう場合ってネットの向こうから
悪意のある人が開いてるポートを無作為に探してるということ？

990さんは海賊版ソフトを落として実行したとかなかったの？
ウイルスの呼び込み元というか

[0994 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ bf10-PRKi) 2019/09/29(日) 23:12:31.44 ID:6rALgFSr0]

>>992 それはない、RDPポート開けただけではDMZで外に開放でもしてない限り安全
993の人も言ってるように、なにか呼び込むソフトを実行してるはず

[0995 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ e727-m57F) 2019/09/29(日) 23:26:23.18 ID:Yde3tdl/0]

ヒント　パッチ未適用

[0996 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ e727-m57F) 2019/09/29(日) 23:34:55.01 ID:Yde3tdl/0]

10って書いてあるけども自動更新をブロックしている人もいるからな
どうだろうね？

[0997 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 5fdf-PRKi) 2019/09/30(月) 09:46:34.92 ID:9XRJbtAY0]

セキュア板でアップデートブロックって・・・　論外じゃね？

[0998 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ e792-srNF) 2019/09/30(月) 10:05:29.91 ID:tspIqhfZ0]

皆様、様々なご指摘ありがとうございます。
当方の最初の説明に以下を補足させて頂きます。
当方、宅内でルーターを介して複数台のwin10をLAN接続しています。
当方が行った行為は、ルータに穴をあけて特定の固定アドレスを持つPCにポートフォワーディング
（当方のルーターではポートマッピングと書かれています）を行ったということです。

>>993さん
ルーターのポートをスキャンして、開いているポートに対して手当たり次第に撃ってくる輩がいるのではと思ってます。

リモートディスクトップの場合、「ユーザー名」と「パスワード」さえグルグル回しソフトで合致すればよいのですから比較的簡単かと。

しかも当方は、ユーザー名＝パスワードとしている間抜け振りですから脅迫犯からみれば、これほど手間暇のかからない相手はなかったものかと思う次第です。

また、海賊版ソフトとかについては極めて神経質なほうで使ったことはありません。
ジャンクメール、フィシングメール、見知らぬ人の添付ファイルについても慎重に対処しているつもりです。

>>994さん
DMZ=ポートフォワーディング=ポートマッピング、であれば上の通りです。
当方の解釈が間違っていたらすみません。

>>995さん
＞ヒント　パッチ未適用
当方win10の更新に関してはデフォルトのままなので、該当PCも適宜アップデートがあたっていたと記憶しています。

>>996さん
＞自動更新をブロック
MSが大きなアップデートをやると挙動がおかしくなるという人がいるようで、そのような人は更新をブロックしている、とききますが、当方はその
ような経験はないのでデフォルトのままです。

[0999 名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 5fa3-ZF1+) 2019/09/30(月) 12:02:27.34 ID:iRJsj2Go0]

正規の手段でログインしたなら履歴が残るよね

[1000 名無しさん＠お腹いっぱい。 (ｱｳｱｳｳｰ Sa8b-f68Z) 2019/09/30(月) 16:46:08.60 ID:iMWZd1WTa]

RDP使う手法はもう数年前からの流行りなのになにをいまさら
脆弱性なんて一つも要らない正攻法の接続なんだし

https://nakedsecurity.sophos.com/ja/2019/07/17/rdp-exposed-the-wolves-already-at-your-door/