ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net
レス数が1000を超えています。これ以上書き込みはできません。
話題のランサムウェアの情報を共有しましょう。
ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。
残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。
攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)
■前スレ
ランサムウェア総合スレ Part4 [無断転載禁止]©2ch.net
http://tamae.2ch.net/test/read.cgi/sec/1468625700/
■テンプレ
スレ立て時には本文の文頭に「!extend:checked:vvvvv::」を入れて立てて下さい。
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。
VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured >>944-948
あのさ、RDPの一般的な方法のポート開けるっていう前提条件スルーしてイキってるだけだよね
デフォルトって>>943で書かれてるのに"ポートが開いてない場合は"とか脳味噌と目玉は飾りなのか?
一般的な方法で有り得るから注意しようって話なのにイキりながら自分の環境での論点ずれた話して恥ずかしくないの? 本当に恥ずかしいやつだな アホ
おまえなんてどうでもいいやなw みんな専ブラ使って、ID:OGZgUkQB0 はNGにしてください 論破されたら
>>953
>本当に恥ずかしいやつだな アホ
>おまえなんてどうでもいいやなw
って捨てゼリフ、むちゃくちゃかっこ悪いねw 論破したって言うのならIRC BOTを利用したRDP操作の具体的方法を1つだけでも個人の意見として理論的に説明してみろよ
それか、説明したリンク先1つでもいいよ
>948のリンク先よりも理論的に突っ込んだ内容で頼むわ
どうもネット用語だけで誤魔化そうとしているようにしか俺には思えないんだわな ネット記事って結構と提灯内容が多いんだよね
迂闊に信用するとバカを見る事になるんだよ >>956
論破がどうこうと興味は無いけども
それ君が理論的に説明しなきゃならないことじゃね?
RDP云々は>>943が言い出したことだけど
唐突にIRC BOT云々言い出したの君だしさ
IRC BOTとか君以外誰も触れてないよ
君のやってることってランサムウェアと関係無いことへ論点ずらししてマウント取ろうとしてるだけだよね?
それでマウント取るの失敗したらアホとかバカとか小学生レベルのレスするの?
君自身は否定するだろうけど周りから見ればそうとしか見えないよ >>956
ついでに言っとくけど「IRC BOTを利用したRDP操作」とか説明しなくていいぞ
ランサムウェアのことじゃないから必要ないし おまえがこのスレのリーダーになってアピールする事自体に意味があんの?w
そう言った態度がそもそもクッダラねえんだよ >>960
何でリーダーだとかアピールとか言ってるのか分からないけれど
そもそもマウント取って優越感に浸りたいがために頓珍漢なレスしてイキった君の落ち度だろ
それを反論されて態度がくだらないとかアピールとか言っても滑稽なだけだよ 「スレのリーダー」くっそワロタw
笑い死にさせる作戦か? >959と>962はその特徴から同一人物での自演です
実に下らないアホと思われる >>963
根拠なしの妄想炸裂乙
全くの別人ですわ 拡張子に全部.nesa がついた...
めっちゃ不便!
どうすれば良いでしょうか・・・ >>965
絶対に取り戻したいなら早めにビットコインの口座を作ることをおすすめします >>965
バックアップしてあるものから全部リストアする
バックアップもしていないのならアホだと思って諦めるしかない
通常使用していても故障すればデータは全部吹っ飛ぶんだから
そんなのは当たり前だよね >>967
多分変なフリーソフトDLしてexe起動したせいですね
根絶は出来ても、全部手動で拡張子書き換えなんて面倒過ぎて...
バックアップが大分古いので参ってます >>969 暗号化されているので拡張子を書き換えてもムダだと思われ… そんな可愛いランサムウェアだったら一瞬で直せるでしょ 大抵具体的なサイトやファイル名とか書かないんだよな。
「AサイトのBフリーウエアをダウンロードして実行したら、暗号化されました!!!」
発言小町かよw >>976
ありがとう
調べてみます
たしかに、金払わないと戻らなそうだけど、払っても結局情報出て行って更にドツボにハマるらしいね どうやら、STOPDescrypterで復元できそうだけど、.nesaはまだ新種だからコードが見つかっていないようなので、暫く様子見ます 確か、複合化ツールはランサムウェアのメモリ上の複合化コードを抜き出しているか、間違った実装を突いて複合化してるのが殆んどだったはず
PCの電源落とせばランサムウェアのメモリ上の複合化コードが消えると思う ほう それは制作者よりも詳しそうですな
もっと指導の程をよろしく >>969
「変なフリーソフト」って具体的になんですか? 何故かフリーで使える有料ソフト的なサムシングじゃないの? 変なサイト訪問、誘導とかサイト改ざんとかで感染した人とかいるのかね?
自分はそれが一番怖い たぶん脆弱性絡みでリンクを踏んだ際にインストールされたやつはほとんどいないでしょうね
最近の脆弱性を利用しているコードはまず一般ユーザー環境では発動しませんね 何らかのフェイクされた実行ファイル(ゲームとかのインストーラーなど)を実行してしまった結果がほとんどなんでしょう
その際にもUACの確認画面が一旦表示されますが、ハイをクリックしてしまったらもうお終いですよね
既に対策されているのでUAC確認画面をスルーする脆弱性は暫くの間は発見されないと思います >>979
つまり再起動してしまったら終わり、と
オンラインキー、オフラインキーとかよく違いが分からないんですよね
そもそもオンラインキーだったら、支払うしかないんだけども
クラウド系までしっかり感染してしまったので、意外と痛い >>986
乱数を使用した鍵コードから生成された暗号化キーと複合化キーがあるけど
その複合化キーがサーバーへ送信されるタイプがオンラインキー
オフラインキーはランサムウェアその物に暗号化されて内蔵されている複合化キーのことだと思う
オンラインキーの場合はランサムウェアを閉じると複合化キーがメモリ上からも消えると言う点がある
ハッカーからすれば複合化ツールで複合化されにくいメリットがある
しかし、複合化キーを保存するサーバーを用意しなければ行けないというデメリットも存在する
オフラインキーの場合は複合化キーが内蔵されているため複合化ツールを使って複合化出来る可能性がある
ハッカーからすれば複合化キーを解析されやすいと言うデメリットがあるが
オンラインキーと違ってサーバーが無くても運用可能と言う利点が存在する
オフラインキーの場合は複合化ツールで複合化出来る可能性は高いが
オンラインキーではランサムウェアを閉じると複合化出来る可能性が低くなると言うことだね
間違った暗号化の実装に期待するくらいしか無いかな
前に解析した時は無かったが
研究の一環としてサーバーへ複合化キーを送信した後にメモリ上の鍵コードと複合化キーを乱数で上書きすると言う方法も技術的に可能だった
だから初回起動であってもオンラインキーのランサムウェアなら複合化は難しいだろうね >>987
なるほど、ありがとうございます
とりあえず、nesaの複合化キーが早く見つかって欲しいですね 複合キーがあるのか
複合のあとに何か仕込まれるんじゃないか
諦めてさっさと初期化してしまうのが吉かと 「9mg38」というのにやられました。
同じのにやれらたかたや、情報、お持ちの方いますか? >>991
win10でリモートデスクトップのポートをあけて2日後のAM3:00頃にやられました。
多分これが原因かと思われます。
それまではVPNのポートの穴をあけ、使っていて、
このようなハッキングはなかったのですが、
スマホからアクセスするために穴をあけました。
スマホからもVPN接続すれば良かったのですが、
スマホの画面ロック・解除の設定を嫌がったために起きました。
自己嫌悪に陥るくらい反省してます。 開けてただけでやってきたということですか?
こういう場合ってネットの向こうから
悪意のある人が開いてるポートを無作為に探してるということ?
990さんは海賊版ソフトを落として実行したとかなかったの?
ウイルスの呼び込み元というか >>992 それはない、RDPポート開けただけではDMZで外に開放でもしてない限り安全
993の人も言ってるように、なにか呼び込むソフトを実行してるはず 10って書いてあるけども自動更新をブロックしている人もいるからな
どうだろうね? セキュア板でアップデートブロックって・・・ 論外じゃね? 皆様、様々なご指摘ありがとうございます。
当方の最初の説明に以下を補足させて頂きます。
当方、宅内でルーターを介して複数台のwin10をLAN接続しています。
当方が行った行為は、ルータに穴をあけて特定の固定アドレスを持つPCにポートフォワーディング
(当方のルーターではポートマッピングと書かれています)を行ったということです。
>>993さん
ルーターのポートをスキャンして、開いているポートに対して手当たり次第に撃ってくる輩がいるのではと思ってます。
リモートディスクトップの場合、「ユーザー名」と「パスワード」さえグルグル回しソフトで合致すればよいのですから比較的簡単かと。
しかも当方は、ユーザー名=パスワードとしている間抜け振りですから脅迫犯からみれば、これほど手間暇のかからない相手はなかったものかと思う次第です。
また、海賊版ソフトとかについては極めて神経質なほうで使ったことはありません。
ジャンクメール、フィシングメール、見知らぬ人の添付ファイルについても慎重に対処しているつもりです。
>>994さん
DMZ=ポートフォワーディング=ポートマッピング、であれば上の通りです。
当方の解釈が間違っていたらすみません。
>>995さん
>ヒント パッチ未適用
当方win10の更新に関してはデフォルトのままなので、該当PCも適宜アップデートがあたっていたと記憶しています。
>>996さん
>自動更新をブロック
MSが大きなアップデートをやると挙動がおかしくなるという人がいるようで、そのような人は更新をブロックしている、とききますが、当方はその
ような経験はないのでデフォルトのままです。 このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 864日 1時間 15分 4秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。