ランサムウェア総合スレ Part6 [無断転載禁止]
話題のランサムウェアの情報を共有しましょう。
ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。
残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。
攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)
■前スレ
ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net
https://medaka.5ch.net/test/read.cgi/sec/1495175464/
■テンプレ
スレ立て時には本文の文頭に「!extend:checked:vvvvv::」を入れて立てて下さい。
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。
VIPQ2_EXTDAT: checked:vvvvv:1000:512:: EXT was configured 分からないかなー
>>付けて返している時点でもう荒らしとして底辺なんだよ
真っ当な荒らしは余計な事は一切せず無心で延々とコピペ作業をする
下手な模倣は見苦しいだけだからやめなさいな
図星疲れて発狂顔真っ赤っすかwwwwwwwwww?? トヨタの件、報道見ると子会社のある社員が持ち出し用で使ってるデバイスが発端らしいんだけど、
どういうことかわかる?
リモート環境みたいな感じでなりすましされてネットワーク内部に入り込まれた感じ? 企業は有名どころがくらってるけど、官公庁関係で被害に遭ったとこは今のとこ無い?
自治体も基本LGWANの閉域内のやり取りだから外部からの侵入が難しいのかな? 官公庁被害公開は政権被害になり、政権交代になりますので、公開しません。 .piiqにやられた
気づいた時にはほぼ全部暗号化されてた…
そこまで大事なデータは無かったけど複合化も出来るわけなくクリーンアップ
その後Twitterとyoutubeのアカウント乗っ取られかけたしもう最悪だよー とあるソフトのcrack
exe押しちゃった時は何も無かったけど深夜になってからPCから変な音鳴ってると思って見たらもうやられてた
普段そんなcrackなんか検索すらしないのになんでやっちゃったのか
全部自分が悪いパターンだからなんも言えねえけどねw ニュースでもちょうどランサムウェアの特集してたけど
学校って特にガバガバだよな
基本よくわかってないジジイが多いとかなんかね うわーやられた後youtube乗っ取りからの勝手にスパチャ使われてる
これってとりあえずgoogleに申請とクレカ停止しといた方がいいよね? >>653 クレカ停止もそうだけど、支払いキャンセルが先だろ
不正会計(出金)なんだからキャンセル可能
取り戻せる(払わずに済む)んだからさっさとやれ >>653
Googleのなりすましから送られてきたメールみせて >>654
とりあえず返金の申請とクレカ停止すぐにしといた
その後もパスワード全変更作業やらだいぶ地獄ですわ
もう金に繋がるような事は無いけど、たかが個人相手でこんなに粘着質とは思わんかった
>>655
そういうのは来てないよ >>654
不正じゃないよ
正規のアカウントから支払っているんだ
自分じゃないとどうやって証明する? >>656 半分嘘だと思ってるけど、本当にスパチャの不正利用なら
ツベのUP主が犯人もしくは関係者の疑いが強く
対象のUP主への疑惑を運営に連絡すれば永久凍結にできるね 嘘をつく理由がわからん
Twitterで検索しても同じような不正されてる人かなりいるよ エンタープライズでの復旧サービスってどこがおすすめ? 標的型に逢い、徹夜もどきの状態になって大変だったよ。
メアドとパスワードを25個ぐらい作ってしまった。
メアドとパスワードをアカウント作成の際登録、当該サービスサイトに
メアドとパスワードを入力、パスワードエラー、あれ今15桁のパスワード
設定したばかりなのにとか、もうクロームブックのあるメアドなんか、ぎりぎり
の線で使っている。複数のサービスサイトで使ってるから。
もう、手書きのメアドとパスワードのメモが散乱してるよ。 PCでストリーミングやりっぱで2〜3時間昼寝してたらGoogleが勝手に、スピーチ
アプリをインストールしました。
100億件のインストール実績の読み上げソフトらしい。
メッセージは二件、「インストールしました」と「更新」
アンインストール後、更新押した。
「対象外のシステムでした」
なんという返事だよ )怒
調べたら、Android向けで、iOSやPCとは関係ない環境なのな。
クロームブックとスマホなら完全にゼロディされて乗っ取られるところだった。
Windows11の方は無事だろう。指紋認証にしてあるんで。
恐ろしい時代だ。 そういう人がランサムウェアの被害に遭いやすいということでしょうね elbie ransomwareとかいうのにやられたっぽい
今から対処調べるんだけど、絶望的? デジタルデータは、安全策として
ドライブは全てRAID1
データドライブは、RAID×3ドライブ
RAID No1 ドライブ 使用
RAID No2 ドライブ 電源を切って保存
RAID No3 ドライブ 電源を切って保存
にしてあります。
個人策としては、これでいいかと。 >>670
電源を切って、というのは有効だと思う
Cドライブは破壊しない、という法則に則って1TBなり2TBのSSDを買い
そこに大事なファイルを保存して置くという方法はどうだろう? ウェッブ望遠鏡の天体写真にマルウェアを混入させた攻撃が報告される
ってニュースもあります
ニッチな需要があるファイルに対してマルウェアを混入
マニア同士でファイルやり取りして感染が爆発的に広がるなんてこともあり得るのでは
親しい人からのメールには無警戒ですから kaijiとかchaosとか中国人のセンスのなさは異常 https://www.jiji.com/jc/article?k=2022110701037
サイバー攻撃、業者システム経由か 診療停止の医療センター―大阪
2022年11月07日21時20分
>政府から派遣された専門チームの調査結果によると、
>医療センターのサーバーと給食業者のデータセンターでランサムウエアが確認された。
>給食業者が使っていたセキュリティー機器は、
>2021年にサイバー攻撃を受けた徳島県つるぎ町立半田病院と同じ機種だったという。 VPNトンネルは常時接続しているクラウド側がやられたらもう脆いんだよな VPNトンネルは常時接続しているクライアント側がやられたらもう脆いんだよな
でした 感染したらもう手遅れなんだよ。
VPNもVPNプロトコルが3種類ほどあるんだ。
VPNソフトも迷うぐらいある。
いい加減というか、出鱈目な会社もあるからよく選んだほうがいい。
でも、実はこれだけでもダメ、ルーターのSSID1と2の初期値変更
ルータログインID変更
SSID暗号キーも変更
更に、用途に応じてVPN接続先の国を変える。
ここまでやってればいい。
たまに上記変更した値を最低でも2か月に1回の頻度で変えれば尚よい。
アンチウィルスだのインターネットセキュリティなどデフェンダーとOS
の設定値をセキュリティ強化にしとけばいい。
Windows11から買う必要ない。
企業のや病院は建前上なんか入れとけ慣習のようになってるから。 VPNソフトは無料のものはダメ。
どうせ、有料版進められる。 FortinetのUTM使っていても定期的にUTMにログインしてアップデートしないとやられるわけだ。
しかし、サーバーが31台もあってちゃんとした管理者が居ないって大阪らしいな。 >>684
その記事を見てもわからない素人か?
あんたが利用するような無料のVPNネットワークではなくて常時接続していたようだから病院側でVPNサーバーを運用しているんだろうよ
所謂、専用回線であるホットラインのVPNサーバーです
調べてみぃよ
今回の場合、常時接続状態としていた病院側のセキュリティ管理に問題があると思いますね
何かしらの方法でシステム側へと侵入されて実行ファイルを仕込まれてしまっている訳ですからね 身代金勝手に払って「復旧できました」って言う業者いるんか 悪質だな >>688
だから、言ってんじゃんVPNなんか優良なものから
ショボいものまであるって、
頑固で強引だね君の自論は。 >>688
有料つかってるから言ってんだ、読解力も
ないのか? 徳島県の病院のランサムウェア被害、VPN過信でほぼ無防備状態だった
https://security.srad.jp/story/22/06/20/169241/
その病院側もこんな状態であったと言うのか?
いや違うと思う
利用しているVPN機器も病院側は違うのでしょう
マイクロソフトがいい加減だからパッチの適用でシステムの運用が危ういって事例も十分にあって
セキュリティの更新を怠っているって病院も山程あるだろうけれども、
サポートもどこかへと委託しているんだろうからこちらのセキュリティ企業の方がノータリンでしょう
発端となっているのは病院側のサーバーへとアクセス可能なそのクライアント側になる
給食を委託する業者であると睨むのは正解だろうと思う
ランサムウェア 病院でのセキュリティ対策の重要性(vol.3)
https://itsol.isid.co.jp/appguard/blog/hospital-vol3-2428/ >>684
これってやっぱりVPNクライアント側であるソフトウェアの話になっているよね
だからあんたたちが使うどこぞのVPNサーバーを経由してインターネットを利用する方法とは全然違う内容だろうって事だよな
本当にこの内容を理解しているのだろうか? https://www.security-next.com/141214/2
やはり病院側からセキュリティ委託を受けている企業がノータリンで機能していないね
病院側ではセキュリティ関連も含めてシステムに詳しい要因を置いておくのは困難だろうから、
コンサルタント分析は重要なのです
政府も含めてネットワークシステムに対して無知で脳天気なのでセキュリティ企業に丸投げするだけでは
今後の問題点も浮かび上がって来ないでしょうよ
システムの入り口だけは常に監視していて自動で怪しいアクセスにアラートを発するなどの対処が必要でしょうね
果たして委託しているセキュリティ企業に気の利いたシステム構築が出来るんだかね? その感染させられたどちらの企業もこれだけの規模ならばどこかとセキュリティ管理契約を結んでいるはずだよ
企業内の人員だけで運用していたんだとしたらアホたちのとんでもない自信過剰だよ
この際だからその管理会社を一般公開してしまえばいいのによ・・・
どこぞさんのWebサーバがやられたって事件でも特定のセキュリティ管理会社の落ち度を批判しないもんな
単純にウィルス対策ソフトベンダーの事などを言ってはいないよ >>698 実際の話、専任の情シスがいない限り無理だよ
FortiGateとかだと日本の場合、ほぼ大塚が絡んできてEDRとかやってるけど
対象のFWの脆弱性パッチは当てないからね
どうしてかっていうとパッチ当ててる間切断するので院内情シスじゃないと
その手のスケジュールを組めないので、どうしてもリモートサポートでは
パッチ当てをしないのがFW管理業界・サービスの基本になってる
(大塚以外のFWサポートもファームのアップデートはタダではしない)
・あんしん見守り〇〇サービス
とか御大層な名前でもパッチ一つ当てない、脆弱性の原因が旧ファーム
なのが判っていても、安心サービスはなにもしてくれない
FW内蔵のアンチウイルス・C&Cサーバーブラックリストといった定義ファイル
の更新は、再起動の必要ないので自動でやってくれるけどね
ちなみに、FWのファームのアップデートは結構長く平均して20分は掛かる
新FWのダウンロードが済んでいる状態ね これを含めるとメーカーによって
は1時間近くかかるので、そこからだと2時間超える作業になる
まぁ、セキュリティ管理契約を見直すしかないんだけど・・・
上の作業をタダではできないでしょ?
試算すると結構な額になるので、言うは易く行うは難しだと思うよ >>704
うちの会社もFortiGate使ってるけど、特定PCのブラウザを認証させてファームウェアUpdateとか
やってるよ?
リモートでやるから問題が出るのであって、ローカルネットのPCを誰かしら管理者を決めて運用
すれば常に最新版に出来たでしょうよ。
ただ、Update中の回線ダウン時間はほんと長いね。5分程度でUpdate、再起動を済ませられないモノか。 >>705 社内情シス目線ならそんな手間ではないさ
自社なら休みの日とかちょっと残業気分でみんなが帰った後にやればいい
でも病院は話が違うというか24時間終日稼働のネット切断は大変だよ
まず切っていい日を調整するだけでも大変
病院なんてLANいらんやろ? では全然済まないわけで・・・
信じられないぐらい今の病院はインターネットに委ねる部分が多すぎる
あと、FWのアップデートをリモートで実施 なんてできるわけないだろ・・・
金貰って行うのに バックドアの温床であり病院業務のかなりの部署が
関わる超A級機器をリモート再起動なんかできるわけがない
その場に行ってやる作業だよ
もし仮にリモートでアップデート作業やって起動エラーなんて起きたら
上司の首が飛ぶ程度では済まない社運級に叩かれる
おまけに病院って病院間の情報の連携が広く早い、担当医はちょいちょい
派閥問題で移転させられるので、醜聞は余計に早く回る
病院は一度食い込むと横展開早いけど、切られる速度も早い
そういう問題もあるので病院システムのメンテは割は良いけどノイローゼ
になるレベルで神経擦り減らすんだよ >>706
大きい病院だと大変だね。予算をもっと取って複数のUTMと回線を使って全体的なネット落ち
しないようにするとか24時間体制のところはやっていけないね。 >>707 病院のLAN環境をなめちゃいけない
UTMの予備もDual化もしてねぇよ
さらには内側は付属大学LANと混じってて
学生が遊び半分で侵入を試みるなんて日常茶飯事
セグメント体系だけ別けてれば安全と思ってるぐらい
物理回線で二重化してる病院は聞いたことないな
Usenとかで回線側での2重化や閉鎖網で侵入レスはあるけどね やられた
とある画像加工ソフトで検索して一番上に表示されたのが海外のcrackだったみたいで、不注意にもexe実行したら全部
QQJJって拡張子に変わってた
以下、反省こめて情報共有
・このスレでは C ドライブは大丈夫みたいなこと書いてあるけど、Cドライブの個人ファイルも全滅。それこそドキュメントから画像、rar、ドライバのバックアップまで
・脅迫状と言うか、復号化するためのソフトを買えと記したテキストも各フォルダに残されてた(72時間以内に返答すれば半額の500ドルにしてあげるという設定)
・お試し無料で1ファイルは復号化してくれるらしいw
・俺の場合あまりに全てやられたので,、どれが重要なファイルかすらわからずかえってすべて諦める気になった
・ただ生死に関わるような超重要ファイルは、Dropbox に全て保存してあった。当然 Dropbox 内のファイルも暗号化されてしまったが、 Dropbox 有償版の巻き戻し機能というのが非常に有効で、それらは一気に回復できた
・この件と関連あるのかわからないが、それ以降 BIGLOBE の使ってないメアドに勝手に侵入されて大量に迷惑メールが発射されていた
・Amazon のアカウントにも勝手に侵入され、ギフト券が全部使われていた(被害額5000円)。ただ不思議なことに、クレカ情報も残されていたのにそれらについては不正利用なし
・長年集め続けたアプリやら素材やら動画やらほとんどダメになった。諦めるしかないよな
・まあ、これをきっかけにPC 環境を改善する行動を起こせたので高い勉強だとするわ >>709
.exeお試し実行環境は別に作っておいた方がいい
当然システムドライブのバックアップはあった方がいいのだが、.vhd仮想ドライブにOSをインストールしておくなどして
そのOS上からは他のドライブを全てオフライン設定にしておいてアクセス出来ないよう孤立しておく必要もありますよね >>709 なんでこういう被害報告の時に、そのURLとかファイル名を出さないのかな?
Adobeとかの有償ソフトを不正利用しようとしたとか、モザイク除去とか
グレーや恥ずかしい行為なのかね・・・
まぁ削除されたと思って復旧は考えないほうが良い 無駄 >警視庁によると、ランサムウエアは個人情報などのデータを暗号化して使用できない状態にする。
>データを元に戻すためには、対価として金銭や暗号資産を要求する。
警視庁さんの見解ってこれだけですか? 唖然ですw
国の中枢にいる人員も無知で無能だしな ダメだコリャ 図書館のシステムって 全国各地でも同じもの使ってるよね えらいこっちゃで >>716
データがran somewhereするからランサムウェアだというのは有名な話 >>717 そう思ってる人多いけど、図書館のシステムはほぼバラバラで
共通性はほとんどない、自治体って縦割りなので
×一緒にやろう
〇隣の自治体より優秀!!!!!!
みたいなどうしょもない状況 どんどん厄介になりつつあるなあこのウイルス・・・ 下手するとマジで人生台無しにされる
とにかく個人データ入ってるHDDはオフラインの時にしか接続しないように心がける
そしてそのHDDも何かある前にバックアップ マジでこれだけは油断禁物
オフライン状態にして変にいじったりそのPCで作業とかしなければ取り敢えずは大丈夫 なはず >>720
ウイルスじゃなくてマルウェア。自己増殖しないから別に >>689
あんたも40代〜50代だろ
しっかりしなさい。 ランサムウェアのターゲットになりやすいOSってやっぱWindows? >>724
支払い能力がある人・組織が使ってて、無くなったら困るデータをローカルに保持してるOSを狙うんだから、そりゃまずはWindowsになるわな ランサムウェアの身代金支払い総額が減少。支払い拒否の傾向強まる
https://pc.watch.impress.co.jp/docs/news/1472817.html
>要因としては、身代金の支払いに協力することが規制に違反する可能性があるとしたOFACによる勧告や、
>サイバー保険の適用要件として強固なセキュリティとバックアップ対策を求めていることが影響しているという。 >>729
ハッカーに依頼してHiveのサーバーを暗号化して自首を促すとかそのうちあるのかも。 問題なし。
ランサム対応機能はほとんどのセキュリティベンダーが機能を持っている。
もちろんWindowsDefenderでも。 STOP DJVUの亜種 オンライン状態でやられた際のファイルの修復はそろそろ出来るようになってるんだろうか? おお同志よw
って拡張子はzzlaだったりします? >>733
kuusという拡張子
ん?あれ?この書き込みここにしたはず・・・ 間違って何処かの板に書き込んでしまったんだろうか?
まあこの下の文章は気にしないで・・・ >>709
検索してトップに出てくるやつって知らない人は公式のだと思って実行するよね
個人サイトからしか提供してないアプリで代替効かないやつもあるから厄介 URLやアプリ名にRedditってワード加えて検索して出てこなかったら海外のやつすら知らないアプリってことで避けてる STOP DJVU本当に厄介よね
記憶が曖昧だがHDDクローンソフトで検索上位に出てきたのをいくつか実行してたら感染していた MiscX-genってランサムウェア?ウイルスチェックしてたら外付けから見つかった
とりあえず隔離した。ただファイル自体相当昔なもので今まで普通に外付け繋いでいたけどパソコンも外付けも暗号化されてない
ウイルスソフトの履歴みたらExeファイルに感染してたみたい、そのファイルを実行しなかったから感染しなかった? 
