16/05/19 20:57:07.89 k4CkADzJa.net
>>91
「ごめん!」TeslaCrypt開発者が復号キー公開 - 無償復号化ツールも登場
URLリンク(www.security-next.com)
101:名無しさん@お腹いっぱい。 (ワッチョイ d305-0eWo)
16/05/19 21:19:42.53 PTD+5Ne70.net
>>91
これ拡張子.cryptは対応してない?
キーのextensionにcryptが無いぞ
102:名無しさん@お腹いっぱい。 (アウアウ Sab5-7Gsa)
16/05/19 21:42:12.92 /6IVwvd2a.net
>>101
.cryptは所謂cryptXXXで、TeslaCryptとは違う
103:名無しさん@お腹いっぱい。 (ワッチョイ d305-0eWo)
16/05/19 21:56:14.99 PTD+5Ne70.net
>>102
がーん…
104:名無しさん@お腹いっぱい。 (アウアウ Sab5-7Gsa)
16/05/19 22:22:50.43 8Rnerucga.net
>>103
cryptXXXならカスペルスキーが別ものの復号ツール出してるけど、それで復号できなかったということ?
105:名無しさん@お腹いっぱい。 (ワッチョイ 436d-xKv1)
16/05/19 22:27:52.63 SigMeLQM0.net
URLリンク(canon-its.jp)
106:名無しさん@お腹いっぱい。 (ワッチョイ b082-xKv1)
16/05/19 22:40:38.98 EO1nObAo0.net
現在グイグイ復号中<暗号化mp3
ファイル捨てなくてよかった(^o^)
107:名無しさん@お腹いっぱい。 (ワッチョイ d305-0eWo)
16/05/19 23:15:18.55 PTD+5Ne70.net
>>104
うん。txt、mp4、xmlはスンともしない。
mp3、jpgは9割方復号してます、有り難い事です。
108:名無しさん@お腹いっぱい。 (ワッチョイ 416d-87cp)
16/05/19 23:20:13.68 phhZYOMR0.net
まさかの展開でビックリだわ
109:名無しさん@お腹いっぱい。 (スプー Sd78-Aa7V)
16/05/19 23:33:29.85 mNu8j4F2d.net
まさか、開発者が、ごめんね、もうやめるよって言ってマスター復号キーを提供する流れになるとは、、、
逮捕されたわけでもないのにこの結末は誰も予想してなかったんじゃないか
>>98
興味あるのでぜひお願いしたい
110:名無しさん@お腹いっぱい。 (ワッチョイ 712f-qI0L)
16/05/19 23:34:23.26 r1/5BL620.net
>>98 マジでお願いします!
111:名無しさん@お腹いっぱい。 (ワッチョイ bad9-xKv1)
16/05/19 23:45:21.54 VuJc+Eo20.net
まあ金稼ぐためにランサムウェアやってるわけだし金が溜まればリスク犯して開発し続ける理由もないわな
112:名無しさん@お腹いっぱい。 (ワッチョイ 5bbd-xKv1)
16/05/20 01:08:40.07 nvO48KjP0.net
ESETので試しにやってみたら複合化できてる
何でもかんでもメモ帳にメモっていたから
コイツやられたのかなり痛かったな
確定申告のはもう作り直した後なので不要だけど
大事なデータが元に戻るのはうれしい
113:名無しさん@お腹いっぱい。 (アウアウ Sab5-z1cw)
16/05/20 01:22:07.84 d/B7ZS02a.net
>>111
したり顔で解説してるけど、TeslaCrypt3.0/4.0はcryptXXXのように暗号が破られたわけじゃないから、別に「開発し続ける」必要は別になかったんだよ。
これは、技術的な問題ではなく、アフィリエイトの問題ではないかと思っている。
既に上で貼られているリンクだけども、
URLリンク(news.mynavi.jp)
URLリンク(ascii.jp)
URLリンク(csirt.ninja)
を読めば、現在のランサムウェアが完全にアフィリエイトと化しているのがわかると思う。
ランサムウェアの開発者とそれをばら撒いている奴らは別々で、ばら撒いている奴らは2000~3000ドルくらいでパッケージとしてランサムウェアのシステムを一式買う。
被害者が支払った金額を購入者と開発者やシステム維持をしている者達で分け合うが、cryptXXXは購入者がばら撒いたランサムウェアから感染した被害者の払った金額が大きくなればなるほど、購入者の取り分(割合)も上がっていく
購入者にとって非常に金銭的に魅力的なアフィリエイトプログラムを提供し始めたため、流行りがTeslaCryptからcryptXXXに移っていき、TeslaCryptの開発者の収入も減ってしまい「もういいや」とマスター復号キーの提供に至ったのではないかと予想している。
実際、ESETの研究員がどういう口説き文句で決断させたのかはわからないが。
114:名無しさん@お腹いっぱい。 (アウアウ Sab5-z1cw)
16/05/20 01:23:59.99 d/B7ZS02a.net
>>98
ぜひよろしく
>>112
ああ、確定申告の人か
よかったね、ファイル取り戻すことができて
115:名無しさん@お腹いっぱい。 (アウアウ Sab5-z1cw)
16/05/20 01:29:40.24 d/B7ZS02a.net
ちなみに、cryptXXXの暗号がカスペルスキーに破られたことについては完全に開発者の予想外だったと思う。
すぐに修正バージョンを出したけど、またカスペルスキーに破られて・・・
でもまたたぶん修正バージョンが出るいたちごっこ
暗号的、技術的にはTeslaCryptの開発者のほうが優れていたかもしれないけど、マーケティングでcryptXXXに負けたということかもしれない
116:名無しさん@お腹いっぱい。 (ワッチョイ 5bbd-xKv1)
16/05/20 01:53:10.47 nvO48KjP0.net
>>114
ありがとう
とりあえず、すぐに必要なデータだけは複合化しました
残ってるデータはこれからゆっくりと複合化していきます
では、おやすみなさい
117:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-MTTD)
16/05/20 03:14:54.67 9Ok0D2wf0.net
誰かお願い 。
全スレにあがっていた
URLリンク(downloadity.net)
Decrypter.zip
ローダに上げてくれない ?アンケート終わってもダウンロードできないんだ。
cryptxxxなんだけど
脅迫文のtxt.bmp.htmlと同名ファイルの.key情報がRecuvaしたら見つけた。
delされていたということは消滅時に消えるファイルなのかも?
これ使って復元できるかもしれないんだ
118:名無しさん@お腹いっぱい。 (アウアウ Sab5-V4Zo)
16/05/20 03:37:04.86 d/B7ZS02a.net
>>117
あれはcerber用だからcryptXXXには関係がないです
119:VHR12JC10V1 (ワッチョイ 51f2-EVGO)
16/05/20 04:26:20.62 L9K0Gdk10.net
参考
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
Qihoo-360 QVM41.1.Malware.Gen
三菱
VHR12JC10V1
49913CMC MAG. AM3
48068790
TDK
DR120DMC10UE
4906933604369
Manufacturer ID: CMC MAG. AM3
120:名無しさん@お腹いっぱい。 (ワッチョイ bdd8-FRyb)
16/05/20 05:42:34.67 +XbOdMf40.net
なにやらすごいことになってるなぁ、元に戻った方々おめでとうです。
cryptXXXもtxtとmp4が直ればなぁ(´・ω・`)ショボーン
121:名無しさん@お腹いっぱい。 (ワッチョイ e62f-OoDr)
16/05/20 07:16:28.47 XaXGxhKW0.net
vvvのやつは復元される?
122:名無しさん@お腹いっぱい。 (ワッチョイ 32ec-7Gsa)
16/05/20 10:05:49.79 ELYOHOAs0.net
>>121
vvvはもうだいぶ前から復号ツールできてますやん
つーか、このスレに書いてることすら読まないやつ(しかもこのスレなんてまだ100ちょっとしかないのに)多いな
123:名無しさん@お腹いっぱい。 (ササクッテロ Spbd-V4Zo)
16/05/20 10:12:09.01 txOkGaT4p.net
Attachment.zipってランサムウェアなんかな?
よくiPhone宛に届くけど
124:名無しさん@お腹いっぱい。 (ワッチョイ 32ec-7Gsa)
16/05/20 10:14:40.47 ELYOHOAs0.net
>>123
VirusTotalで調べてみたら?
ランサムウェアを呼び込んでくるnemucod系ウイルスの可能性が高そうだけど
125:名無しさん@お腹いっぱい。 (ササクッテロ Spbd-V4Zo)
16/05/20 10:25:16.38 txOkGaT4p.net
>>124
ググったら直ぐに出てきたわ
すまそ
126:名無しさん@お腹いっぱい。 (スプー Sd78-MTTD)
16/05/20 11:34:39.29 /sobmlz0d.net
cryptにかかったファイル復元したいんですが、ファイルサイズ変わってて出来ないです…
詰みましたかね?
暗号化されてない一年以上更新してない同ファイルは持ってるのに…
127:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/20 12:21:33.93 A8mTz8r9d.net
>>126
・感染したのはいつ?
・カスペルスキーの復号ツールの最新版
URLリンク(media.kaspersky.com)
を使ってる?
128:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/20 12:45:07.93 u03KuuK+a.net
>>113
妄想逞しいな
ただ合せにいくなりdiscountすればいいだけ
先行者が、その利益とルート等を背景に、新参の芽を摘むのにダンピングなんてよくある話
今回のteslacryptの件については色々想像(妄想)しうるが、
それが、少なくとも根本の理由とは考え難い
129:名無しさん@お腹いっぱい。 (スプー Sd78-MTTD)
16/05/20 12:49:53.01 /sobmlz0d.net
>>127
感染したのは今週の17日で、今朝カスペルスキーのサポートから落としました
感染したディスクは、ハードディスクだけとってUSBっぽくして(リムーバブルディスクとして)復旧試そうと思ってるんですが…
130:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/20 15:28:42.15 A8mTz8r9d.net
>>129
なるほど
少しおもうところがありますが、>>73を試してもらえませんか?
暗号化されたファイルをアップする場合は個人的な情報は含まれないファイルで
復元できるか出来ないか判定が出るはずなのでどう出るか教えてほしい
131:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/20 15:33:47.79 A8mTz8r9d.net
あと、ランサムウェアの種類とバージョンも書かれていれば。
132:名無しさん@お腹いっぱい。 (ワッチョイ 1cd8-xKv1)
16/05/20 15:41:56.83 mt061q0i0.net
RannohDecrypto
を使おうと思ったけど2.7MBのcryptされちゃったやつ、オリジナルの2.7MBのファイル
の順で食わせようと思ってもカスペルスキー側にファイルサイズが違うって言われる
サイズは22KBだけ違うんだけど、これってファイルサイズが全く同じでないと動かないのかな
133:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/20 15:46:37.78 A8mTz8r9d.net
>>132
>>73を試して、結果の説明を教えてくれ
134:名無しさん@お腹いっぱい。 (ワッチョイ bc58-7Fm9)
16/05/20 15:59:21.43 Cn3nLWOJ0.net
>>115
事実は小説よりも奇なり、とはよくいったものだなぁ
135:名無しさん@お腹いっぱい。 (ワッチョイ 1cd8-xKv1)
16/05/20 16:09:13.69 mt061q0i0.net
>>133
3つの内XXXとXXX2の方で復旧可能って言われる
けど詳細みてもそのRannohDecrypto.zip勧められるだけなんだよね・・・
136:名無しさん@お腹いっぱい。 (アウアウ Sab5-9mqF)
16/05/20 16:20:13.80 JVk52+wxa.net
rannohdecyptorのバージョンを確認して書いてみ
古い方は同ファイルの暗号化非暗号化二種類を要求する
新しい方は暗号化ファイル一つ指定だけで動くはず
137:名無しさん@お腹いっぱい。 (ワッチョイ 1cd8-xKv1)
16/05/20 16:29:00.96 mt061q0i0.net
URLリンク(support.kaspersky.com)
ここで見てもRannohDecryptorの最新は1.9.1.0、使ってるのと同じ
このバージョンで普通に2種類ファイル要求されますけど・・・
138:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-MTTD)
16/05/20 16:39:37.99 9Ok0D2wf0.net
暗号化されたのを喰わせるだけでおk
逆やると2ファイル要求されてすぐcompleteするバグっぽい動きする。
139:名無しさん@お腹いっぱい。 (スプー Sd78-MTTD)
16/05/20 17:25:09.77 /sobmlz0d.net
>>130
3つでてきました。
復元可能判定で
cryptXXX
cryptXXX 2.0
復元不可能判定で
chimera
です。
これってこの内のどれかだよーってことですか?それともこれら3つで暗号化されちゃいましたよってことなんでしょうか?
chimeraが復元不可能判定なんでカスペルスキーのツールで駄目なんでしょうかね…(T-T)
140:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/20 19:45:57.41 A8mTz8r9d.net
>>135
>>139
BleepingComputerの掲示版とかみてみると、数日前からカスペルスキーのツールの最新版1.9.1.0で復号出来ないと言ってるひとが増えていた
17日に感染したということでしたら、カスペルスキーがcrypt2.0へ対応したツールにアップデートしたのが12日なので、このツールが効かない新バージョンにやられた可能性がある
>>73のはまだ対応できないだけかも。。
まだ現時点では確定したことが不明だけど、少し経ったらもっと情報が出てくると思う。
ちなみに、cryptXXXは凶悪なので新型とすれば可能ならは>>37の手順のように数日置いてから駆除したほうがいいかと。
データは>>24にあるように、Vista以降ならShadow Explorerで復活できるかもしれない
141:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/20 20:27:07.67 HyzNKHX0a.net
URLリンク(blog.kaspersky.co.jp)
のコメント欄にあるように、
カスペは5/20夕刻(多分日本時間)時点でCryptXXXに更なる新型を確認、現時点で復号不可
ということ
それにしてもどいつもこいつも言語障害かと思うほど表現が拙くてイライラする
前は260bytes増えて(固定長)いたが、今度は可変長? かさえよくわからん
そんなだからもう3日くらい経つのにカスペに新型と認識してもらえないんだよ
142:名無しさん@お腹いっぱい。 (ワッチョイ bc58-7Fm9)
16/05/20 22:14:01.65 Cn3nLWOJ0.net
そのうち、復号化専用ソフトが発売されたりして
新しい暗号化にもアップデートで対応
143:名無しさん@お腹いっぱい。 (オイコラミネオ MM14-V4Zo)
16/05/21 00:48:59.64 O7nfB/iwM.net
>>141
>そんなだからもう3日くらい経つのにカスペに新型と認識してもらえないんだよ
気持ちは分からんでもないが、さすがにそれは関係ねーわw
海外のほうが症例がもっとあるわけだからな
まぁ、しかし、有用なレスもらっても無視とか確かになんなんだろとは思う
144:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/21 01:48:52.23 juG/P65Ha.net
>>143
URLリンク(blog.kaspersky.co.jp)
のコメント欄の、19日までと20日のYuko Hayashi氏の書き込み内容の違い(日本のカスペの人が本国に確認せずコメントすることはさすがにないだろ)、
URLリンク(blog.kaspersky.com) のコメント欄、
URLリンク(www.bleepingcomputer.com) このあたり以降今はP19まで
をざっと読んで、それでも
> 気持ちは分からんでもないが、さすがにそれは関係ねーわw
と言えるんなら何も言わん、ただ黙って言語能力の低い人だなと思うだけだ
ここも含め、それらの書き込んだ被害者ほぼ全部を指して「どいつもこいつも」云々ということ
bleepingcomputerなんて未だにdecryptorの使用法ミスと思っての書込みが出る始末
俺自身、141のurlを見るまでは半々の確率でどっちなんだ、と思ってた
> まぁ、しかし、有用なレスもらっても無視とか確かになんなんだろとは思う
こういうのは別に気にはならん、相手の都合もあろうし理解力に応じた程度にしかどうせ伝わらん(87のように)し、
そもそもこちらが好き勝手書いてるわけだから
ただ見てる人は見てるし、
例えば>>117の後半は他で見たことがない貴重な情報で、recuvaを出したことに意味があったんだと(直接復号につながったわけじゃないが)わかったりもする
たまにこんな与太話もするが(返事しないのもどうかと思ったのと上記追加urlも知りたい人は勝手にcheckしといてくれという意味も含めてだが)、
基本、役に立つ情報しか俺は載せないから
だから例えば、いくらでも湧いて出る、まだ日本で(世界でもほとんど)流行ってない新着ランサムウェア情報など一度も貼ったことはないだろ、貼る意味がないから
145:名無しさん@お腹いっぱい。 (ワッチョイ d305-0eWo)
16/05/21 06:34:13.12 Yty1bn9l0.net
cryptxxxもマスターキー公開してくれー
146:名無しさん@お腹いっぱい。 (ワッチョイ e62f-OoDr)
16/05/21 07:00:49.16 O9SBNXDa0.net
>>142
それならカスペがクラウドドライブサービス運用したほうがいいなw
だが個人情報とエロは外付けドライブにな
147:名無しさん@お腹いっぱい。 (ワッチョイ bc58-7Fm9)
16/05/21 13:53:39.20 CANR6J0W0.net
クラウド覗いても、使っている人のプロフィールがなければ意味が無い
エロはためておいても意味が無いし、どうせ本物とは永久に縁が無いから無意味だし
いっぺん、IT機器がすべて破壊された状況になってそれがしばらく続けば
世の中少しはマシになるかもです
148:名無しさん@お腹いっぱい。 (アウアウ Sab5-7Gsa)
16/05/21 19:23:39.79 zh0kyRZTa.net
ランサムウェアに感染! あなたならどうする? 500ドルで得るもの失うもの
URLリンク(internet.watch.impress.co.jp)
149:名無しさん@お腹いっぱい。 (ワッチョイ 439b-xKv1)
16/05/21 21:37:38.55 aLNsVtw10.net
2次配布する馬鹿が暗号変えてばら撒くとかないの?
それにやられると厄介な気がするけど
150:名無しさん@お腹いっぱい。 (ワッチョイ e9f9-MTTD)
16/05/22 00:46:18.41 rid9Ru6B0.net
暗号ってそんなに簡単に作れないんじゃね?
151:VHR12JC10V1 (ワッチョイ 51f2-EVGO)
16/05/22 06:17:17.02 L2npG/wF0.net
参考
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
Qihoo-360 QVM41.1.Malware.Gen
URLリンク(www.virustotal.com)
検出率: 32 / 56
三菱 VHR12JC10V1 4991348068790
TDK DR120DMC10UE 4906933604369
Manufacturer ID: CMC MAG. AM3
152:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-xKv1)
16/05/22 11:33:41.07 xPRGYQ9p0.net
有益になるかどうかわからんが投稿
cryptxxxにかかってKaspersky LabのRannohDecryptorでjpgやzipなど8割復旧
HDD削除ファイル復旧ソフトでMyIDxxxxxxx.key復活
海外ローダーにアップされていた被害者のZIPからdecryptor.exeを取り出し
URLリンク(host1gb.net.pl)
身代金要求サイトのHELP
URLリンク(2zqnpdpslpnsqzbw.onion.to)
見よう見まねで復元しようとしたらKey情報の情報量の符号性に気づく。
もちろん復元できず・・・。
以下は上記ZIPに入ってたサンプルだけど
パソコン内に残っていた復活させた.Keyは下記と記述形式は同様
-----BEGIN CERTIFICATE-----
BgIAAACkAABSU0ExAAQAAAEAAQDvVC95RuRPs6zUyOrO4TvnlEpeYr+YeF13XZO6
R18iWx/CJyqaelRVxIFPEu44N/U1NXDiGiPbxmsJ0RvBDV2bLvwwmIbatEweHCAl
Rt7BnfhbvrlX+r3VpWRdI9hkE4o0yY6vlcK6Qc/I377/3s6Nqg30oUeGS8nM8D3X
fkKkrw==
-----END CERTIFICATE-----
2v3ojv6gnmpuqiv6.onion 👀
Rock54: Caution(BBR-MD5:0a276564888fc24617df99534f6f5523)
153:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-xKv1)
16/05/22 11:34:27.47 xPRGYQ9p0.net
身代金支払い後ダウンロードできると思われるのは下記
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
この差分の割り出し方法と解析方法が判ればmp4なんかも復活できるかもしれないのになぁ・・・
154:名無しさん@お腹いっぱい。 (スプー Sd78-MTTD)
16/05/22 14:24:40.31 IriIGe1Nd.net
これ、普通に>>152が公開鍵で、>>153が秘密鍵でしょ
PGPの仕組みとか知ってる?
155:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/22 15:56:39.78 C2fy3GbSa.net
[CryptXXX 現況]
・既に復号できた人
→5/20にRannohDecryptorはバージョンアップ、1.9.1.1がリリースされ、
.html, .php, .fla (from adobe flash) といったいくつかの拡張子が追加で復号対応した模様
URLリンク(www.bleepingcomputer.com)
・5/17以降感染者
→現時点で復号不可
RannohDecryptor 1.9.1.0 encrypt file size not equal to original
RannohDecryptor 1.9.1.1 the decryption of files encrypted by this variant of Trojan-Ransom.Win32.CryptXXX is not supported
*重要
その5/17以降、「bitcoin支払いをしてもError = -4が出て復号できず」という事例が複数あり
156:名無しさん@お腹いっぱい。 (アウアウ Sab5-7Gsa)
16/05/22 16:33:11.05 vgZnROwaa.net
>>155
GJっす!!
>その5/17以降、「bitcoin支払いをしてもError = -4が出て復号できず」という事例が複数あり
これは痛いなー
157:名無しさん@お腹いっぱい。 (ワッチョイ d305-0eWo)
16/05/22 17:31:21.42 AbHQ9EaW0.net
カスペルスキーさん頑張ってんな
ファイルを削除するのはもう少し待とう
158:名無しさん@お腹いっぱい。 (ワッチョイ 5eff-iaSg)
16/05/22 18:28:29.94 lRGwK6hL0.net
ESETともう1個のツール試したけど
VVV化されたファイルの複合はキー無しで無理でしたが┐(´д`)┌ ヤレヤレ
なに鬼の首を取ったような記事ばっかなんだか
159:名無しさん@お腹いっぱい。 (ワッチョイ 51ec-sPSn)
16/05/22 21:29:35.08 qEBGXMu10.net
>>158
お前みたいな奴が復号できなくて心底嬉しい。
160:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/22 22:31:39.81 V7JAhCwUd.net
え、いまごろvvvの復号の話?
vvvならあれを試してみたらいいのに、ってな話をしてやりたくないわな
161:名無しさん@お腹いっぱい。 (ワッチョイ 5eff-iaSg)
16/05/22 23:20:09.48 lRGwK6hL0.net
>159-160
だったらなんで大手、メジャーな復旧ツールで対応しないんだよ
キー選択でVVVの項目あんのにさあ??
結局暗号解読=違法ってことなんかね
162:名無しさん@お腹いっぱい。 (ワッチョイ 7180-MTTD)
16/05/23 03:45:12.97 CRJEjC1c0.net
こういう奴が引っ掛かるんだなえ
163:名無しさん@お腹いっぱい。 (ワッチョイ 45fa-G0cz)
16/05/23 06:16:34.62 3U+jzoO20.net
復元ツールや復号キーなどが出てスレが一気に加速したね
感染者が各自コテを付けているわけでもないので確実なことは分からないけど
感染者自体はそんなに多くはなくて数人がスレを賑わしている感じだね
164:名無しさん@お腹いっぱい。 (ワッチョイ 3b80-vqQ5)
16/05/23 08:52:39.49 G59p05050.net
>>161
たぶん、元のランサムウエアツールキットを適当に弄ってしまったため、実際には復号できない欠陥ランサムウエアに
当たってしまったんじゃないかと。
商売として、きちんとサポートも出来る会社組織みたいなランサムウエア供給元もあれば、使い捨てで1回でも
ビットコインが手に入ればいいという刹那的なヤツもいる感じで。
165:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/23 13:16:50.00 qgb4iFe4a.net
bleepingcomputerのforumで、当初から、単なる操作ミスとは思えないvvvでmaster keyが不可の例が2人くらいいて少々気にはなっていたが、
まぁ不具合もたまにはあるかと流してた
しかしその後誰も彼もvvvばっかの相談コーナーと化してるから、
「.vvvでmaster keyが効かないものがある」
のは間違いないだろうね
ただ、現時点で例のkey解析-復号化はいずれも有効なようだし、
実は中の人が入れ替わってる別ver.が含まれてる(あるいはvvvは丸ごと)、とすると少なくともkey回りを別に用意する必要があって(場合によって一部暗号化もいじる必要あり?)、
その費用や手間のプラマイ考えるとちょっとムリがあると思う
単に、vvvではいろいろいじりすぎてmaster key回りまで変更してしまって効かないのができちゃった、ってだけじゃないかな
いずれにしろ解けてもう5ヶ月くらい経つから、
今回たまたま意外なビッグニュースになったおかげで知れてよかったろうけど、
それがなければずっと暗号化ファイルを抱えたままにしてたのか、と思うと滑稽ではある
166:名無しさん@お腹いっぱい。 (ワッチョイ 9014-x3kX)
16/05/23 13:54:44.46 XI3Kn+Zt0.net
Lockyの復号キーはまだですかねえ…。
俺は食らってないけど、社長が食らってしまってる。
4月の末頃メールから感染したと思われる。
167:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/23 14:45:29.53 qgb4iFe4a.net
復号可能になったものについて以前調べたことがあるが、
ランサムウェアがリリースされてから、復号化ツール等で復号可能になるまでの期間は、
1週間前後~1ヶ月
ほぼ全てあてはまる(例えば.vvvでちょうど1ヶ月ほど)、逆に、それ以上かかって復号可能になったものは若干の例外を除いてゼロ
犯人が警察に捕まり暗号化方法等を自白してセキュリティメーカ協力の下復号化ツールができた(半年後)
何故か急に作成者が改心して復号方法を公表(3ヶ月後くらいか)
そして今回のteslacrypt、このくらい
まぁセキュリティメーカ側の人にしても有志にしても、費用(というかかかる手間)対効果とか次々現れる亜種分析とか、そのくらいが一つの目処なんだろう
カスペにしたって今回は面倒くさい対象に関わってしまったと担当者は思ってるはず
あと、一度復号化ツールが出ても、作成者側が諦めずバージョンアップを繰り返した場合、
ほとんど全てのケースで最終的に復号不可で終わる
これが現実
168:名無しさん@お腹いっぱい。 (アウアウ Sab5-V4Zo)
16/05/23 16:20:08.28 pXHXlwoFa.net
>>161
>結局暗号解読=違法ってことなんかね
勘違いっぷりがすごいww
169:名無しさん@お腹いっぱい。 (ワッチョイ 7bfe-sPSn)
16/05/23 17:14:49.67 XaJOXyos0.net
少なくともこの板で知った様なレスしようと思うならば「複合化」なんて恥ずかしいこと書くなよ
暗号化<->復号 であって 暗号化<->復号化じゃねーよ
170:名無しさん@お腹いっぱい。 (アウアウ Sab5-7Gsa)
16/05/23 18:06:39.02 pXHXlwoFa.net
>>169が、「複合」化にツッコミを入れてるのか、復号「化」にツッコミを入れてるのか分からんけど、両方なんだろうな
まぁ復号化に関しては確かに本来、「化」はいらんわな
「復号」だけでいい
しかしながら、「暗号化」に対比させて読み手側に分かりやすくするためにあえて「復号化」と書くケースもあるのでそんなに目くじら立てるほどのことでもないな
171:名無しさん@お腹いっぱい。 (ワッチョイ bca8-WIx6)
16/05/23 19:51:58.85 tWqwunkW0.net
cryptXXXの3.0は身代金払って手に入れた復号キーが使えないとか
いやだなぁこれじゃどうしようもない
172:名無しさん@お腹いっぱい。 (ワッチョイ 5bbd-xKv1)
16/05/23 19:57:29.07 1duTocAf0.net
teslacrypt4.0にやられた者だが、
こんなにも早く解決するとおもってなかった
来年とか再来年ぐらいまでは覚悟していた
みんなも早く復元できるといいね
173:名無しさん@お腹いっぱい。 (ササクッテロ Spbd-V4Zo)
16/05/24 09:05:02.38 A+mFbWsLp.net
だからどうやって感染したんだよ
174:名無しさん@お腹いっぱい。 (ワッチョイ 7180-MTTD)
16/05/24 09:15:37.81 feJiZGke0.net
そもそもこんなのに感染しないし
175:名無しさん@お腹いっぱい。 (ドコグロ MMde-Vmqj)
16/05/24 12:12:01.05 5UPesWNgM.net
ある漫画喫茶のXPで広告がたくさんついている有名な海外のサッカー配信サイトで
試合見てたらcryptXXXのV1にUSBメモリがやられた
PC立ち上げなおしても動かなかったから店員にリセットみたいのしてもらったけど
元データが見つからないのでカスペルスキーとかいうのが使えない状態
176:名無しさん@お腹いっぱい。 (ワッチョイ 7b6d-un72)
16/05/24 15:25:22.37 YHZoyeD60.net
カスペルキーのツールを使ったのですが以下のような英文がでて作動しません
原因はなにが考えられるでしょうか
the decryption of files encrytped by this variant of trojan-ransom.win32,cryptxxx is not supported
ツール使うにあたっては空き容量が十分にないと作動しないということでしょうか
いまだにXPというのがツールサポート対象外ということなのでしょうか
それとも他になにか原因が考えられるでしょうか
177:176 (アウアウ Sab5-+JX3)
16/05/24 15:40:48.77 lM+q7JTba.net
>>155さんの18日以降感染にあたるようです
参りました…
178:名無しさん@お腹いっぱい。 (ササクッテロ Spbd-V4Zo)
16/05/24 18:24:21.92 A+mFbWsLp.net
>>176
英文に書いてあるじゃん・・・
それくらい読めるでしょ?
179:名無しさん@お腹いっぱい。 (JP 0Hde-3oqL)
16/05/24 18:30:08.10 01xpnlRRH.net
>>176 not supported って書いてあんだろ・・・
180:名無しさん@お腹いっぱい。 (ワッチョイ c91f-ANk3)
16/05/24 19:57:12.47 jtoJ716u0.net
カスペルさんは3は無理だけどできたら教えたげる、動画は無理
ってブログで言ってます。どこかに身代金や復号の可否の情報は
ないものでしょうか。
181:名無しさん@お腹いっぱい。 (ワッチョイ 5bbd-xKv1)
16/05/24 19:58:22.76 tsWiIFd+0.net
>>173
感染した理由なんて何度も書き込みたくないよってw
182:名無しさん@お腹いっぱい。 (ワッチョイ 512b-MTTD)
16/05/24 20:10:22.42 rSHpzNv90.net
ファイルが改変されて開かなくなった人で
それ以外には被害受けてない?
アカウントを悪用されたり、ネットバンキング悪用されたり。
183:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/24 20:10:52.84 VAYZLe5md.net
>>178-179
>>177で自己レスしてるのにそんなに突っ込みたいの?
184:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/24 20:13:05.73 VAYZLe5md.net
>>180
> どこかに身代金や復号の可否の情報は
ないものでしょうか。
具体的に何が知りたいのかわからん
185:名無しさん@お腹いっぱい。 (ワッチョイ d305-0eWo)
16/05/24 20:19:25.76 313ytIbA0.net
KP41病、ランサムウェア、ついにはLANポート死亡
俺のPCはボロボロだ!もう買い替える!
186:名無しさん@お腹いっぱい。 (スプー Sd28-WK80)
16/05/24 20:42:51.55 mZ/dkPbed.net
試しに
***.mp4.crypt を
***.zip.crypt に変えてRannonDecryptorしてみたけど、
やっぱりダメだった。
187:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-xKv1)
16/05/24 21:15:10.73 G0j5bFP10.net
試しに
***.apk.crypt を
***.zip.crypt に変えてRannonDecryptorしたら、
やっぱりいけた。
188:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-xKv1)
16/05/25 08:22:01.60 48MsltTb0.net
RannonDecryptor 2バイト文字に対応した模様?2byteフォルダーや日本語タイトルmp3復活した。crypt v2
189:名無しさん@お腹いっぱい。 (ワッチョイ 3b80-vqQ5)
16/05/25 10:58:51.35 L3RhJZIe0.net
>>188
URLリンク(blog.kaspersky.co.jp)
RakhniDecryptor Ver.1.15.10.0のこと?
190:名無しさん@お腹いっぱい。 (ワッチョイ bdd8-FRyb)
16/05/25 11:03:40.18 3FT15xJl0.net
RannonDecryptorってなに? RannohDecryptorじゃないのん?
191:名無しさん@お腹いっぱい。 (JP 0Hde-3oqL)
16/05/25 11:24:02.91 xwLslARXH.net
掲示板で細かい文字狩りすんなよ
192:名無しさん@お腹いっぱい。 (ワッチョイ 1cd8-HVkv)
16/05/25 11:30:28.25 KVii2fLN0.net
おれも新型に感染したようで、復元できない・・
そんな無知の俺に教えてください。
・とりあえず元凶のウイルスは駆除した
・ファイルは全てダメになったけどPCは動く。ネットも使える。
こういう状況なんだがファイル復元ソフトが出るまでは既存のデーターを
諦めれば今後も普通に使って大丈夫?
何か見えない所で悪さしない?
193:名無しさん@お腹いっぱい。 (ワッチョイ 1cd8-HVkv)
16/05/25 11:37:48.11 KVii2fLN0.net
あと、オリジナルファイルが必要との事だけど、
例えばネットから保存した画像が書き換えられた場合は
同じ所から再度保存した画像がオリジナルとして使えるの?
194:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-xKv1)
16/05/25 12:44:14.45 48MsltTb0.net
感染したら
Windowsの復元機能が通常使用でONならば元に戻せる。
おれは軽量化が仇となったクチ。
一部ファイルを復元するならこれ
URLリンク(www.shadowexplorer.com)
削除ファイル復活させるrecuvaって方法もある。
195:十三 (ワッチョイ 45be-xFql)
16/05/25 18:14:23.85 US8a1S4v0.net
>>185
昨年の8月にサイトのHPを見た後に、ネットに接続ができなくなり、
LANポートのアイコン表示が☓に、なったので、windowsXPのソフトをダウンロードを、して
、新たにWindows7をダウンロードして、今でも使っています。
画像は外付けハードディスクに保存していました。
その時、ウイルスソフトは入れていなかった結果
ウイルスにLANポートを破損
2chに入って、出てきたら、パソコンが重くなり、
ウイルスソフトを
スキャンしたら、下記のウイルスを見つけました。
PUA/Systweaksad ←ウイルス
196:名無しさん@お腹いっぱい。 (ワッチョイ 98e5-/fHo)
16/05/25 18:54:30.56 H56BlQ1s0.net
カスペルさんではLockyの複号はできませんよね?
197:名無しさん@お腹いっぱい。 (アウアウ Sab5-7Gsa)
16/05/25 19:00:51.20 7R3d1vBva.net
>>196
Lockyはまだどれでもできない
198:名無しさん@お腹いっぱい。 (ワッチョイ c91f-ANk3)
16/05/25 19:16:34.03 TtzwcZ4V0.net
感染しました。
誰かcryptxxx3で身代金を払った人はいませんか。
復元できないという情報はどこからきてるんでしょう。
199:名無しさん@お腹いっぱい。 (ワッチョイ 98e5-/fHo)
16/05/25 19:17:13.83 H56BlQ1s0.net
>>197
ありがとうございます。
9割方復号できないと思ってましたけど。完全に死にましたw
200:198 (ワッチョイ c91f-ANk3)
16/05/25 19:34:03.38 TtzwcZ4V0.net
URLリンク(www.bleepingcomputer.com)
この辺でしたか。なんて悲しい。
201:名無しさん@お腹いっぱい。 (ワッチョイ 51ec-V4Zo)
16/05/25 22:22:48.72 5y9ZngET0.net
>>199
Lockyは身代金払って回復できるかも
いや、勧めてるわけではないが
202:名無しさん@お腹いっぱい。 (ワッチョイ 1c6d-7Gsa)
16/05/25 23:47:57.68 fVJNx+Id0.net
>>201
実際金払って復旧してる業者いるしなww
203:名無しさん@お腹いっぱい。 (ワッチョイ 574c-xVP+)
16/05/26 09:22:28.76 QmXG1Twn0.net
>>193
>例えばネットから保存した画像が書き換えられた場合は
>同じ所から再度保存した画像がオリジナルとして使えるの?
使える
俺はESETセキュリティー入れてて暗号化されたんだけど
ESETのフォルダに入ってたv80_win_settingsguide.pdfっていう88MBの説明書ファイルも暗号化されてて
これを公式でダウンロードしてきてオリジナルファイルとして使ったら大きいファイルもほとんど復号できた
俺は癖で外付けHDDにバックアップ取った大きいデータは即削除していたんでこれが無かったらマジ危なかった
ありがとうESETセキュリティー
204:名無しさん@お腹いっぱい。 (ワキゲー MMff-khAS)
16/05/26 12:32:51.79 GebvY6fgM.net
オリジナルファイルが落とせたら復号とか関係ないんじゃないの?
同一フォルダにある別のファイルも復号出来るの?
205:名無しさん@お腹いっぱい。 (スプー Sdff-SNRC)
16/05/26 13:14:08.49 36OwSBaCd.net
Lockyに感染し、身代金払おうと思っているんだけど、どうやってビッドコイン買うの?
206:名無しさん@お腹いっぱい。 (JP 0Hff-9Hh6)
16/05/26 14:31:06.83 /jgxzdzsH.net
>>205 ここで聞く前に、どこのWEBをみて、どんな点が理解できなかったのか書いてくれ
2chではピンポイントな回答は出来ても、1から10まで教えるには適していないのでな
207:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/05/26 15:05:08.20 Nj7nLRO9a.net
>>98みたいなやつもいるからな
レポしねーんなら、わざわざ書くなっての
208:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-Iguy)
16/05/26 18:46:54.38 ETY1Z8us0.net
>>204
このスレで一番アホな質問ね
209:名無しさん@お腹いっぱい。 (ワッチョイ d389-kV93)
16/05/26 19:23:06.87 Kw+kKRVo0.net
ランサムウェアの猛威が止まらない、国内での被害報告が前年同期比8.7倍~トレンドマイクロ調査
URLリンク(internet.watch.impress.co.jp)
210:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/26 19:53:32.35 Q8esnwURd.net
>>205
いくら払うのかによっても違う
いくら払うの?
211:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/26 19:58:54.72 Q8esnwURd.net
>>192
ウイルスが本当に完璧に駆除できているなら、それでいいと思うが、完璧に取り切れてない場合も結構あるわけで、、
そういったことを考えるとリカバリーするほうが安心ではある >>40
212:名無しさん@お腹いっぱい。 (ワッチョイ b36d-kHkB)
16/05/26 20:19:53.51 GqLSk9g20.net
>>205
ビットコイン買うのは別に違法じゃないんだから、ビットコインの取引所に問い合わせろ
213:名無しさん@お腹いっぱい。 (スプー Sdff-SNRC)
16/05/26 20:23:03.48 36OwSBaCd.net
>>210
20万
214:名無しさん@お腹いっぱい。 (ワッチョイ d7a8-r73T)
16/05/26 21:10:50.83 uSrPHtjC0.net
cryptXXXのv3は相変わらず復号できない報告が続いてるな
犯人側が提供する復号ツールは更新されてるようだがv3のは通らないみたいだ
暗号化ミスってデータ破壊したのか、それともキーが間違ってるのか
215:名無しさん@お腹いっぱい。 (ワッチョイ 031f-X1Zo)
16/05/26 21:51:08.85 yo0eCtL20.net
もう少ししたら
これ
Si tratta di un nuovo software decrypter
URLリンク(www.dropbox.com)
URLリンク(www.bleepingcomputer.com)
を試してみます。感染ファイルがいっぱいありすぎて動いているのか
わからなかった。
216:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/05/26 21:51:55.12 E45An7KTa.net
>>213
なぜそんなに高額に?
普通500ドルか1000ドルだろう?
217:215 (ワッチョイ 031f-X1Zo)
16/05/26 22:26:07.04 yo0eCtL20.net
良く読んだら払った人向けだった。もう少し様子見します。
218:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-P47+)
16/05/26 23:20:54.78 ETY1Z8us0.net
20万とか、自ら釣りって言ってるようなもんだな
たぶん>>98と>>205は同一人物
219:名無しさん@お腹いっぱい。 (ワッチョイ 3f27-kHkB)
16/05/27 01:14:41.58 vhNUIWDe0.net
URLリンク(www.bleepingcomputer.com)
ここ見ながらやっているのですがキーを入れて拡張子からmp3を消した状態のjpgファイルは戻せました
ただ、ファイルが多数ある為、効率良く元に戻す方法があれば教えて下さい
リネームツールはなんとかなりそうです
220:名無しさん@お腹いっぱい。 (アウアウ Sa7f-Iguy)
16/05/27 01:32:23.84 eljuTYx/a.net
>>219
Decrypt allかDecrypt folderでダメなの?
>>96
221:名無しさん@お腹いっぱい。 (スプー Sdff-SNRC)
16/05/27 12:53:04.98 LILf4zo5d.net
>>218
4.00 bitcoinって書いてあって、日本円にしたら20万弱だったぞ。
つか、本当はそんなに金額掛からないのな
222:名無しさん@お腹いっぱい。 (ワッチョイ df52-41ON)
16/05/27 13:20:46.12 kwoajui/0.net
ランサムウェア対策
URLリンク(news.livedoor.com)
223:名無しさん@お腹いっぱい。 (ワッチョイ 9b05-fFiI)
16/05/27 16:15:49.12 0JdbAUQL0.net
URLリンク(www.trendmicro.co.jp)
トレンドマイクロが新しいツール公開したみたい
誰か使ってみて
224:名無しさん@お腹いっぱい。 (ワッチョイ d71e-YjjQ)
16/05/27 22:12:44.99 Sp666tI50.net
MP3のランサムに感染したんだけど
マスターキーが解れば驚く程簡単に復号出来るんだな
225:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/05/27 22:32:28.93 YjdC9wMea.net
いやいや、、
別にマスター復号キーじゃなくても、金払って買った復号キーでも同じだべ
226:名無しさん@お腹いっぱい。 (ワッチョイ 539b-tPjl)
16/05/28 13:33:25.99 aikSvBfo0.net
>>222
「最新のランサムウェアは、パソコンのマザーボードに直接アクセスして、核となる「バイオス」を書き換えるものがあります。」
これ、ほんま?本当だとしたらOS再インスコできなくなる
227:名無しさん@お腹いっぱい。 (ワッチョイ d758-NcQY)
16/05/28 17:46:55.03 ibVgv9ci0.net
MBRと勘違いしているような気がします・・・・・・
228:名無しさん@お腹いっぱい。 (ワッチョイ b3d8-dCMW)
16/05/28 18:00:02.59 OIgNn5Nj0.net
>>223
cryptXXXを選択して動画ファイル(mp3,mp4,flv)選択してみたけど、mp4とflvはスルーされて復号終了とか出た。
mp3は復号できたファイルが出たけど再生できない。
jpg,pngとかzip,rarはカスペルスキーで戻っちゃったから試せない。
229:名無しさん@お腹いっぱい。 (ワッチョイ dfed-kHkB)
16/05/28 19:35:25.18 naBLLT4z0.net
ランサムウェアの種類、Verを調べられるサイトが
前に書いてあった気がしたんだが
誰か知りませんか?
230:名無しさん@お腹いっぱい。 (ワッチョイ 7bbd-kHkB)
16/05/28 19:48:01.02 eKR8DtKT0.net
>>229
このスレと前スレ読めばわかるよ
231:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/05/28 21:20:08.40 xNDHXQs9a.net
このスレだけでいい
232:名無しさん@お腹いっぱい。 (ワッチョイ ef27-SNRC)
16/05/29 01:12:45.03 /omDI3Jh0.net
起動する度にファイル直して元に戻ったファイル以外がやられるんだけど、ツールで暗号化されたmp3直す以外何したらいいんでしょうか
233:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-Iguy)
16/05/29 01:14:48.70 CYpxQE/40.net
>>232
ランサムウェアかまだ残ってるんだよ
駆除するかリカバリーしろよ
234:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/29 01:49:59.75 xBF8rmFdd.net
>>214
これ、なおったらしい
235:名無しさん@お腹いっぱい。 (ワッチョイ d7a5-khAS)
16/05/29 09:06:34.08 1g3uBH+00.net
感染したから再インストールした。念のためjavaとflashplayerオフにするわ(T△T)
236:名無しさん@お腹いっぱい。 (ワッチョイ 03a3-khAS)
16/05/29 10:00:25.80 yus5xv6d0.net
ソフトウェア制限ポリシーに
%TEMP%\svchost.exeを追加したらいいんでない
237:名無しさん@お腹いっぱい。 (ワッチョイ 93bf-kHkB)
16/05/29 13:16:57.27 y9JHDDBY0.net
cryptxxx v2 で xls txt mp4 3gp ツールで復元できている方いますか?
238:名無しさん@お腹いっぱい。 (ワッチョイ 93bf-kHkB)
16/05/29 15:17:36.64 y9JHDDBY0.net
日本トレンドマイクロでは1523だったが米で新Ver上がってた。
けど1551は暗号化と同一ファイル求められて準備しても弾かれる。
RansomwareFileDecryptor 1.0.1551 MUI
URLリンク(esupport.trendmicro.com)
直リン
RansomwareFileDecryptor 1.0.1528 MUI
URLリンク(esupport.trendmicro.com)
239:名無しさん@お腹いっぱい。 (オイコラミネオ MMff-khAS)
16/05/29 17:38:24.95 tPPqzK+/M.net
ふとした疑問。
暗号化に使ったkeyファイル、暗号化したあとに削除されるんだろうけどさ、keyファイルを復元したら復号できちゃうんじゃね?
240:名無しさん@お腹いっぱい。 (ワッチョイ 93bf-kHkB)
16/05/29 18:48:47.86 y9JHDDBY0.net
>>152
>>153
に書いてある理屈だよね。暗号Key短いほうでなんとかなればいいんだけどな。
241:名無しさん@お腹いっぱい。 (ワッチョイ 8734-EET6)
16/05/29 20:09:17.69 q6fgL/3O0.net
RANSOM_WALTRIX.C は、以下の拡張子を持つファイルを暗号化します。
.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI,
.BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE,
.DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF,
.EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR, .GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP,
.IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA,
.M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI,
.NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT,
.P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF, .PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY,
.QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW,
.TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT, .UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF,
.XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV,.ZIP, .ZIPX
242:名無しさん@お腹いっぱい。 (ワッチョイ 8734-EET6)
16/05/29 20:13:32.06 q6fgL/3O0.net
サイバー犯罪者集団が新たに「Angler Exploit Kit(Angler EK)」および「BEDEP」を利用して
暗号化型ランサムウェア「CryptXXX」(「RANSOM_WALTRIX」として検出)を拡散する報告がありました。
今回、CRYPTESLA の手口を模倣する CryptXXX の亜種(「RANSOM_WALTRIX.C」として検出)が確認されました。
CRYPTESLA の無料復号ツールの公開によりユーザが身代金要求を無視できるようになった後で大幅に更新された亜種となり、
この亜種は、ファイルを暗号化するだけでなくユーザがデスクトップにアクセスできないように画面をロックする機能も備えています
243:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-P47+)
16/05/29 20:34:49.99 CYpxQE/40.net
>>239 >>240
そうはならない
ランサムウェアは公開鍵暗号方式で暗号化しているから。
ここがシンプルで分かりやすいか。
URLリンク(www.atmarkit.co.jp)
つまりランサムウェアが感染者のPCで活動開始すると、犯人のサーバーから公開鍵と秘密鍵のペアのうち公開鍵を取得、この公開鍵によってランサムウェアがファイルを暗号し、PC内にも公開鍵は残っている。
公開鍵と秘密鍵はセットになっており、この公開鍵のペアとなる秘密鍵は犯人のサーバー側で所持している。
身代金を支払ったら、その公開鍵に対しての秘密鍵を提供、その秘密鍵でファイル復元する仕組み。
つまり復号するときの秘密鍵はひとりひとり違うのでそういうことにはならない。
244:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-P47+)
16/05/29 20:52:26.12 CYpxQE/40.net
>>239
補足
もう分かってると思うけど、「暗号化に使ったkeyファイル」=公開鍵のことね
公開鍵なんで公開されてもまったく問題ない。
245:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/29 21:13:22.54 dYoe3j7ad.net
>>242
ソースをちゃんと貼れよ
URLリンク(blog.trendmicro.co.jp)
246:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/29 21:54:07.16 W6urpTHHa.net
>>241-242,245
てか、今さら「CryptXXXにv3出ました」情報なんて、特にこのスレには後出しすぎて全く要らんだろ、いくら日本語記事とはいえ
それどころか、出来がイマイチでここ数日どうも撒布を停止してるっぽいくらいなんだが
bedep云々については既に前スレから引用付で書いてるし
もし引用するならむしろここ、
> 問題の RANSOM_WALTRIX.C の不正活動停止を困難にする理由は、システムの挙動監視プログラムである「watchdog(ウォッチドッグ)」を自身の
> 活動に利用しているからです。RANSOM_WALTRIX.C は、暗号化とシステムの「異常な」挙動の検知という2つの機能を同時に実行します。ウォッチ
> ドッグが暗号化プロセスを中断させる「異常な」挙動を検知すると、暗号化を最初からやり直します。このため不正プログラムが停止するとウォッチドッグ
> により暗号化が再開する、という悪循環が発生します。
で、>>232はたぶんこのせい
いずれにしろアボンで消えてるからどうでもいいんだが
247:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/29 23:06:50.08 dYoe3j7ad.net
>>246
いちいち、毎回一言多いんだよ
248:名無しさん@お腹いっぱい。 (ワッチョイ 7fd8-BGUp)
16/05/29 23:46:27.04 SJUgZiml0.net
そこは同意せざるを得ない(苦笑)
249:名無しさん@お腹いっぱい。 (ワッチョイ ef65-+BAm)
16/05/30 01:34:31.14 o9zyDdxG0.net
下のソフトって「Locky」には対応していないんかな?
誰か複合成功した人いる?
↓
URLリンク(esupport.trendmicro.com)
250:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-SNRC)
16/05/30 01:39:35.21 yUwbkt4K0.net
>>249
対応してない
251:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 01:42:06.70 dofW2Ogsa.net
URLリンク(esupport.trendmicro.com)
のImportant Note about Decrypting CryptXXX V3を見て、よくこんな微妙な解析と他力本願なやり方の提示でver. upしたもんだ、と感心してたが、
URLリンク(www.bleepingcomputer.com)
というか
URLリンク(www.bleepingcomputer.com)
を読み直したが、
要は8191/8255 bytes (99%以上)は復号できるから、
残った読めない部分を許容できるファイル(形式)は読めたり、
photo or image file(jpg? のみ?)はファイル復元ソフトで復元(というか修復、というか恐らくファイル形式に則った形に差替え)出来得る、
ってことだな
他のファイル形式についても、各種修復機能を持つソフトで読めるレベルになるものもあるかも、ということも示唆している
つまり、
CryptXXX v3で暗号化されたファイルで一部、
trendmicroのRansomwareFileDecryptor 1.0.1551を使えば、
特にjpegは書かれている作法で読めるようになる(かも)、
そして他のファイル形式についても色々ファイル復元ソフト等でいけるものが出てくるかも、
ってこと
と同時に、RSAの部分を含めた完全復号はダメかも
252:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 01:50:27.63 dofW2Ogsa.net
>>251
と書いてるうちに、同様に気付いて、実際に試して一部成功した書込み等出てきてるので、
ある程度まとまれば追記するかも
253:249 (ワッチョイ 879d-+BAm)
16/05/30 02:07:59.41 uXZUVMkr0.net
うううむ
「Locky」に変換されてしまったら復元は現時点不可能(身代金払う以外)て
事かぁ・・・
もしやと思ってファイル復元ソフトなんか試してみたんだが駄目だったし
254:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-SNRC)
16/05/30 02:08:18.66 yUwbkt4K0.net
>>252
よろ
255:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-SNRC)
16/05/30 02:12:00.91 yUwbkt4K0.net
>>253
>>24で書かれてるURLにあるように、Vista以降ならボリュームシャドウコピーから復元できる場合もある
(もちろんできない場合もある)
まだ試してないならShadow Explorerを試してみたらどうか
256:249 (ワッチョイ 879d-+BAm)
16/05/30 02:22:05.61 uXZUVMkr0.net
>>255
ありがとうございます。試してみます
257:名無しさん@お腹いっぱい。 (ワッチョイ 7bb6-AFib)
16/05/30 13:16:46.27 wlaQEf710.net
.cryp1になってるのは、CryptXXX v3 なの?
復元できないよね?
258:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 14:37:49.39 xoqad2H9a.net
>>257
> .cryp1になってるのは、CryptXXX v3 なの?
bleepingcomputer(のDemonslay335氏)がそう言ってるので間違いない模様
URLリンク(www.bleepingcomputer.com)
> 復元できないよね?
とりあえずまずshadowexplorer、と適用できるかわからんが>>251
元のCryptXXXのtopicと、
URLリンク(www.bleepingcomputer.com)
あとemsisoft
URLリンク(support.emsisoft.com)
でしか見かけないから試作の限定撒布かと思っていたけど、これからなのかもね
[注意]
「.cryp1」で検索すると大量の偽セキュリティソフト勧誘サイト、
およびこの1~2時間前から大量の「このサイトはコンピュータに損害を与える可能性があります。」「このサイトは第三者によってハッキングされている可能性があります。」表示サイトが検索で引っかかるので注意
259:名無しさん@お腹いっぱい。 (ワッチョイ 132f-Dr1V)
16/05/30 19:52:50.79 wD/AA3MX0.net
>>258
ありがとうございます。
待ってみようと思います。
会社の共有ファイルサーバーがやられちゃって困ってるんで、進展や他に情報があれば教えてもらえると助かります。
260:名無しさん@お腹いっぱい。 (ワッチョイ 9b05-fFiI)
16/05/30 19:57:03.61 l/+t3S2Y0.net
これ企業が被ると大損害だよな
俺のプライスレスな思い出も大問題だけど
261:名無しさん@お腹いっぱい。 (アウアウ Sa7f-Iguy)
16/05/30 19:58:36.22 Pxq83mada.net
試してみようと思います
じゃなくて
待ってみようと思います??
>会社の共有ファイルサーバーがやられちゃって困ってるんで、進展や他に情報があれば教えてもらえると助かります。
なにこの丸投げ状態
しかも個人の話じゃないとか
262:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 20:18:20.52 DB1DTFbea.net
>>259
企業なら、システム管理者・・・というレベルじゃないな、あんたがシス管か
有料セキュリティソフトくらい使ってるんだろうから、その会社に、
・CryptXXXのv3(拡張子.cryp1)に感染
・Bedepによる情報流出の疑いあり
この2点を伝えて指示を仰げ
これ以上のフォローをする気は(少なくとも俺からは)一切ないのであしからず
263:名無しさん@お腹いっぱい。 (ワッチョイ 132f-kHkB)
16/05/30 20:27:54.64 /DBNOE++0.net
興味本位でMalwarebytes Anti-Ransomware入れてみた
画像がたくさん入ったフォルダをゴミ箱に捨てた瞬間
エクスプローラーを隔離しようとしてきて心臓止まるかと思った
実害なかったし強制終了してやり直したら誤検しなくなったけど何だったんだあれ
264:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 23:57:31.35 DB1DTFbea.net
MBAEやらMBARやらは、大量のファイル移動は引っかかる話を何度か目にした記憶があるな
挙動が似てるんだろう
265:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 23:58:32.40 DB1DTFbea.net
あれ上げちまった
266:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/31 00:08:42.26 VjggDmoGa.net
>>251
URLリンク(esupport.trendmicro.com)
のImportant Note about Decrypting CryptXXX V3に、Original Photo/Photo after partial data decryptionの例が追加されている
267:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/31 00:09:44.94 HH+jCTxrd.net
MBARは多少の誤検出はユーザー側で対処してでも怪しい動きを封じ込めるという使い方
268:名無しさん@お腹いっぱい。 (ワッチョイ 83d8-dYmh)
16/05/31 01:36:18.40 /yyRmhV/0.net
MBARはまだβ版だからなあ
269:名無しさん@お腹いっぱい。 (ワッチョイ 132f-kHkB)
16/05/31 16:12:01.88 Cr3qHjl10.net
ファイル一括リネーム系のソフトとかモロ引っかかりそうだな
1回誤検出させてから除外すればいいのかな
270:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/06/01 03:42:13.52 9W0sO0+ta.net
>>269
malwarebytesのスレなら前から使ってる人、詳しい人はいる
271:名無しさん@お腹いっぱい。 (ワッチョイ 1fd9-kHkB)
16/06/01 03:46:50.40 St76zyiZ0.net
今は除外設定に入れても誤検知するようになってるからBitのがいんじゃね
Malwarebytesのほう入れてるけどもうOFFにしてるわ
万が一ランサムウェア感染したときに即ONにするつもりだからアンインストールはしてないけど
272:名無しさん@お腹いっぱい。 (オイコラミネオ MMff-khAS)
16/06/01 09:42:18.34 3NLrJ+slM.net
>>263
それ、フォルダの中身やばいやつ?
単純所持で通報しとく?
273:名無しさん@お腹いっぱい。 (JP 0Hff-9Hh6)
16/06/01 10:06:01.16 /aMmJCS7H.net
Malwarebytesの仕組みは間違っちゃ無いけど
誤検出が致命的なんだよね
274:名無しさん@お腹いっぱい。 (ワッチョイ 9baf-kHkB)
16/06/01 13:49:21.67 R58V7QbJ0.net
知り合いがロッキーとかいうのにかかって電話とんできたがこんなの流行ってたんだな
ロッキーだけはまだどうしようもなさそうだから待つしかねえか
275:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/06/01 14:22:57.98 c1ZbL+gqa.net
Lockyが解除されるのは期待薄である
6万円以上の価値があると思うデータなら金払った方がいいかも
そこまでのデータではないなら諦めよう
276:名無しさん@お腹いっぱい。 (ワッチョイ b26d-ChPp)
16/06/02 00:07:19.40 Pgmr+y1f0.net
お金払ってもダメだったケースあったよな。
どっかの病院で。
277:DR120DMC10UE (ワッチョイ 5df2-WvpM)
16/06/02 06:04:55.06 VCwxViHG0.net
ブロックリスト
as3.mmm-mmm.info
www.ashleyrnadison.com
www.tomodachinpo.com
reallifecam.com
278:名無しさん@お腹いっぱい。 (アウアウ Sa76-wumw)
16/06/02 21:14:52.52 NIhTLF2va.net
CryptXXXの最新版(.cryp1, UltraDeCrypter)で、
ファイル復旧ソフトのPhotoRecで一部復旧に成功した例が報告されている
URLリンク(www.bleepingcomputer.com)
(成功したのがsomeで、バックアップやら何やらからも含めてmostという意味だろうな、日本人のようだが)
念のため書いておくと、ファイル復旧ソフトはその性格上、直後が最も復旧できる確率が高く、その後はPCをいじればいじるほどどんどん別データが上書きされ復旧しにくくなるので注意
と同時に、案外と、この手の各種ファイル/HDD復旧ソフトを色々試すと他にもうまくいくものはあるのかも
(もっとも試せば試すほど上記理由で破壊されていってしまうが)
一応 >>21,24にも付けとく
279:名無しさん@お腹いっぱい。 (アウアウ Sa76-wumw)
16/06/02 21:19:24.52 NIhTLF2va.net
CryptXXXの最新版(.cryp1, UltraDeCrypter)の紹介記事(スクリーンショット付)
URLリンク(www.bleepingcomputer.com)
280: [Φ|(|´|Д|`|)|🌀] BBxed!! ◆Akina/PPII (ワイモマー MMe5-keRX)
16/06/03 01:56:58.69 dGbFBml5M.net BE:223181803-2BP(1000)
sssp://img.2ch.sc/ico/sii_link.gif
>>277
フム
有難う
タワケに伝えておきます。
>>278-279
御疲禮様豐御座ヰマスル
281:名無しさん@お腹いっぱい。 (ワッチョイ df58-rLyq)
16/06/04 21:25:49.58 3nmgxtN00.net
4月にかかってファイルの終わりが全部cryptになった者なんだが
もしかして復元できるようになったのか?
282:名無しさん@お腹いっぱい。 (ワッチョイ d705-T5mf)
16/06/04 21:44:07.43 fV05VKdL0.net
カスペルスキーので9割くらいは復元できるよ
txt、mp4あたりは無理
アプデを待とう
283:名無しさん@お腹いっぱい。 (ワッチョイ df58-OAyH)
16/06/04 22:02:48.49 3nmgxtN00.net
RannohDecryptorってやつか
DLして試そうと思ったらもしかして元のファイル無いと駄目なのか?
284:名無しさん@お腹いっぱい。 (スプー Sdb8-ud2d)
16/06/04 22:37:42.72 6JnbBSaId.net
>>282
カペで復元できるとな?
285:名無しさん@お腹いっぱい。 (ワッチョイ 81bf-ChPp)
16/06/05 00:00:29.80 kVtQQAaB0.net
カスペなら最近のは無くてもいける。トレマクのは必要な場合もある。
無い場合はフリーソフトのZIPやJPG動画サイトの再ダウンロードflv/mp4とかネット上のコピーでもおk
あと未来のアプデ用に1つくらいサンプルxxxxxxxxx.zip.crypt.bkとして感染ファイルと復旧済みセットで残しておくといい。
286:名無しさん@お腹いっぱい。 (ワッチョイ 81bf-ChPp)
16/06/05 03:28:35.43 kVtQQAaB0.net
Trend Micro Ransomware File Decryptor
新しいの来てる
esupport.trendmicro.com/solution/en-US/1114221.aspx
CryptXXX V1, V2, V3* {original file name}.crypt
TeslaCrypt V1** {original file name}.ECC
TeslaCrypt V2** {original file name}.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3 {original file name}.XXX or TTT or MP3 or MICRO
TeslaCrypt V4 File name and extension are unchanged
SNSLocker {Original file name}.RSNSLocked
AutoLocky {Original file name}.locky
287:名無しさん@お腹いっぱい。 (ワッチョイ d705-T5mf)
16/06/05 07:03:03.71 xk3RLmc10.net
トレンドマイクロ社のはフォルダ指定できるのがいい
カスペルスキーのは全部スキャンするから辿り着くまで時間がかかる
288:名無しさん@お腹いっぱい。 (アウアウ Sa76-wumw)
16/06/05 08:47:44.48 79ZBSx9ia.net
>>286
ver.くらい入れとけ
RansomwareFileDecryptor 1.0.1569 MUI.exe
uploaded on June 3, 2016, at 15:30 GMT
CryptXXX V3についての記述は変わってないから、
単にAutoLocky(前スレ415、emsisoft復号対応済)を取り込んだだけだな、おそらく
TeslacryptDecryptor(1.0.1569 MUI.exe)も同時にver.upしてるからそっちも少しは何か改善したのかもしれんが
289:名無しさん@お腹いっぱい。 (スプー Sdb8-4qA/)
16/06/05 11:13:11.11 t5+L+UJGd.net
>>288
.locky対応したのか!
290:名無しさん@お腹いっぱい。 (スプー Sdb8-4qA/)
16/06/05 11:14:33.33 t5+L+UJGd.net
すまぬ。lockyでもオリジナルのファイルネームがあるやつだけやね…。
291:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/05 18:26:44.86 mWaxwUKG0.net
あまり無知な者ですまないのだが、自宅のPCがどうやらCryptXXX3.0に感染したらしく、
ほとんどのファイルが.cryp1という拡張子に変わってしまったんだけど、現状ファイルは復元不可能ですか?
最悪の場合ほとんどのファイルは諦めがつくけど、動画ファイル(.avi.mp4.flv等)や画像ファイル(.jpg等)はできれば元に戻したいです。
ここは詳しい人が多いと思うので、CryptXXX3.0について教えてくれる人がいたら助けて貰いたいです
292:名無しさん@お腹いっぱい。 (ワッチョイ 3fbd-ChPp)
16/06/05 18:33:16.74 JDs+KXx+0.net
>>291
>>286は読んだかにゃ
どうせエロ動画とエロ画像なんでしょw
293:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/05 19:56:17.89 mWaxwUKG0.net
>>292
エロ動画ならファイル壊れても諦めつくよw
ほんとに無知で申し訳ないんだけど、
>>286をとりあえず全て試してみれば良いってこと?
それともどれかがCryptxxx3.0専用の復元ツールになってる?
294:名無しさん@お腹いっぱい。 (ワッチョイ 9fec-4qA/)
16/06/05 22:32:56.65 tm7MmrTD0.net
>>293
全ての意味がわからん
そのトレンドマイクロのツール試してみればいわれてるんだよ
cryp1は最新型なので多分無理だろうけど、まぁ一応試してみればと
295:名無しさん@お腹いっぱい。 (ワッチョイ 3fd8-wF3E)
16/06/05 23:47:06.06 pPJlqjMN0.net
CryptXXX3.0はどうかはわからないけど、今のところ画像とか圧縮ファイルは元に戻った感じ。
動画は戻ったっていう報告を自分はまだ確認できていない。
cryp1も待ってればツールのアプデでできるようになるかもしれないしできないかもしれない。
296:名無しさん@お腹いっぱい。 (アウアウ Sa76-wumw)
16/06/06 07:06:39.99 HkHeY5Lma.net
CryptXXX Ransomware Learns the Samba, Other New Tricks With Version 3.100 (.cryp1)
URLリンク(www.proofpoint.com)
297:名無しさん@お腹いっぱい。 (アウアウ Sa76-wumw)
16/06/06 07:09:48.07 HkHeY5Lma.net
CryptXXXに新種(.crypz)
URLリンク(www.bleepingcomputer.com)
298:名無しさん@お腹いっぱい。 (アウアウ Sae5-wumw)
16/06/06 18:30:44.36 yP1gSz8Oa.net
>>251関連で、
.docと.docxについて、Microsoft Officeのrecoverを手動で行うことを併用することで復旧に成功した人が複数出てる
URLリンク(www.bleepingcomputer.com)
ただし日本語でうまくいくかは知らん
299:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/06 20:36:11.60 T8RMFEhv0.net
>>294
すまんやっと理解した
>>286試してみたけど、ファイル自体は復元できたが開こうとするとエラーになってダメだった…
みんな親切にレスありがとう
ところで感染した人はその後の対応はどうしてる?
最悪出荷状態に戻せば手っ取り早いみたいだけど、インストール済みのアプリ等消えてしまうから対応に迷ってる
CドライブのあらゆるフォルダにランサムウェアのHTMLファイルとテキストファイル(身代金要求文?)がばらまかれてる状態なんだがやはり初期化するべきなのか?…
300:名無しさん@お腹いっぱい。 (アウアウ Sa21-jzyo)
16/06/06 20:52:20.36 Br+Dyjwca.net
>>299
それはウイルスじゃないから気にせずとも良い
ウイルスを完全に取り切れてるならリカバリーする必要はないが、cryptXXX系は他の個人情報流出系ウイルスとセットになってばらまかれてることも多いので、リカバリーするほうが安心>>40
金払うつもりはないなら、将来、ファイルが復号できるようになったときのために暗号化されたファイルは暗号化されてないファイルと共にバックアップしておこう
301:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/06 21:29:40.06 T8RMFEhv0.net
>>300
分かりやすく説明ありがとう
ここの人たちより確実に知識に疎いので完全に駆除しきれる自信ないから、リカバリするのが今の所は最善なのかな…
ちなみに暗号化されてないファイルっていうのはどれのこと?
暗号化されたファイルは拡張子が変えられて普通にそのままのフォルダにあるやつでいいと思うんだけど、されてないファイルってのがイマイチ理解できてなくて
302:名無しさん@お腹いっぱい。 (アークセー Sx89-ud2d)
16/06/06 23:53:42.33 xHKEwAUEx.net
これは酷い
UltraCrypter not providing Decryption Keys after payment. Launches Help Desk
URLリンク(www.bleepingcomputer.com)
303:名無しさん@お腹いっぱい。 (スプー Sdc8-ud2d)
16/06/07 01:56:33.80 pV+yNvZId.net
>>301
前スレ671を読めばわかる
304:名無しさん@お腹いっぱい。 (スプー Sdc8-ud2d)
16/06/07 01:58:12.49 pV+yNvZId.net
>>301
あとこのスレの>>203とか
305:名無しさん@お腹いっぱい。 (アウアウ Sae5-wumw)
16/06/07 02:49:12.20 cbonT7wVa.net
>>302
>>155以降、developers' decryptorは何度か更新されているが、
状況は変わらないというより、更新するごとにdecryptに成功する人は減っている印象、
UltraCrypterになってからは成功した人はまだ見かけていない
ransomというより事実上ただの詐欺と化している
306:名無しさん@お腹いっぱい。 (ワッチョイ d7e0-4qA/)
16/06/07 12:02:24.64 avW07bAw0.net
Lockyに感染した。死にたい。ここで調べたらまだ復号化出来ないのね。2.0ビットコイン送金しろ!とブラウザ上で表示しているんだけど、日本円で幾らになるのかな。。
307:名無しさん@お腹いっぱい。 (アウアウ Sa21-4qA/)
16/06/07 13:45:47.73 cLSuv522a.net
>>306
いまは12万6000円くらい
308:名無しさん@お腹いっぱい。 (ワッチョイ d7e0-4qA/)
16/06/07 14:17:01.64 avW07bAw0.net
>>307
レスありがとう。もう現状だと復号化ツールもでなそうだし、金払うしかないのかな…涙
309:名無しさん@お腹いっぱい。 (ワッチョイ fcd8-Kayl)
16/06/07 14:32:37.27 Gb7fdE0f0.net
自動起動さえ止めとけばそのうち複合化ソフト出るだろ
310:名無しさん@お腹いっぱい。 (アウアウ Sae5-wumw)
16/06/07 16:17:05.06 4KqqhNMYa.net
>>305
訂正 UltraDeCrypter
と書こうとしたら、記事タイトルも本文中でもforumでもUltraDeCrypter/UltraCrypterの両方混ぜこぜだな
ま通じるからいいか
311:名無しさん@お腹いっぱい。 (スプー Sdc8-ud2d)
16/06/07 16:22:16.54 7xP8K6VCd.net
オフラインのバックアップがあれば、HDDごと交換する手も
312:名無しさん@お腹いっぱい。 (ワッチョイ 81bf-ChPp)
16/06/07 17:19:49.69 /KBqocaA0.net
>306
Windowsの復元ツールや
ファイル復活recuva、PhotoRec 試せ。
初期設定のままWin使っている初心者ほど実は助かる要素ある。
313:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/07 21:16:55.06 0gdsuyQw0.net
>>304
前スレ671と>>203見てきた
暗号化されたものと同じファイルをネットで保存してオリジナルファイルにすれば復元できることはわかったが、例えば自分でデジカメで撮影した動画や画像を外付けにバックアップ取ってなかった場合はオリジナルファイルが用意できないから復元不可能なの?
ちなみにバカだと思われるかもしれないが、SDカードのデータは感染前にPCに移してすぐに容量空けるために消してしまった
314:名無しさん@お腹いっぱい。 (ワッチョイ fcd8-Kayl)
16/06/07 21:29:30.34 Gb7fdE0f0.net
>>313
ファイル復元ソフトでSDカードのデータ復元出来るんじゃね?
ゼロフィルじゃないならデータ消してもヘッダーだけ消して認識しなくしてるだけのこと多いし
315:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/07 22:24:24.63 0gdsuyQw0.net
>>314
そんな方法があるのか、
ありがとう試してみる
>>300で教えてもらった通り念のためにリカバリーするつもりなんだけど、CryptXXX3.0の復元ツールが出たときのために感染ファイルのバックアップ。
その他にリカバリー前にやっておくべきことは何かあれば教えてもらいたい
316:名無しさん@お腹いっぱい。 (ワッチョイ 8d6d-k5Ea)
16/06/07 22:39:09.22 1BIpnW8j0.net
AnglerEKがEMETを突破したから使ってるヤツは気をつけろよ
317:名無しさん@お腹いっぱい。 (スプー Sdb8-ud2d)
16/06/08 02:20:16.91 S0I3SI1Bd.net
>>316
まじか
MBARいれとくわ
318:名無しさん@お腹いっぱい。 (オイコラミネオ MMb4-ud2d)
16/06/08 06:16:41.23 86bE2qtUM.net
>>312
www
319:名無しさん@お腹いっぱい。 (ワッチョイ fcd8-Kayl)
16/06/08 14:24:10.49 6w+7I8ps0.net
>>316
sandboxieとEMETでブラウザ開いてるからへーきへーき
320:名無しさん@お腹いっぱい。 (ワッチョイ 22d9-ChPp)
16/06/08 15:06:07.37 zgt3NnoK0.net
突破も何もEMETは防止効果なくて脆弱性攻撃の成功率下げるだけだしな
保護対象ならペイロード実行防止効果のあるMBAEのがよっぽど効果ある
321:名無しさん@お腹いっぱい。 (スプー Sdb8-ud2d)
16/06/08 15:46:06.88 S0I3SI1Bd.net
>>313
ちゃうちゃう
なんでわかんないかなー
簡単に言うと、復号するためには感染したパソコンにつき一つずつ違うキーが必要なわけだよ
だけども、通常は犯人に身代金を払わないとキーはもらえない
だから、無料の復号ツールはランサムウェアのプログラム上の弱点をついて、暗号化されたファイルと、その暗号化される前の同じファイルの差異を解析してキーを作り出してる
それが作り出せたら、それを暗号化されたほかのファイルの復号にも適用できる
無理矢理作り出して本来のキーとは違うので、現状、本来のキーのように100%戻せるわけではなくファイル型式によっては戻せないものとかもある
平易に書くとこんな感じ
そもそも全ての暗号化されたファイルに暗号化されてないファイルが用意できるなら、別に暗号化されても困らへんやん!っていうことになりますやん。。
322:名無しさん@お腹いっぱい。 (スプー Sdb8-ud2d)
16/06/08 15:52:51.21 S0I3SI1Bd.net
ちなみに、この復号キーを作り出す方法はいろいろあるので、常に必ずオリジナルファイルが必要というわけではないが、そういう方法でキーを作り出す必要がある場合もある、ということね
323:名無しさん@お腹いっぱい。 (ワッチョイ 532b-XIdu)
16/06/08 20:09:05.46 dGNPWGql0.net
UltraCrypterは、支払いしても復号キーを提供しない、代わりに、ヘルプデスクが追加された
URLリンク(www.hippo.flnet.org)
324:名無しさん@お腹いっぱい。 (ワッチョイ 67a6-yopd)
16/06/09 05:30:43.28 fK098ew20.net
一応報告
RKLauncher.exeがMBARに検出された
誤検出だと思うけど
325:名無しさん@お腹いっぱい。 (アウアウ Sa97-AHtr)
16/06/09 15:20:56.54 QguWD/jJa.net
はい
326:セキュリティ証明書には問題があります (ワッチョイ 4bf2-YsjG)
16/06/10 12:05:26.87 +txssmXa0.net
この Web サイトのセキュリティ証明書には問題があります
URLリンク(www.qupzilla.com)<)
327:検出出来ない。 (ワッチョイ 83f2-YsjG)
16/06/10 23:31:43.63 kL1SEOjw0.net
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
328:名無しさん@お腹いっぱい。 (ワッチョイ 23df-oU5x)
16/06/11 08:53:16.13 g/bJvpce0.net
ランサムてww ランサームランサームww
329:名無しさん@お腹いっぱい。 (ワッチョイ ff6d-drwA)
16/06/11 20:45:43.05 kYz9+w1M0.net
昨日crypzに感染しました
ほぼ全ての関連ファイルがcrypz化して見れない状態です
ウィルス自体を削除した覚えはないのですが、新たに作成した画像データ等はcrypz化せず表示できます
対応ソフトが出ることを祈って、このまま放置で大丈夫でしょうか
330:名無しさん@お腹いっぱい。 (オイコラミネオ MM2f-jNGR)
16/06/11 23:44:50.60 uoBMwHe8M.net
>>329
msconfig でスタートアップをチェックしておけ
331:名無しさん@お腹いっぱい。 (ワッチョイ 9bc5-CVpW)
16/06/11 23:55:15.39 CxNy48Em0.net
タクススケジューラも
332:名無しさん@お腹いっぱい。 (ワッチョイ 8373-DvND)
16/06/12 16:02:00.44 mvNia3no0.net
cerberに感染したわ
恐らく更新日時が新しい物から書き換えられたっぽい
バックアップのイメージファイルも書き換えられてて復元しようにもできない
今の所復元策は無いのかな
>>117 がcerber用のようだけどそのURLからじゃダウンロードできない、誰か持ってる人いたら頼む
333:名無しさん@お腹いっぱい。 (ワッチョイ b3ec-oU5x)
16/06/12 17:14:53.47 kMWA5duY0.net
>>332
前スレ753に書いてるように使うことでファイルが破壊される可能性もあることを理解してるなら再アップしてもいいけど
334:名無しさん@お腹いっぱい。 (ワッチョイ 8373-DvND)
16/06/12 20:25:57.56 mvNia3no0.net
>>333
前スレよく読んだら復元ソフトがあっても認証が無いと正しく復元できない可能性があるんだな
さすがに怖くて出来んな
不幸中の幸いで殆どのアプリケーションの設定ファイルと最近保存した画像ファイルを書き換えられた程度だから
ID Ransomwareを定期的に見て複合ツール完成を待つわ
とりあえず今日は修復で疲れた・・・まさかバックアップ用のHDD2台とも壊されるとは・・・
335:名無しさん@お腹いっぱい。 (アウアウ Sa97-AHtr)
16/06/12 21:59:52.95 3qw++ks3a.net
復号な、、、
合体させるんじゃねーつの
336:名無しさん@お腹いっぱい。 (オイコラミネオ MM2f-jNGR)
16/06/12 22:52:16.42 pEol6cTbM.net
バックアップは普段は外しておけ
これ常識だろ
337:名無しさん@お腹いっぱい。 (アウアウ Sa97-AHtr)
16/06/13 00:17:41.39 Y2JQJQZBa.net
>>336
日本語で頼むわ
338:名無しさん@お腹いっぱい。 (ワッチョイ 4be6-7xHu)
16/06/13 00:22:38.56 LmkUUm5T0.net
>>337
日本語理解できないシナチョンは自国の掲示板行ったほうが良いぞ
339:名無しさん@お腹いっぱい。 (ワッチョイ 5fd8-I1hv)
16/06/13 01:15:00.24 CKXH6rmz0.net
バックアップを外しておけ
が正しい日本語だと思ってるバカww
さすが、二言目には脊髄反射のようにシナチョンとか言葉が出るネトウヨは頭が悪いなwww
340:名無しさん@お腹いっぱい。 (ワッチョイ 9bc5-CVpW)
16/06/13 01:34:30.55 AUde9Jak0.net
二つ目のはは無い方が読みやすいって程度だな
2chなら許容レベル
341:名無しさん@お腹いっぱい。 (ワッチョイ 4bf5-AzKx)
16/06/13 01:55:43.46 N9FfxoLi0.net
毎日バックアップを取るたびに
付けたり外したりする方が異常なんだろ?
342:名無しさん@お腹いっぱい。 (ワッチョイ 07d8-Uinm)
16/06/13 02:14:28.23 nPnski8O0.net
ランサム対策はHDD内と外付けの二重バックアップが推奨されてるから外付け外すの当たり前じゃん
343:名無しさん@お腹いっぱい。 (ワッチョイ 3b80-jNGR)
16/06/13 02:46:42.79 q4h4MDq20.net
そこまでバックアップに気を遣ってる人は
そもそも感染なんかしない
344:名無しさん@お腹いっぱい。 (ワッチョイ 7b6d-xNYz)
16/06/13 03:06:27.97 WfsYaYIs0.net
それバックアップちゃうただのコピーや
345:名無しさん@お腹いっぱい。 (ワッチョイ 2380-36FP)
16/06/13 09:14:49.40 dmWMvJxl0.net
>>343
スゲェな。心がけだけでランサムウエアに感染しないんだw
うちも週一で外付けHDDにバックアップして取り外しアイコンで外し、電源切ってるよ。
今のは感染後に潜伏していつ、活動するか判らないので注意で防げるレベルじゃ無いよな。
346:名無しさん@お腹いっぱい。 (アウアウ Sa97-oU5x)
16/06/13 19:35:23.89 /DRVcTpKa.net
Citrix社が英国のIT会社・セキュリティエンジニアを調査。その結果、3分の1の企業は、ランサムウェア被害に遭った際、直ぐに犯罪者に支払えるよう、ビットコインを貯蓄しているという。
URLリンク(securityaffairs.co)
347:名無しさん@お腹いっぱい。 (JP 0H3f-JQnx)
16/06/14 09:24:46.88 0yKZteiqH.net
Googleレポート以降、熱では壊れないとか変にHDDの不滅論を言い出す輩が増えたしな
348:名無しさん@お腹いっぱい。 (スプー Sd4f-jNGR)
16/06/14 17:57:24.85 yVH1Ll4Cd.net
>>345
電源切ってたら壊滅なんてしないだろ
349:名無しさん@お腹いっぱい。 (ワッチョイ 9bc5-CVpW)
16/06/14 18:51:27.93 OT880Fxi0.net
常時接続されてないバックアップもろとも書き換えるためか
潜伏しつつUSBデバイスの接続待ってる様なタイプも出回り始めてる様で
350:名無しさん@お腹いっぱい。 (ワッチョイ ef9c-7xHu)
16/06/14 19:08:25.43 1Aq0ofA50.net
それ怖すぎ
バックアップ二重に無いと死ぬじゃん
351:名無しさん@お腹いっぱい。 (ワッチョイ 3b80-jNGR)
16/06/15 03:50:35.69 P+Iy87J70.net
>>349
何それ怖い
352:名無しさん@お腹いっぱい。 (ワッチョイ 1bd8-iLHn)
16/06/15 05:18:56.16 +Gpo+YlR0.net
MBARW 0.9.16.484 Beta 7 来た
353:名無しさん@お腹いっぱい。 (ワッチョイ ef6a-36FP)
16/06/15 07:32:33.47 eFRSca2l0.net
>>352
URLリンク(forums.malwarebytes.org)
これか? リンクくらい貼れば良いのに。
354:名無しさん@お腹いっぱい。 (ワッチョイ 8b2f-YxPI)
16/06/15 08:11:00.71 mwnk8gp40.net
>>352
25Jan. のリリースとなっている、半年も前のバージョンだな
355:名無しさん@お腹いっぱい。 (ワッチョイ 4b9b-ARbp)
16/06/15 09:55:45.64 U5RCquyO0.net
>>349
プロセス監視しながら、外付けHDの電源入れたとき変なプロセスが動き出さないか
確認しながらバックアップすることにした
356:名無しさん@お腹いっぱい。 (ワッチョイ 1bd8-iLHn)
16/06/15 10:33:27.04 +Gpo+YlR0.net
>>354
1月25日リリースのやつは一番最初のバージョンね。
URLリンク(forest.watch.impress.co.jp)
今回のは先週の金曜日に出てるよ。
URLリンク(forums.malwarebytes.org)
357:名無しさん@お腹いっぱい。 (ワッチョイ b3ec-oU5x)
16/06/15 14:02:57.46 09tal75b0.net
>>354
分かってないのにテキトー事書きすぎ
358:名無しさん@お腹いっぱい。 (アウアウ Sa97-AHtr)
16/06/15 18:42:01.60 DmlySLOua.net
ランサムウェアに強い、弱いアンチウイルスソフト比較
URLリンク(i.imgur.com)
URLリンク(www.mrg-effitas.com)
359:名無しさん@お腹いっぱい。 (ワッチョイ 072b-jNGR)
16/06/15 23:17:03.25 WOhpqVTU0.net
>>358
マカフィーってダメだったのねorz
rockyにやられた
360:名無しさん@お腹いっぱい。 (ワッチョイ c66a-tzHU)
16/06/16 00:34:15.30 HhQFV6Lh0.net
>>358
たいていのランキングでうちで使ってるNortonはぱっとしないんだけど、珍しく100%だなw
361:名無しさん@お腹いっぱい。 (ワッチョイ 6fec-ntlg)
16/06/16 01:16:12.84 3e76Xzx50.net
>>358
カスペルスキーはどこのテストでも強いね
362:名無しさん@お腹いっぱい。 (ワッチョイ 0180-qS7w)
16/06/16 02:35:59.94 CxZ5re9q0.net
ESETどうした?
363:名無しさん@お腹いっぱい。 (アウアウ Sac5-ntlg)
16/06/16 05:35:45.72 FIVwdSxBa.net
「Adobe Flash Player」に深刻なゼロデイ脆弱性
URLリンク(japan.cnet.com)
364:名無しさん@お腹いっぱい。 (ワッチョイ 0d3a-4fuR)
16/06/16 05:43:20.08 lBFMfEN+0.net
Avastでくらった俺が颯爽と登場w
こういうのはあまり当てにしない方が良いけどAviraって駄目なのかね
無料だとAvira・Avastはユザー多いと思うんだけど
365:名無しさん@お腹いっぱい。 (ブーイモ MMa8-qS7w)
16/06/16 08:33:09.76 Gi0mHG69M.net
>>363
またお前か状態
366:名無しさん@お腹いっぱい。 (ワッチョイ 70bf-rFqC)
16/06/16 09:55:10.90 Kclpco7P0.net
マ イ ン ド コ ン ト ロ ー ル の手法
・沢山の人が、偏った意見を一貫して支持する
偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法
・不利な質問をさせなくしたり、不利な質問には答えない、スルーする
誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法
偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い
靖 国 参 拝、皇 族、国 旗 国 歌、神 社 神 道を嫌う カ ル ト
10人に一人は カ ル ト か 外 国 人
「ガ ス ラ イ テ ィ ン グ」 で 検 索 を !
367:名無しさん@お腹いっぱい。 (ワッチョイ a6a0-oJ6o)
16/06/16 23:22:38.65 QH44k2430.net
crypz踏んだわーorz
エロ系だけで済んだっぽいのは大ラッキーだけど、メールとか避難させて再インスコマンドクセ
368:名無しさん@お腹いっぱい。 (ワッチョイ 0180-qS7w)
16/06/16 23:35:51.52 CxZ5re9q0.net
相変わらず感染源の情報が
一切出てこない不思議
369:名無しさん@お腹いっぱい。 (スプー Sdf8-qS7w)
16/06/16 23:46:06.79 PZsTPXE7d.net
>>349
何それ怖い
370:名無しさん@お腹いっぱい。 (アウアウ Sac5-ntlg)
16/06/16 23:48:25.96 kVcW0jdta.net
>>368
相変わらず基地外ぶりが変わらんねんな
371:名無しさん@お腹いっぱい。 (ガラプー KK76-AnHX)
16/06/17 00:00:56.14 RiKk2NzhK.net
>>368
スマン興奮しすぎた、ロダの最初のクリックで広告ページが出る系の所だと思う
ノートンめっちゃ騒いだ
削除までのレポまとめてみるけど明日来なかったら削除失敗してて完全死だと思ってくれ
372:名無しさん@お腹いっぱい。 (スプー Sda8-qS7w)
16/06/17 00:07:16.50 9ExCxVJPd.net
エロサイトによくあるタイプか、お大事に
373:名無しさん@お腹いっぱい。 (ワッチョイ 0d6d-4fuR)
16/06/17 00:22:30.44 ccW8B6Y60.net
企業向けセキュリティ対策製品のランサムウェア対策機能を強化
~エンドポイントにおいて暗号化されたファイルを自動的に復旧~
URLリンク(www.trendmicro.co.jp)
374:名無しさん@お腹いっぱい。 (オッペケ Sr4d-mhfS)
16/06/17 10:13:27.16 3VKhFSbLr.net
俺は恐らくB9っていうアニメサイト
そこ以外思い当たるフシがない
375:名無しさん@お腹いっぱい。 (ワッチョイ 6b80-Dao1)
16/06/17 11:06:36.33 O55V6fop0.net
>>371
>>358 でせっかくノートンがランサムウエア 100%ガードになっていたのにw
派生タイプとかでガードしきれなかったんだろうけど。
376:名無しさん@お腹いっぱい。 (ワッチョイ a6a0-oJ6o)
16/06/17 11:37:01.10 t9JYrFvd0.net
crypz感染と挙動
(既にdllファイルなど削除して所々うろ覚えなので参考程度に)
RZA4096におそらくネット経由、IE使用
bigfileってロダが1回目にどこクリックしても広告タブが開く
その数種類ある広告の中で「あなたのpcに問題があります」って電話番号入りのポップアップが消しても消しても出てくるパターンがある
いつもはこれを
1.タスクバーからポップアップ元のタブの×印を押してからポップアップを消す
2.タスクマネージャーからポップアップ元のページのプロセスを止めてからポップアップを消す
のどちらかで止まるんだけど、
今回のびっくりな挙動は、タスクマネージャーを開いても一瞬で閉じるようにされたこと
良くも悪くもこれが不審過ぎたんで異常に気付いた
あと複合原因として、win10うp要求が激しいんでwinアップデートを手動にしてたのと
ノートンが勝手にお宝ファイルを消すんでソナー保護を止めて上に、この時点でトロイに対するパワーイレイサーが起動したのにそれも1回止めたこと
(その後、手動で実行)
>>375
ノートン悪くない、5重くらいに自業自得だぜ
エロだけで済んだのが奇跡
377:名無しさん@お腹いっぱい。 (ワッチョイ a6a0-oJ6o)
16/06/17 11:41:18.48 t9JYrFvd0.net
タスクマネージャーのこの挙動についてはググっても全く引っかからなかった
その後、レジストリとスタートアップをチェック
ファイル名を指定して実行regeditでレジストリから
HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\RUN内の怪しい奴を全部削除
(俺の場合、マウスドライバとitune以外全部、3つくらい)
参考
URLリンク(www.geocities.co.jp)
スタートアップ
C:\Users\<USER>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
の怪しいショートカットからdllの場所を特定して削除、といきたいところだったけど使用中で削除出来なかったんでセーフモードで再起動して削除
スタートアップの起動ごとに新しく何かが作られてたっぽいけどこの辺うろ覚え
プログラムと機能、tempからも何か削除した気がする
この時の削除基準は、ファイル・フォルダの作成日時。感染が30分前くらいだと特定できていたので
これで一応止まった
止まった判断は、crypz化ファイルを全削除してからファイル検索して新規が作られていないため
タスクマネージャーも通常営業に戻ってる
最後に、現時点でのcrypzの無料解除についてはこの辺に
6月2週目の新種らしいんで対応状況はまだイマイチ
URLリンク(www.geocities.co.jp)
疲れたんで俺は破損ファイルは全部消して解除は試してない
(上記の終息判断のためでもあるが)
378:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/17 12:42:54.09 HDDEC+W/a.net
>>376-377
お疲れさん
> 今回のびっくりな挙動は、タスクマネージャーを開いても一瞬で閉じるようにされたこと
タスクマネージャ等立上げ阻害は、ランサムウェア、本物のマルウェアで割とよくある仕様(過去ログ参照)
> RZA4096におそらくネット経由、IE使用
脅迫文にRZA4096とあるけど実際はAESとRSAを使ってる
脅迫文の方が実際より強度のある暗号化処理を使っていると詐称して、諦めて支払う確率を少しでも上げる
これもランサムウェアでは普通によくある
あと、tempに入るのが最初でDL機能や2~3箇所くらいに撒いて動作させる
これは本物のマルウェアでよくある仕様、CryptXXXは半分その性格を持ってる
.dllなど読み替えて偽装/動作していくのはBedep系の共通仕様
雰囲気的には駆除できてそうだけど、いくつかのセキュリティソフトで1つでも引っかかるものがあればリカバリ推奨
ネットバンキングをしてるなら即時リカバリを強く推奨
CryptXXXは元々Bedep他とコンボで入れるパターンが観測されている
あと、そのサイト見てるなら蛇足だけど今後の予防のために、特にflashは直近で更新されたので忘れずに
379:名無しさん@お腹いっぱい。 (ワッチョイ f39b-4fuR)
16/06/17 13:16:43.98 LjSrfal60.net
ノートンって未知に弱いって聞いてたけど
ひょっとして強いのかなあ
380:名無しさん@お腹いっぱい。 (ワッチョイ c69c-4fuR)
16/06/17 13:28:43.73 HErd+bZ10.net
>>376
何?ノートンって勝手にファイル消すの?
381:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/17 14:06:08.55 HDDEC+W/a.net
>>358
70個だし(まぁそれだけ集めてご苦労さんともいえるが)
検出率からみて、実際に撒かれてから数十時間程度以上(40~80時間くらいかな)経過してからの調査だし
例えば、
既に感染済の人が、既存の常駐ソフトを入れ替えて(既に動作終了・自己消去してるはずの)残骸でも探すときの参考、程度にしかならない
まぁあんまり酷いのは報告後の対応が遅い等問題あり、とみてもいいだろうが
382:名無しさん@お腹いっぱい。 (JP 0H3e-kGau)
16/06/17 14:44:43.33 MD5C55F1H.net
>>379 たんにランサムの挙動に強いってだけじゃね
PDFの方のMalwarebyteはウイルスではワーストだしロジックの向き不向きがあるんだろ
383:名無しさん@お腹いっぱい。 (ワッチョイ a6a0-oJ6o)
16/06/17 22:44:44.98 t9JYrFvd0.net
>>380
使用報告のない実行ファイルは問答無用で消すのよ(隔離じゃないので戻せない)
主にRPGツクールゲー
384:名無しさん@お腹いっぱい。 (ワッチョイ d91f-2EOw)
16/06/17 23:51:05.87 hzpaA9bI0.net
URLリンク(news.drweb.com)
5月感染、***.cryptのver3で、1万5000円
ぐらい払ってコレをやっている。
すごい勢いでファイルが戻っている。
ウィルスなしでもオーケーだった。
感染ファイルを残したままで戻すので、
ストレージの容量が倍必要。
385:名無しさん@お腹いっぱい。 (ワッチョイ 7005-mhfS)
16/06/18 00:09:56.05 JspALTbF0.net
なにこれ、有料なの?
386:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/18 00:12:52.64 40mQBWk9a.net
Dr.Webので復号できるタイプなら、
カスペやtrendmicroでタダでできるんだが
それとも、そのカスペやtrendmicroでうまく復号できないファイルもいけた、とか?
まずムリなはずなんだけどね
387:名無しさん@お腹いっぱい。 (ワッチョイ d91f-2EOw)
16/06/18 00:18:43.55 COmD7LiR0.net
カスペがver3に対応してたかは知らない。
してたら払い損だったかも。
388:名無しさん@お腹いっぱい。 (ワッチョイ b180-qS7w)
16/06/18 03:53:42.04 yyEl1iiQ0.net
つーかこんなのに感染するなよw
389:VHR12JC10V1 (ワッチョイ e1f2-Q1qF)
16/06/18 04:53:35.63 QvDCi9+P0.net
Windowsテン
i)―∩、
l・ ・ ヽ、,_,,.ィ''"""´´´"""'''・ 、
`’"ヽ. ヽ.
ヽ. i__,,,. -―- 、 〔_ヽ.ヽ.
〕.,ノノ `''っ.,// ヽ、゙'ー::::::.、
10を勧めるのはイタチ
伊達
三菱 VHR12JC10V1 4991348068790
TDK DR120DMC10UE 4906933604369
Manufacturer ID: CMC MAG. AM3
390:DR120DMC10UE (ワッチョイ e1f2-Q1qF)
16/06/18 05:00:06.62 QvDCi9+P0.net
マンコおっぴろげサイトで感染するのか? アスレーマンションか?
日本人のマンコ満載のサイトでもあるのか。日本製マンコを見かけない。
田舎の緑豊かな風景をバックにmet-artのような雰囲気のサイトくらいしか
記憶にない。
391:名無しさん@お腹いっぱい。 (スプー Sdf8-qS7w)
16/06/18 08:28:11.81 AlRHVQ1+d.net
>>386
え?Trend Microで複合できるの?
392:名無しさん@お腹いっぱい。 (アウアウ Sac5-ntlg)
16/06/18 13:45:47.23 hsC+fahJa.net
まだ複合とか書いてるやつは死んでくれ
393:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/18 15:31:30.81 9sHj77PRa.net
CryptXXX Ransomware started to utilize the cryptz Extension
URLリンク(www.bleepingcomputer.com)
394:名無しさん@お腹いっぱい。 (アウアウ Sad9-QI99)
16/06/18 17:14:41.91 LpOAyslaa.net
ホワイトリスト型で防げるだろ
PC Maticとかな
395:名無しさん@お腹いっぱい。 (アウアウ Sac5-ntlg)
16/06/18 18:20:59.63 hsC+fahJa.net
>>329はなかなか世界でも早い段階で感染しとったんやな
396:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/18 19:40:30.72 ZsisMgUya.net
宣伝屋に、
他人のtypoに厳しいメクラ
ご苦労さんなこった
397:DR120DMC10UE (ワッチョイ e1f2-Q1qF)
16/06/18 22:54:10.91 2jKbhGXg0.net
625 : 名無しさん@編集中2016/06/18(土) 09:15:11.53 ID:qlyGSEB6
>>623
ITACHI Inspire the Next
398:名無しさん@お腹いっぱい。 (オイコラミネオ MM54-qS7w)
16/06/19 02:56:15.37 Dyqvezb5M.net
>>349
シードラ以外を探るのは世の常。
ネットワークドライブをデフォで認証するのは鴨だぜバキューン!
399:名無しさん@お腹いっぱい。 (オイコラミネオ MM54-qS7w)
16/06/19 03:01:58.46 Dyqvezb5M.net
>>381
美知丸への対応だと、上位もどれもクソ。
確かに、カウンターアクションの速さを競ってるだけだわな。
400:TLSで無理矢理表示 (ワッチョイ e1f2-Q1qF)
16/06/19 03:47:02.49 lOsCzazl0.net
TLSで無理矢理表示
syndication.exoclick.com Go Daddy Secure Certificate Authority - G2
URLリンク(www.virustotal.com)
Malicious site
known infection source not recommended site adult content
URLリンク(www.virustotal.com)
URLリンク(www.ssllabs.com)
URLリンク(www.ssllabs.com)