16/05/22 18:28:29.94 lRGwK6hL0.net
ESETともう1個のツール試したけど
VVV化されたファイルの複合はキー無しで無理でしたが┐(´д`)┌ ヤレヤレ
なに鬼の首を取ったような記事ばっかなんだか
159:名無しさん@お腹いっぱい。 (ワッチョイ 51ec-sPSn)
16/05/22 21:29:35.08 qEBGXMu10.net
>>158
お前みたいな奴が復号できなくて心底嬉しい。
160:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/22 22:31:39.81 V7JAhCwUd.net
え、いまごろvvvの復号の話?
vvvならあれを試してみたらいいのに、ってな話をしてやりたくないわな
161:名無しさん@お腹いっぱい。 (ワッチョイ 5eff-iaSg)
16/05/22 23:20:09.48 lRGwK6hL0.net
>159-160
だったらなんで大手、メジャーな復旧ツールで対応しないんだよ
キー選択でVVVの項目あんのにさあ??
結局暗号解読=違法ってことなんかね
162:名無しさん@お腹いっぱい。 (ワッチョイ 7180-MTTD)
16/05/23 03:45:12.97 CRJEjC1c0.net
こういう奴が引っ掛かるんだなえ
163:名無しさん@お腹いっぱい。 (ワッチョイ 45fa-G0cz)
16/05/23 06:16:34.62 3U+jzoO20.net
復元ツールや復号キーなどが出てスレが一気に加速したね
感染者が各自コテを付けているわけでもないので確実なことは分からないけど
感染者自体はそんなに多くはなくて数人がスレを賑わしている感じだね
164:名無しさん@お腹いっぱい。 (ワッチョイ 3b80-vqQ5)
16/05/23 08:52:39.49 G59p05050.net
>>161
たぶん、元のランサムウエアツールキットを適当に弄ってしまったため、実際には復号できない欠陥ランサムウエアに
当たってしまったんじゃないかと。
商売として、きちんとサポートも出来る会社組織みたいなランサムウエア供給元もあれば、使い捨てで1回でも
ビットコインが手に入ればいいという刹那的なヤツもいる感じで。
165:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/23 13:16:50.00 qgb4iFe4a.net
bleepingcomputerのforumで、当初から、単なる操作ミスとは思えないvvvでmaster keyが不可の例が2人くらいいて少々気にはなっていたが、
まぁ不具合もたまにはあるかと流してた
しかしその後誰も彼もvvvばっかの相談コーナーと化してるから、
「.vvvでmaster keyが効かないものがある」
のは間違いないだろうね
ただ、現時点で例のkey解析-復号化はいずれも有効なようだし、
実は中の人が入れ替わってる別ver.が含まれてる(あるいはvvvは丸ごと)、とすると少なくともkey回りを別に用意する必要があって(場合によって一部暗号化もいじる必要あり?)、
その費用や手間のプラマイ考えるとちょっとムリがあると思う
単に、vvvではいろいろいじりすぎてmaster key回りまで変更してしまって効かないのができちゃった、ってだけじゃないかな
いずれにしろ解けてもう5ヶ月くらい経つから、
今回たまたま意外なビッグニュースになったおかげで知れてよかったろうけど、
それがなければずっと暗号化ファイルを抱えたままにしてたのか、と思うと滑稽ではある
166:名無しさん@お腹いっぱい。 (ワッチョイ 9014-x3kX)
16/05/23 13:54:44.46 XI3Kn+Zt0.net
Lockyの復号キーはまだですかねえ…。
俺は食らってないけど、社長が食らってしまってる。
4月の末頃メールから感染したと思われる。
167:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/23 14:45:29.53 qgb4iFe4a.net
復号可能になったものについて以前調べたことがあるが、
ランサムウェアがリリースされてから、復号化ツール等で復号可能になるまでの期間は、
1週間前後~1ヶ月
ほぼ全てあてはまる(例えば.vvvでちょうど1ヶ月ほど)、逆に、それ以上かかって復号可能になったものは若干の例外を除いてゼロ
犯人が警察に捕まり暗号化方法等を自白してセキュリティメーカ協力の下復号化ツールができた(半年後)
何故か急に作成者が改心して復号方法を公表(3ヶ月後くらいか)
そして今回のteslacrypt、このくらい
まぁセキュリティメーカ側の人にしても有志にしても、費用(というかかかる手間)対効果とか次々現れる亜種分析とか、そのくらいが一つの目処なんだろう
カスペにしたって今回は面倒くさい対象に関わってしまったと担当者は思ってるはず
あと、一度復号化ツールが出ても、作成者側が諦めずバージョンアップを繰り返した場合、
ほとんど全てのケースで最終的に復号不可で終わる
これが現実
168:名無しさん@お腹いっぱい。 (アウアウ Sab5-V4Zo)
16/05/23 16:20:08.28 pXHXlwoFa.net
>>161
>結局暗号解読=違法ってことなんかね
勘違いっぷりがすごいww
169:名無しさん@お腹いっぱい。 (ワッチョイ 7bfe-sPSn)
16/05/23 17:14:49.67 XaJOXyos0.net
少なくともこの板で知った様なレスしようと思うならば「複合化」なんて恥ずかしいこと書くなよ
暗号化<->復号 であって 暗号化<->復号化じゃねーよ
170:名無しさん@お腹いっぱい。 (アウアウ Sab5-7Gsa)
16/05/23 18:06:39.02 pXHXlwoFa.net
>>169が、「複合」化にツッコミを入れてるのか、復号「化」にツッコミを入れてるのか分からんけど、両方なんだろうな
まぁ復号化に関しては確かに本来、「化」はいらんわな
「復号」だけでいい
しかしながら、「暗号化」に対比させて読み手側に分かりやすくするためにあえて「復号化」と書くケースもあるのでそんなに目くじら立てるほどのことでもないな
171:名無しさん@お腹いっぱい。 (ワッチョイ bca8-WIx6)
16/05/23 19:51:58.85 tWqwunkW0.net
cryptXXXの3.0は身代金払って手に入れた復号キーが使えないとか
いやだなぁこれじゃどうしようもない
172:名無しさん@お腹いっぱい。 (ワッチョイ 5bbd-xKv1)
16/05/23 19:57:29.07 1duTocAf0.net
teslacrypt4.0にやられた者だが、
こんなにも早く解決するとおもってなかった
来年とか再来年ぐらいまでは覚悟していた
みんなも早く復元できるといいね
173:名無しさん@お腹いっぱい。 (ササクッテロ Spbd-V4Zo)
16/05/24 09:05:02.38 A+mFbWsLp.net
だからどうやって感染したんだよ
174:名無しさん@お腹いっぱい。 (ワッチョイ 7180-MTTD)
16/05/24 09:15:37.81 feJiZGke0.net
そもそもこんなのに感染しないし
175:名無しさん@お腹いっぱい。 (ドコグロ MMde-Vmqj)
16/05/24 12:12:01.05 5UPesWNgM.net
ある漫画喫茶のXPで広告がたくさんついている有名な海外のサッカー配信サイトで
試合見てたらcryptXXXのV1にUSBメモリがやられた
PC立ち上げなおしても動かなかったから店員にリセットみたいのしてもらったけど
元データが見つからないのでカスペルスキーとかいうのが使えない状態
176:名無しさん@お腹いっぱい。 (ワッチョイ 7b6d-un72)
16/05/24 15:25:22.37 YHZoyeD60.net
カスペルキーのツールを使ったのですが以下のような英文がでて作動しません
原因はなにが考えられるでしょうか
the decryption of files encrytped by this variant of trojan-ransom.win32,cryptxxx is not supported
ツール使うにあたっては空き容量が十分にないと作動しないということでしょうか
いまだにXPというのがツールサポート対象外ということなのでしょうか
それとも他になにか原因が考えられるでしょうか
177:176 (アウアウ Sab5-+JX3)
16/05/24 15:40:48.77 lM+q7JTba.net
>>155さんの18日以降感染にあたるようです
参りました…
178:名無しさん@お腹いっぱい。 (ササクッテロ Spbd-V4Zo)
16/05/24 18:24:21.92 A+mFbWsLp.net
>>176
英文に書いてあるじゃん・・・
それくらい読めるでしょ?
179:名無しさん@お腹いっぱい。 (JP 0Hde-3oqL)
16/05/24 18:30:08.10 01xpnlRRH.net
>>176 not supported って書いてあんだろ・・・
180:名無しさん@お腹いっぱい。 (ワッチョイ c91f-ANk3)
16/05/24 19:57:12.47 jtoJ716u0.net
カスペルさんは3は無理だけどできたら教えたげる、動画は無理
ってブログで言ってます。どこかに身代金や復号の可否の情報は
ないものでしょうか。
181:名無しさん@お腹いっぱい。 (ワッチョイ 5bbd-xKv1)
16/05/24 19:58:22.76 tsWiIFd+0.net
>>173
感染した理由なんて何度も書き込みたくないよってw
182:名無しさん@お腹いっぱい。 (ワッチョイ 512b-MTTD)
16/05/24 20:10:22.42 rSHpzNv90.net
ファイルが改変されて開かなくなった人で
それ以外には被害受けてない?
アカウントを悪用されたり、ネットバンキング悪用されたり。
183:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/24 20:10:52.84 VAYZLe5md.net
>>178-179
>>177で自己レスしてるのにそんなに突っ込みたいの?
184:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/24 20:13:05.73 VAYZLe5md.net
>>180
> どこかに身代金や復号の可否の情報は
ないものでしょうか。
具体的に何が知りたいのかわからん
185:名無しさん@お腹いっぱい。 (ワッチョイ d305-0eWo)
16/05/24 20:19:25.76 313ytIbA0.net
KP41病、ランサムウェア、ついにはLANポート死亡
俺のPCはボロボロだ!もう買い替える!
186:名無しさん@お腹いっぱい。 (スプー Sd28-WK80)
16/05/24 20:42:51.55 mZ/dkPbed.net
試しに
***.mp4.crypt を
***.zip.crypt に変えてRannonDecryptorしてみたけど、
やっぱりダメだった。
187:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-xKv1)
16/05/24 21:15:10.73 G0j5bFP10.net
試しに
***.apk.crypt を
***.zip.crypt に変えてRannonDecryptorしたら、
やっぱりいけた。
188:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-xKv1)
16/05/25 08:22:01.60 48MsltTb0.net
RannonDecryptor 2バイト文字に対応した模様?2byteフォルダーや日本語タイトルmp3復活した。crypt v2
189:名無しさん@お腹いっぱい。 (ワッチョイ 3b80-vqQ5)
16/05/25 10:58:51.35 L3RhJZIe0.net
>>188
URLリンク(blog.kaspersky.co.jp)
RakhniDecryptor Ver.1.15.10.0のこと?
190:名無しさん@お腹いっぱい。 (ワッチョイ bdd8-FRyb)
16/05/25 11:03:40.18 3FT15xJl0.net
RannonDecryptorってなに? RannohDecryptorじゃないのん?
191:名無しさん@お腹いっぱい。 (JP 0Hde-3oqL)
16/05/25 11:24:02.91 xwLslARXH.net
掲示板で細かい文字狩りすんなよ
192:名無しさん@お腹いっぱい。 (ワッチョイ 1cd8-HVkv)
16/05/25 11:30:28.25 KVii2fLN0.net
おれも新型に感染したようで、復元できない・・
そんな無知の俺に教えてください。
・とりあえず元凶のウイルスは駆除した
・ファイルは全てダメになったけどPCは動く。ネットも使える。
こういう状況なんだがファイル復元ソフトが出るまでは既存のデーターを
諦めれば今後も普通に使って大丈夫?
何か見えない所で悪さしない?
193:名無しさん@お腹いっぱい。 (ワッチョイ 1cd8-HVkv)
16/05/25 11:37:48.11 KVii2fLN0.net
あと、オリジナルファイルが必要との事だけど、
例えばネットから保存した画像が書き換えられた場合は
同じ所から再度保存した画像がオリジナルとして使えるの?
194:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-xKv1)
16/05/25 12:44:14.45 48MsltTb0.net
感染したら
Windowsの復元機能が通常使用でONならば元に戻せる。
おれは軽量化が仇となったクチ。
一部ファイルを復元するならこれ
URLリンク(www.shadowexplorer.com)
削除ファイル復活させるrecuvaって方法もある。
195:十三 (ワッチョイ 45be-xFql)
16/05/25 18:14:23.85 US8a1S4v0.net
>>185
昨年の8月にサイトのHPを見た後に、ネットに接続ができなくなり、
LANポートのアイコン表示が☓に、なったので、windowsXPのソフトをダウンロードを、して
、新たにWindows7をダウンロードして、今でも使っています。
画像は外付けハードディスクに保存していました。
その時、ウイルスソフトは入れていなかった結果
ウイルスにLANポートを破損
2chに入って、出てきたら、パソコンが重くなり、
ウイルスソフトを
スキャンしたら、下記のウイルスを見つけました。
PUA/Systweaksad ←ウイルス
196:名無しさん@お腹いっぱい。 (ワッチョイ 98e5-/fHo)
16/05/25 18:54:30.56 H56BlQ1s0.net
カスペルさんではLockyの複号はできませんよね?
197:名無しさん@お腹いっぱい。 (アウアウ Sab5-7Gsa)
16/05/25 19:00:51.20 7R3d1vBva.net
>>196
Lockyはまだどれでもできない
198:名無しさん@お腹いっぱい。 (ワッチョイ c91f-ANk3)
16/05/25 19:16:34.03 TtzwcZ4V0.net
感染しました。
誰かcryptxxx3で身代金を払った人はいませんか。
復元できないという情報はどこからきてるんでしょう。
199:名無しさん@お腹いっぱい。 (ワッチョイ 98e5-/fHo)
16/05/25 19:17:13.83 H56BlQ1s0.net
>>197
ありがとうございます。
9割方復号できないと思ってましたけど。完全に死にましたw
200:198 (ワッチョイ c91f-ANk3)
16/05/25 19:34:03.38 TtzwcZ4V0.net
URLリンク(www.bleepingcomputer.com)
この辺でしたか。なんて悲しい。
201:名無しさん@お腹いっぱい。 (ワッチョイ 51ec-V4Zo)
16/05/25 22:22:48.72 5y9ZngET0.net
>>199
Lockyは身代金払って回復できるかも
いや、勧めてるわけではないが
202:名無しさん@お腹いっぱい。 (ワッチョイ 1c6d-7Gsa)
16/05/25 23:47:57.68 fVJNx+Id0.net
>>201
実際金払って復旧してる業者いるしなww
203:名無しさん@お腹いっぱい。 (ワッチョイ 574c-xVP+)
16/05/26 09:22:28.76 QmXG1Twn0.net
>>193
>例えばネットから保存した画像が書き換えられた場合は
>同じ所から再度保存した画像がオリジナルとして使えるの?
使える
俺はESETセキュリティー入れてて暗号化されたんだけど
ESETのフォルダに入ってたv80_win_settingsguide.pdfっていう88MBの説明書ファイルも暗号化されてて
これを公式でダウンロードしてきてオリジナルファイルとして使ったら大きいファイルもほとんど復号できた
俺は癖で外付けHDDにバックアップ取った大きいデータは即削除していたんでこれが無かったらマジ危なかった
ありがとうESETセキュリティー
204:名無しさん@お腹いっぱい。 (ワキゲー MMff-khAS)
16/05/26 12:32:51.79 GebvY6fgM.net
オリジナルファイルが落とせたら復号とか関係ないんじゃないの?
同一フォルダにある別のファイルも復号出来るの?
205:名無しさん@お腹いっぱい。 (スプー Sdff-SNRC)
16/05/26 13:14:08.49 36OwSBaCd.net
Lockyに感染し、身代金払おうと思っているんだけど、どうやってビッドコイン買うの?
206:名無しさん@お腹いっぱい。 (JP 0Hff-9Hh6)
16/05/26 14:31:06.83 /jgxzdzsH.net
>>205 ここで聞く前に、どこのWEBをみて、どんな点が理解できなかったのか書いてくれ
2chではピンポイントな回答は出来ても、1から10まで教えるには適していないのでな
207:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/05/26 15:05:08.20 Nj7nLRO9a.net
>>98みたいなやつもいるからな
レポしねーんなら、わざわざ書くなっての
208:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-Iguy)
16/05/26 18:46:54.38 ETY1Z8us0.net
>>204
このスレで一番アホな質問ね
209:名無しさん@お腹いっぱい。 (ワッチョイ d389-kV93)
16/05/26 19:23:06.87 Kw+kKRVo0.net
ランサムウェアの猛威が止まらない、国内での被害報告が前年同期比8.7倍~トレンドマイクロ調査
URLリンク(internet.watch.impress.co.jp)
210:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/26 19:53:32.35 Q8esnwURd.net
>>205
いくら払うのかによっても違う
いくら払うの?
211:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/26 19:58:54.72 Q8esnwURd.net
>>192
ウイルスが本当に完璧に駆除できているなら、それでいいと思うが、完璧に取り切れてない場合も結構あるわけで、、
そういったことを考えるとリカバリーするほうが安心ではある >>40
212:名無しさん@お腹いっぱい。 (ワッチョイ b36d-kHkB)
16/05/26 20:19:53.51 GqLSk9g20.net
>>205
ビットコイン買うのは別に違法じゃないんだから、ビットコインの取引所に問い合わせろ
213:名無しさん@お腹いっぱい。 (スプー Sdff-SNRC)
16/05/26 20:23:03.48 36OwSBaCd.net
>>210
20万
214:名無しさん@お腹いっぱい。 (ワッチョイ d7a8-r73T)
16/05/26 21:10:50.83 uSrPHtjC0.net
cryptXXXのv3は相変わらず復号できない報告が続いてるな
犯人側が提供する復号ツールは更新されてるようだがv3のは通らないみたいだ
暗号化ミスってデータ破壊したのか、それともキーが間違ってるのか
215:名無しさん@お腹いっぱい。 (ワッチョイ 031f-X1Zo)
16/05/26 21:51:08.85 yo0eCtL20.net
もう少ししたら
これ
Si tratta di un nuovo software decrypter
URLリンク(www.dropbox.com)
URLリンク(www.bleepingcomputer.com)
を試してみます。感染ファイルがいっぱいありすぎて動いているのか
わからなかった。
216:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/05/26 21:51:55.12 E45An7KTa.net
>>213
なぜそんなに高額に?
普通500ドルか1000ドルだろう?
217:215 (ワッチョイ 031f-X1Zo)
16/05/26 22:26:07.04 yo0eCtL20.net
良く読んだら払った人向けだった。もう少し様子見します。
218:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-P47+)
16/05/26 23:20:54.78 ETY1Z8us0.net
20万とか、自ら釣りって言ってるようなもんだな
たぶん>>98と>>205は同一人物
219:名無しさん@お腹いっぱい。 (ワッチョイ 3f27-kHkB)
16/05/27 01:14:41.58 vhNUIWDe0.net
URLリンク(www.bleepingcomputer.com)
ここ見ながらやっているのですがキーを入れて拡張子からmp3を消した状態のjpgファイルは戻せました
ただ、ファイルが多数ある為、効率良く元に戻す方法があれば教えて下さい
リネームツールはなんとかなりそうです
220:名無しさん@お腹いっぱい。 (アウアウ Sa7f-Iguy)
16/05/27 01:32:23.84 eljuTYx/a.net
>>219
Decrypt allかDecrypt folderでダメなの?
>>96
221:名無しさん@お腹いっぱい。 (スプー Sdff-SNRC)
16/05/27 12:53:04.98 LILf4zo5d.net
>>218
4.00 bitcoinって書いてあって、日本円にしたら20万弱だったぞ。
つか、本当はそんなに金額掛からないのな
222:名無しさん@お腹いっぱい。 (ワッチョイ df52-41ON)
16/05/27 13:20:46.12 kwoajui/0.net
ランサムウェア対策
URLリンク(news.livedoor.com)
223:名無しさん@お腹いっぱい。 (ワッチョイ 9b05-fFiI)
16/05/27 16:15:49.12 0JdbAUQL0.net
URLリンク(www.trendmicro.co.jp)
トレンドマイクロが新しいツール公開したみたい
誰か使ってみて
224:名無しさん@お腹いっぱい。 (ワッチョイ d71e-YjjQ)
16/05/27 22:12:44.99 Sp666tI50.net
MP3のランサムに感染したんだけど
マスターキーが解れば驚く程簡単に復号出来るんだな
225:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/05/27 22:32:28.93 YjdC9wMea.net
いやいや、、
別にマスター復号キーじゃなくても、金払って買った復号キーでも同じだべ
226:名無しさん@お腹いっぱい。 (ワッチョイ 539b-tPjl)
16/05/28 13:33:25.99 aikSvBfo0.net
>>222
「最新のランサムウェアは、パソコンのマザーボードに直接アクセスして、核となる「バイオス」を書き換えるものがあります。」
これ、ほんま?本当だとしたらOS再インスコできなくなる
227:名無しさん@お腹いっぱい。 (ワッチョイ d758-NcQY)
16/05/28 17:46:55.03 ibVgv9ci0.net
MBRと勘違いしているような気がします・・・・・・
228:名無しさん@お腹いっぱい。 (ワッチョイ b3d8-dCMW)
16/05/28 18:00:02.59 OIgNn5Nj0.net
>>223
cryptXXXを選択して動画ファイル(mp3,mp4,flv)選択してみたけど、mp4とflvはスルーされて復号終了とか出た。
mp3は復号できたファイルが出たけど再生できない。
jpg,pngとかzip,rarはカスペルスキーで戻っちゃったから試せない。
229:名無しさん@お腹いっぱい。 (ワッチョイ dfed-kHkB)
16/05/28 19:35:25.18 naBLLT4z0.net
ランサムウェアの種類、Verを調べられるサイトが
前に書いてあった気がしたんだが
誰か知りませんか?
230:名無しさん@お腹いっぱい。 (ワッチョイ 7bbd-kHkB)
16/05/28 19:48:01.02 eKR8DtKT0.net
>>229
このスレと前スレ読めばわかるよ
231:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/05/28 21:20:08.40 xNDHXQs9a.net
このスレだけでいい
232:名無しさん@お腹いっぱい。 (ワッチョイ ef27-SNRC)
16/05/29 01:12:45.03 /omDI3Jh0.net
起動する度にファイル直して元に戻ったファイル以外がやられるんだけど、ツールで暗号化されたmp3直す以外何したらいいんでしょうか
233:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-Iguy)
16/05/29 01:14:48.70 CYpxQE/40.net
>>232
ランサムウェアかまだ残ってるんだよ
駆除するかリカバリーしろよ
234:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/29 01:49:59.75 xBF8rmFdd.net
>>214
これ、なおったらしい
235:名無しさん@お腹いっぱい。 (ワッチョイ d7a5-khAS)
16/05/29 09:06:34.08 1g3uBH+00.net
感染したから再インストールした。念のためjavaとflashplayerオフにするわ(T△T)
236:名無しさん@お腹いっぱい。 (ワッチョイ 03a3-khAS)
16/05/29 10:00:25.80 yus5xv6d0.net
ソフトウェア制限ポリシーに
%TEMP%\svchost.exeを追加したらいいんでない
237:名無しさん@お腹いっぱい。 (ワッチョイ 93bf-kHkB)
16/05/29 13:16:57.27 y9JHDDBY0.net
cryptxxx v2 で xls txt mp4 3gp ツールで復元できている方いますか?
238:名無しさん@お腹いっぱい。 (ワッチョイ 93bf-kHkB)
16/05/29 15:17:36.64 y9JHDDBY0.net
日本トレンドマイクロでは1523だったが米で新Ver上がってた。
けど1551は暗号化と同一ファイル求められて準備しても弾かれる。
RansomwareFileDecryptor 1.0.1551 MUI
URLリンク(esupport.trendmicro.com)
直リン
RansomwareFileDecryptor 1.0.1528 MUI
URLリンク(esupport.trendmicro.com)
239:名無しさん@お腹いっぱい。 (オイコラミネオ MMff-khAS)
16/05/29 17:38:24.95 tPPqzK+/M.net
ふとした疑問。
暗号化に使ったkeyファイル、暗号化したあとに削除されるんだろうけどさ、keyファイルを復元したら復号できちゃうんじゃね?
240:名無しさん@お腹いっぱい。 (ワッチョイ 93bf-kHkB)
16/05/29 18:48:47.86 y9JHDDBY0.net
>>152
>>153
に書いてある理屈だよね。暗号Key短いほうでなんとかなればいいんだけどな。
241:名無しさん@お腹いっぱい。 (ワッチョイ 8734-EET6)
16/05/29 20:09:17.69 q6fgL/3O0.net
RANSOM_WALTRIX.C は、以下の拡張子を持つファイルを暗号化します。
.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI,
.BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE,
.DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF,
.EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR, .GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP,
.IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA,
.M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI,
.NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT,
.P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF, .PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY,
.QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW,
.TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT, .UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF,
.XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV,.ZIP, .ZIPX
242:名無しさん@お腹いっぱい。 (ワッチョイ 8734-EET6)
16/05/29 20:13:32.06 q6fgL/3O0.net
サイバー犯罪者集団が新たに「Angler Exploit Kit(Angler EK)」および「BEDEP」を利用して
暗号化型ランサムウェア「CryptXXX」(「RANSOM_WALTRIX」として検出)を拡散する報告がありました。
今回、CRYPTESLA の手口を模倣する CryptXXX の亜種(「RANSOM_WALTRIX.C」として検出)が確認されました。
CRYPTESLA の無料復号ツールの公開によりユーザが身代金要求を無視できるようになった後で大幅に更新された亜種となり、
この亜種は、ファイルを暗号化するだけでなくユーザがデスクトップにアクセスできないように画面をロックする機能も備えています
243:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-P47+)
16/05/29 20:34:49.99 CYpxQE/40.net
>>239 >>240
そうはならない
ランサムウェアは公開鍵暗号方式で暗号化しているから。
ここがシンプルで分かりやすいか。
URLリンク(www.atmarkit.co.jp)
つまりランサムウェアが感染者のPCで活動開始すると、犯人のサーバーから公開鍵と秘密鍵のペアのうち公開鍵を取得、この公開鍵によってランサムウェアがファイルを暗号し、PC内にも公開鍵は残っている。
公開鍵と秘密鍵はセットになっており、この公開鍵のペアとなる秘密鍵は犯人のサーバー側で所持している。
身代金を支払ったら、その公開鍵に対しての秘密鍵を提供、その秘密鍵でファイル復元する仕組み。
つまり復号するときの秘密鍵はひとりひとり違うのでそういうことにはならない。
244:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-P47+)
16/05/29 20:52:26.12 CYpxQE/40.net
>>239
補足
もう分かってると思うけど、「暗号化に使ったkeyファイル」=公開鍵のことね
公開鍵なんで公開されてもまったく問題ない。
245:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/29 21:13:22.54 dYoe3j7ad.net
>>242
ソースをちゃんと貼れよ
URLリンク(blog.trendmicro.co.jp)
246:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/29 21:54:07.16 W6urpTHHa.net
>>241-242,245
てか、今さら「CryptXXXにv3出ました」情報なんて、特にこのスレには後出しすぎて全く要らんだろ、いくら日本語記事とはいえ
それどころか、出来がイマイチでここ数日どうも撒布を停止してるっぽいくらいなんだが
bedep云々については既に前スレから引用付で書いてるし
もし引用するならむしろここ、
> 問題の RANSOM_WALTRIX.C の不正活動停止を困難にする理由は、システムの挙動監視プログラムである「watchdog(ウォッチドッグ)」を自身の
> 活動に利用しているからです。RANSOM_WALTRIX.C は、暗号化とシステムの「異常な」挙動の検知という2つの機能を同時に実行します。ウォッチ
> ドッグが暗号化プロセスを中断させる「異常な」挙動を検知すると、暗号化を最初からやり直します。このため不正プログラムが停止するとウォッチドッグ
> により暗号化が再開する、という悪循環が発生します。
で、>>232はたぶんこのせい
いずれにしろアボンで消えてるからどうでもいいんだが
247:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/29 23:06:50.08 dYoe3j7ad.net
>>246
いちいち、毎回一言多いんだよ
248:名無しさん@お腹いっぱい。 (ワッチョイ 7fd8-BGUp)
16/05/29 23:46:27.04 SJUgZiml0.net
そこは同意せざるを得ない(苦笑)
249:名無しさん@お腹いっぱい。 (ワッチョイ ef65-+BAm)
16/05/30 01:34:31.14 o9zyDdxG0.net
下のソフトって「Locky」には対応していないんかな?
誰か複合成功した人いる?
↓
URLリンク(esupport.trendmicro.com)
250:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-SNRC)
16/05/30 01:39:35.21 yUwbkt4K0.net
>>249
対応してない
251:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 01:42:06.70 dofW2Ogsa.net
URLリンク(esupport.trendmicro.com)
のImportant Note about Decrypting CryptXXX V3を見て、よくこんな微妙な解析と他力本願なやり方の提示でver. upしたもんだ、と感心してたが、
URLリンク(www.bleepingcomputer.com)
というか
URLリンク(www.bleepingcomputer.com)
を読み直したが、
要は8191/8255 bytes (99%以上)は復号できるから、
残った読めない部分を許容できるファイル(形式)は読めたり、
photo or image file(jpg? のみ?)はファイル復元ソフトで復元(というか修復、というか恐らくファイル形式に則った形に差替え)出来得る、
ってことだな
他のファイル形式についても、各種修復機能を持つソフトで読めるレベルになるものもあるかも、ということも示唆している
つまり、
CryptXXX v3で暗号化されたファイルで一部、
trendmicroのRansomwareFileDecryptor 1.0.1551を使えば、
特にjpegは書かれている作法で読めるようになる(かも)、
そして他のファイル形式についても色々ファイル復元ソフト等でいけるものが出てくるかも、
ってこと
と同時に、RSAの部分を含めた完全復号はダメかも
252:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 01:50:27.63 dofW2Ogsa.net
>>251
と書いてるうちに、同様に気付いて、実際に試して一部成功した書込み等出てきてるので、
ある程度まとまれば追記するかも
253:249 (ワッチョイ 879d-+BAm)
16/05/30 02:07:59.41 uXZUVMkr0.net
うううむ
「Locky」に変換されてしまったら復元は現時点不可能(身代金払う以外)て
事かぁ・・・
もしやと思ってファイル復元ソフトなんか試してみたんだが駄目だったし
254:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-SNRC)
16/05/30 02:08:18.66 yUwbkt4K0.net
>>252
よろ
255:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-SNRC)
16/05/30 02:12:00.91 yUwbkt4K0.net
>>253
>>24で書かれてるURLにあるように、Vista以降ならボリュームシャドウコピーから復元できる場合もある
(もちろんできない場合もある)
まだ試してないならShadow Explorerを試してみたらどうか
256:249 (ワッチョイ 879d-+BAm)
16/05/30 02:22:05.61 uXZUVMkr0.net
>>255
ありがとうございます。試してみます
257:名無しさん@お腹いっぱい。 (ワッチョイ 7bb6-AFib)
16/05/30 13:16:46.27 wlaQEf710.net
.cryp1になってるのは、CryptXXX v3 なの?
復元できないよね?
258:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 14:37:49.39 xoqad2H9a.net
>>257
> .cryp1になってるのは、CryptXXX v3 なの?
bleepingcomputer(のDemonslay335氏)がそう言ってるので間違いない模様
URLリンク(www.bleepingcomputer.com)
> 復元できないよね?
とりあえずまずshadowexplorer、と適用できるかわからんが>>251
元のCryptXXXのtopicと、
URLリンク(www.bleepingcomputer.com)
あとemsisoft
URLリンク(support.emsisoft.com)
でしか見かけないから試作の限定撒布かと思っていたけど、これからなのかもね
[注意]
「.cryp1」で検索すると大量の偽セキュリティソフト勧誘サイト、
およびこの1~2時間前から大量の「このサイトはコンピュータに損害を与える可能性があります。」「このサイトは第三者によってハッキングされている可能性があります。」表示サイトが検索で引っかかるので注意
259:名無しさん@お腹いっぱい。 (ワッチョイ 132f-Dr1V)
16/05/30 19:52:50.79 wD/AA3MX0.net
>>258
ありがとうございます。
待ってみようと思います。
会社の共有ファイルサーバーがやられちゃって困ってるんで、進展や他に情報があれば教えてもらえると助かります。
260:名無しさん@お腹いっぱい。 (ワッチョイ 9b05-fFiI)
16/05/30 19:57:03.61 l/+t3S2Y0.net
これ企業が被ると大損害だよな
俺のプライスレスな思い出も大問題だけど
261:名無しさん@お腹いっぱい。 (アウアウ Sa7f-Iguy)
16/05/30 19:58:36.22 Pxq83mada.net
試してみようと思います
じゃなくて
待ってみようと思います??
>会社の共有ファイルサーバーがやられちゃって困ってるんで、進展や他に情報があれば教えてもらえると助かります。
なにこの丸投げ状態
しかも個人の話じゃないとか
262:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 20:18:20.52 DB1DTFbea.net
>>259
企業なら、システム管理者・・・というレベルじゃないな、あんたがシス管か
有料セキュリティソフトくらい使ってるんだろうから、その会社に、
・CryptXXXのv3(拡張子.cryp1)に感染
・Bedepによる情報流出の疑いあり
この2点を伝えて指示を仰げ
これ以上のフォローをする気は(少なくとも俺からは)一切ないのであしからず
263:名無しさん@お腹いっぱい。 (ワッチョイ 132f-kHkB)
16/05/30 20:27:54.64 /DBNOE++0.net
興味本位でMalwarebytes Anti-Ransomware入れてみた
画像がたくさん入ったフォルダをゴミ箱に捨てた瞬間
エクスプローラーを隔離しようとしてきて心臓止まるかと思った
実害なかったし強制終了してやり直したら誤検しなくなったけど何だったんだあれ
264:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 23:57:31.35 DB1DTFbea.net
MBAEやらMBARやらは、大量のファイル移動は引っかかる話を何度か目にした記憶があるな
挙動が似てるんだろう
265:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 23:58:32.40 DB1DTFbea.net
あれ上げちまった
266:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/31 00:08:42.26 VjggDmoGa.net
>>251
URLリンク(esupport.trendmicro.com)
のImportant Note about Decrypting CryptXXX V3に、Original Photo/Photo after partial data decryptionの例が追加されている
267:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/31 00:09:44.94 HH+jCTxrd.net
MBARは多少の誤検出はユーザー側で対処してでも怪しい動きを封じ込めるという使い方
268:名無しさん@お腹いっぱい。 (ワッチョイ 83d8-dYmh)
16/05/31 01:36:18.40 /yyRmhV/0.net
MBARはまだβ版だからなあ
269:名無しさん@お腹いっぱい。 (ワッチョイ 132f-kHkB)
16/05/31 16:12:01.88 Cr3qHjl10.net
ファイル一括リネーム系のソフトとかモロ引っかかりそうだな
1回誤検出させてから除外すればいいのかな
270:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/06/01 03:42:13.52 9W0sO0+ta.net
>>269
malwarebytesのスレなら前から使ってる人、詳しい人はいる
271:名無しさん@お腹いっぱい。 (ワッチョイ 1fd9-kHkB)
16/06/01 03:46:50.40 St76zyiZ0.net
今は除外設定に入れても誤検知するようになってるからBitのがいんじゃね
Malwarebytesのほう入れてるけどもうOFFにしてるわ
万が一ランサムウェア感染したときに即ONにするつもりだからアンインストールはしてないけど
272:名無しさん@お腹いっぱい。 (オイコラミネオ MMff-khAS)
16/06/01 09:42:18.34 3NLrJ+slM.net
>>263
それ、フォルダの中身やばいやつ?
単純所持で通報しとく?
273:名無しさん@お腹いっぱい。 (JP 0Hff-9Hh6)
16/06/01 10:06:01.16 /aMmJCS7H.net
Malwarebytesの仕組みは間違っちゃ無いけど
誤検出が致命的なんだよね
274:名無しさん@お腹いっぱい。 (ワッチョイ 9baf-kHkB)
16/06/01 13:49:21.67 R58V7QbJ0.net
知り合いがロッキーとかいうのにかかって電話とんできたがこんなの流行ってたんだな
ロッキーだけはまだどうしようもなさそうだから待つしかねえか
275:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/06/01 14:22:57.98 c1ZbL+gqa.net
Lockyが解除されるのは期待薄である
6万円以上の価値があると思うデータなら金払った方がいいかも
そこまでのデータではないなら諦めよう
276:名無しさん@お腹いっぱい。 (ワッチョイ b26d-ChPp)
16/06/02 00:07:19.40 Pgmr+y1f0.net
お金払ってもダメだったケースあったよな。
どっかの病院で。
277:DR120DMC10UE (ワッチョイ 5df2-WvpM)
16/06/02 06:04:55.06 VCwxViHG0.net
ブロックリスト
as3.mmm-mmm.info
www.ashleyrnadison.com
www.tomodachinpo.com
reallifecam.com
278:名無しさん@お腹いっぱい。 (アウアウ Sa76-wumw)
16/06/02 21:14:52.52 NIhTLF2va.net
CryptXXXの最新版(.cryp1, UltraDeCrypter)で、
ファイル復旧ソフトのPhotoRecで一部復旧に成功した例が報告されている
URLリンク(www.bleepingcomputer.com)
(成功したのがsomeで、バックアップやら何やらからも含めてmostという意味だろうな、日本人のようだが)
念のため書いておくと、ファイル復旧ソフトはその性格上、直後が最も復旧できる確率が高く、その後はPCをいじればいじるほどどんどん別データが上書きされ復旧しにくくなるので注意
と同時に、案外と、この手の各種ファイル/HDD復旧ソフトを色々試すと他にもうまくいくものはあるのかも
(もっとも試せば試すほど上記理由で破壊されていってしまうが)
一応 >>21,24にも付けとく
279:名無しさん@お腹いっぱい。 (アウアウ Sa76-wumw)
16/06/02 21:19:24.52 NIhTLF2va.net
CryptXXXの最新版(.cryp1, UltraDeCrypter)の紹介記事(スクリーンショット付)
URLリンク(www.bleepingcomputer.com)
280: [Φ|(|´|Д|`|)|🌀] BBxed!! ◆Akina/PPII (ワイモマー MMe5-keRX)
16/06/03 01:56:58.69 dGbFBml5M.net BE:223181803-2BP(1000)
sssp://img.2ch.sc/ico/sii_link.gif
>>277
フム
有難う
タワケに伝えておきます。
>>278-279
御疲禮様豐御座ヰマスル
281:名無しさん@お腹いっぱい。 (ワッチョイ df58-rLyq)
16/06/04 21:25:49.58 3nmgxtN00.net
4月にかかってファイルの終わりが全部cryptになった者なんだが
もしかして復元できるようになったのか?
282:名無しさん@お腹いっぱい。 (ワッチョイ d705-T5mf)
16/06/04 21:44:07.43 fV05VKdL0.net
カスペルスキーので9割くらいは復元できるよ
txt、mp4あたりは無理
アプデを待とう
283:名無しさん@お腹いっぱい。 (ワッチョイ df58-OAyH)
16/06/04 22:02:48.49 3nmgxtN00.net
RannohDecryptorってやつか
DLして試そうと思ったらもしかして元のファイル無いと駄目なのか?
284:名無しさん@お腹いっぱい。 (スプー Sdb8-ud2d)
16/06/04 22:37:42.72 6JnbBSaId.net
>>282
カペで復元できるとな?
285:名無しさん@お腹いっぱい。 (ワッチョイ 81bf-ChPp)
16/06/05 00:00:29.80 kVtQQAaB0.net
カスペなら最近のは無くてもいける。トレマクのは必要な場合もある。
無い場合はフリーソフトのZIPやJPG動画サイトの再ダウンロードflv/mp4とかネット上のコピーでもおk
あと未来のアプデ用に1つくらいサンプルxxxxxxxxx.zip.crypt.bkとして感染ファイルと復旧済みセットで残しておくといい。
286:名無しさん@お腹いっぱい。 (ワッチョイ 81bf-ChPp)
16/06/05 03:28:35.43 kVtQQAaB0.net
Trend Micro Ransomware File Decryptor
新しいの来てる
esupport.trendmicro.com/solution/en-US/1114221.aspx
CryptXXX V1, V2, V3* {original file name}.crypt
TeslaCrypt V1** {original file name}.ECC
TeslaCrypt V2** {original file name}.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3 {original file name}.XXX or TTT or MP3 or MICRO
TeslaCrypt V4 File name and extension are unchanged
SNSLocker {Original file name}.RSNSLocked
AutoLocky {Original file name}.locky
287:名無しさん@お腹いっぱい。 (ワッチョイ d705-T5mf)
16/06/05 07:03:03.71 xk3RLmc10.net
トレンドマイクロ社のはフォルダ指定できるのがいい
カスペルスキーのは全部スキャンするから辿り着くまで時間がかかる
288:名無しさん@お腹いっぱい。 (アウアウ Sa76-wumw)
16/06/05 08:47:44.48 79ZBSx9ia.net
>>286
ver.くらい入れとけ
RansomwareFileDecryptor 1.0.1569 MUI.exe
uploaded on June 3, 2016, at 15:30 GMT
CryptXXX V3についての記述は変わってないから、
単にAutoLocky(前スレ415、emsisoft復号対応済)を取り込んだだけだな、おそらく
TeslacryptDecryptor(1.0.1569 MUI.exe)も同時にver.upしてるからそっちも少しは何か改善したのかもしれんが
289:名無しさん@お腹いっぱい。 (スプー Sdb8-4qA/)
16/06/05 11:13:11.11 t5+L+UJGd.net
>>288
.locky対応したのか!
290:名無しさん@お腹いっぱい。 (スプー Sdb8-4qA/)
16/06/05 11:14:33.33 t5+L+UJGd.net
すまぬ。lockyでもオリジナルのファイルネームがあるやつだけやね…。
291:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/05 18:26:44.86 mWaxwUKG0.net
あまり無知な者ですまないのだが、自宅のPCがどうやらCryptXXX3.0に感染したらしく、
ほとんどのファイルが.cryp1という拡張子に変わってしまったんだけど、現状ファイルは復元不可能ですか?
最悪の場合ほとんどのファイルは諦めがつくけど、動画ファイル(.avi.mp4.flv等)や画像ファイル(.jpg等)はできれば元に戻したいです。
ここは詳しい人が多いと思うので、CryptXXX3.0について教えてくれる人がいたら助けて貰いたいです
292:名無しさん@お腹いっぱい。 (ワッチョイ 3fbd-ChPp)
16/06/05 18:33:16.74 JDs+KXx+0.net
>>291
>>286は読んだかにゃ
どうせエロ動画とエロ画像なんでしょw
293:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/05 19:56:17.89 mWaxwUKG0.net
>>292
エロ動画ならファイル壊れても諦めつくよw
ほんとに無知で申し訳ないんだけど、
>>286をとりあえず全て試してみれば良いってこと?
それともどれかがCryptxxx3.0専用の復元ツールになってる?
294:名無しさん@お腹いっぱい。 (ワッチョイ 9fec-4qA/)
16/06/05 22:32:56.65 tm7MmrTD0.net
>>293
全ての意味がわからん
そのトレンドマイクロのツール試してみればいわれてるんだよ
cryp1は最新型なので多分無理だろうけど、まぁ一応試してみればと
295:名無しさん@お腹いっぱい。 (ワッチョイ 3fd8-wF3E)
16/06/05 23:47:06.06 pPJlqjMN0.net
CryptXXX3.0はどうかはわからないけど、今のところ画像とか圧縮ファイルは元に戻った感じ。
動画は戻ったっていう報告を自分はまだ確認できていない。
cryp1も待ってればツールのアプデでできるようになるかもしれないしできないかもしれない。
296:名無しさん@お腹いっぱい。 (アウアウ Sa76-wumw)
16/06/06 07:06:39.99 HkHeY5Lma.net
CryptXXX Ransomware Learns the Samba, Other New Tricks With Version 3.100 (.cryp1)
URLリンク(www.proofpoint.com)
297:名無しさん@お腹いっぱい。 (アウアウ Sa76-wumw)
16/06/06 07:09:48.07 HkHeY5Lma.net
CryptXXXに新種(.crypz)
URLリンク(www.bleepingcomputer.com)
298:名無しさん@お腹いっぱい。 (アウアウ Sae5-wumw)
16/06/06 18:30:44.36 yP1gSz8Oa.net
>>251関連で、
.docと.docxについて、Microsoft Officeのrecoverを手動で行うことを併用することで復旧に成功した人が複数出てる
URLリンク(www.bleepingcomputer.com)
ただし日本語でうまくいくかは知らん
299:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/06 20:36:11.60 T8RMFEhv0.net
>>294
すまんやっと理解した
>>286試してみたけど、ファイル自体は復元できたが開こうとするとエラーになってダメだった…
みんな親切にレスありがとう
ところで感染した人はその後の対応はどうしてる?
最悪出荷状態に戻せば手っ取り早いみたいだけど、インストール済みのアプリ等消えてしまうから対応に迷ってる
CドライブのあらゆるフォルダにランサムウェアのHTMLファイルとテキストファイル(身代金要求文?)がばらまかれてる状態なんだがやはり初期化するべきなのか?…
300:名無しさん@お腹いっぱい。 (アウアウ Sa21-jzyo)
16/06/06 20:52:20.36 Br+Dyjwca.net
>>299
それはウイルスじゃないから気にせずとも良い
ウイルスを完全に取り切れてるならリカバリーする必要はないが、cryptXXX系は他の個人情報流出系ウイルスとセットになってばらまかれてることも多いので、リカバリーするほうが安心>>40
金払うつもりはないなら、将来、ファイルが復号できるようになったときのために暗号化されたファイルは暗号化されてないファイルと共にバックアップしておこう
301:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/06 21:29:40.06 T8RMFEhv0.net
>>300
分かりやすく説明ありがとう
ここの人たちより確実に知識に疎いので完全に駆除しきれる自信ないから、リカバリするのが今の所は最善なのかな…
ちなみに暗号化されてないファイルっていうのはどれのこと?
暗号化されたファイルは拡張子が変えられて普通にそのままのフォルダにあるやつでいいと思うんだけど、されてないファイルってのがイマイチ理解できてなくて
302:名無しさん@お腹いっぱい。 (アークセー Sx89-ud2d)
16/06/06 23:53:42.33 xHKEwAUEx.net
これは酷い
UltraCrypter not providing Decryption Keys after payment. Launches Help Desk
URLリンク(www.bleepingcomputer.com)
303:名無しさん@お腹いっぱい。 (スプー Sdc8-ud2d)
16/06/07 01:56:33.80 pV+yNvZId.net
>>301
前スレ671を読めばわかる
304:名無しさん@お腹いっぱい。 (スプー Sdc8-ud2d)
16/06/07 01:58:12.49 pV+yNvZId.net
>>301
あとこのスレの>>203とか
305:名無しさん@お腹いっぱい。 (アウアウ Sae5-wumw)
16/06/07 02:49:12.20 cbonT7wVa.net
>>302
>>155以降、developers' decryptorは何度か更新されているが、
状況は変わらないというより、更新するごとにdecryptに成功する人は減っている印象、
UltraCrypterになってからは成功した人はまだ見かけていない
ransomというより事実上ただの詐欺と化している
306:名無しさん@お腹いっぱい。 (ワッチョイ d7e0-4qA/)
16/06/07 12:02:24.64 avW07bAw0.net
Lockyに感染した。死にたい。ここで調べたらまだ復号化出来ないのね。2.0ビットコイン送金しろ!とブラウザ上で表示しているんだけど、日本円で幾らになるのかな。。
307:名無しさん@お腹いっぱい。 (アウアウ Sa21-4qA/)
16/06/07 13:45:47.73 cLSuv522a.net
>>306
いまは12万6000円くらい
308:名無しさん@お腹いっぱい。 (ワッチョイ d7e0-4qA/)
16/06/07 14:17:01.64 avW07bAw0.net
>>307
レスありがとう。もう現状だと復号化ツールもでなそうだし、金払うしかないのかな…涙
309:名無しさん@お腹いっぱい。 (ワッチョイ fcd8-Kayl)
16/06/07 14:32:37.27 Gb7fdE0f0.net
自動起動さえ止めとけばそのうち複合化ソフト出るだろ
310:名無しさん@お腹いっぱい。 (アウアウ Sae5-wumw)
16/06/07 16:17:05.06 4KqqhNMYa.net
>>305
訂正 UltraDeCrypter
と書こうとしたら、記事タイトルも本文中でもforumでもUltraDeCrypter/UltraCrypterの両方混ぜこぜだな
ま通じるからいいか
311:名無しさん@お腹いっぱい。 (スプー Sdc8-ud2d)
16/06/07 16:22:16.54 7xP8K6VCd.net
オフラインのバックアップがあれば、HDDごと交換する手も
312:名無しさん@お腹いっぱい。 (ワッチョイ 81bf-ChPp)
16/06/07 17:19:49.69 /KBqocaA0.net
>306
Windowsの復元ツールや
ファイル復活recuva、PhotoRec 試せ。
初期設定のままWin使っている初心者ほど実は助かる要素ある。
313:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/07 21:16:55.06 0gdsuyQw0.net
>>304
前スレ671と>>203見てきた
暗号化されたものと同じファイルをネットで保存してオリジナルファイルにすれば復元できることはわかったが、例えば自分でデジカメで撮影した動画や画像を外付けにバックアップ取ってなかった場合はオリジナルファイルが用意できないから復元不可能なの?
ちなみにバカだと思われるかもしれないが、SDカードのデータは感染前にPCに移してすぐに容量空けるために消してしまった
314:名無しさん@お腹いっぱい。 (ワッチョイ fcd8-Kayl)
16/06/07 21:29:30.34 Gb7fdE0f0.net
>>313
ファイル復元ソフトでSDカードのデータ復元出来るんじゃね?
ゼロフィルじゃないならデータ消してもヘッダーだけ消して認識しなくしてるだけのこと多いし
315:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/07 22:24:24.63 0gdsuyQw0.net
>>314
そんな方法があるのか、
ありがとう試してみる
>>300で教えてもらった通り念のためにリカバリーするつもりなんだけど、CryptXXX3.0の復元ツールが出たときのために感染ファイルのバックアップ。
その他にリカバリー前にやっておくべきことは何かあれば教えてもらいたい
316:名無しさん@お腹いっぱい。 (ワッチョイ 8d6d-k5Ea)
16/06/07 22:39:09.22 1BIpnW8j0.net
AnglerEKがEMETを突破したから使ってるヤツは気をつけろよ
317:名無しさん@お腹いっぱい。 (スプー Sdb8-ud2d)
16/06/08 02:20:16.91 S0I3SI1Bd.net
>>316
まじか
MBARいれとくわ
318:名無しさん@お腹いっぱい。 (オイコラミネオ MMb4-ud2d)
16/06/08 06:16:41.23 86bE2qtUM.net
>>312
www
319:名無しさん@お腹いっぱい。 (ワッチョイ fcd8-Kayl)
16/06/08 14:24:10.49 6w+7I8ps0.net
>>316
sandboxieとEMETでブラウザ開いてるからへーきへーき
320:名無しさん@お腹いっぱい。 (ワッチョイ 22d9-ChPp)
16/06/08 15:06:07.37 zgt3NnoK0.net
突破も何もEMETは防止効果なくて脆弱性攻撃の成功率下げるだけだしな
保護対象ならペイロード実行防止効果のあるMBAEのがよっぽど効果ある
321:名無しさん@お腹いっぱい。 (スプー Sdb8-ud2d)
16/06/08 15:46:06.88 S0I3SI1Bd.net
>>313
ちゃうちゃう
なんでわかんないかなー
簡単に言うと、復号するためには感染したパソコンにつき一つずつ違うキーが必要なわけだよ
だけども、通常は犯人に身代金を払わないとキーはもらえない
だから、無料の復号ツールはランサムウェアのプログラム上の弱点をついて、暗号化されたファイルと、その暗号化される前の同じファイルの差異を解析してキーを作り出してる
それが作り出せたら、それを暗号化されたほかのファイルの復号にも適用できる
無理矢理作り出して本来のキーとは違うので、現状、本来のキーのように100%戻せるわけではなくファイル型式によっては戻せないものとかもある
平易に書くとこんな感じ
そもそも全ての暗号化されたファイルに暗号化されてないファイルが用意できるなら、別に暗号化されても困らへんやん!っていうことになりますやん。。
322:名無しさん@お腹いっぱい。 (スプー Sdb8-ud2d)
16/06/08 15:52:51.21 S0I3SI1Bd.net
ちなみに、この復号キーを作り出す方法はいろいろあるので、常に必ずオリジナルファイルが必要というわけではないが、そういう方法でキーを作り出す必要がある場合もある、ということね
323:名無しさん@お腹いっぱい。 (ワッチョイ 532b-XIdu)
16/06/08 20:09:05.46 dGNPWGql0.net
UltraCrypterは、支払いしても復号キーを提供しない、代わりに、ヘルプデスクが追加された
URLリンク(www.hippo.flnet.org)
324:名無しさん@お腹いっぱい。 (ワッチョイ 67a6-yopd)
16/06/09 05:30:43.28 fK098ew20.net
一応報告
RKLauncher.exeがMBARに検出された
誤検出だと思うけど
325:名無しさん@お腹いっぱい。 (アウアウ Sa97-AHtr)
16/06/09 15:20:56.54 QguWD/jJa.net
はい
326:セキュリティ証明書には問題があります (ワッチョイ 4bf2-YsjG)
16/06/10 12:05:26.87 +txssmXa0.net
この Web サイトのセキュリティ証明書には問題があります
URLリンク(www.qupzilla.com)<)
327:検出出来ない。 (ワッチョイ 83f2-YsjG)
16/06/10 23:31:43.63 kL1SEOjw0.net
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
328:名無しさん@お腹いっぱい。 (ワッチョイ 23df-oU5x)
16/06/11 08:53:16.13 g/bJvpce0.net
ランサムてww ランサームランサームww
329:名無しさん@お腹いっぱい。 (ワッチョイ ff6d-drwA)
16/06/11 20:45:43.05 kYz9+w1M0.net
昨日crypzに感染しました
ほぼ全ての関連ファイルがcrypz化して見れない状態です
ウィルス自体を削除した覚えはないのですが、新たに作成した画像データ等はcrypz化せず表示できます
対応ソフトが出ることを祈って、このまま放置で大丈夫でしょうか
330:名無しさん@お腹いっぱい。 (オイコラミネオ MM2f-jNGR)
16/06/11 23:44:50.60 uoBMwHe8M.net
>>329
msconfig でスタートアップをチェックしておけ
331:名無しさん@お腹いっぱい。 (ワッチョイ 9bc5-CVpW)
16/06/11 23:55:15.39 CxNy48Em0.net
タクススケジューラも
332:名無しさん@お腹いっぱい。 (ワッチョイ 8373-DvND)
16/06/12 16:02:00.44 mvNia3no0.net
cerberに感染したわ
恐らく更新日時が新しい物から書き換えられたっぽい
バックアップのイメージファイルも書き換えられてて復元しようにもできない
今の所復元策は無いのかな
>>117 がcerber用のようだけどそのURLからじゃダウンロードできない、誰か持ってる人いたら頼む
333:名無しさん@お腹いっぱい。 (ワッチョイ b3ec-oU5x)
16/06/12 17:14:53.47 kMWA5duY0.net
>>332
前スレ753に書いてるように使うことでファイルが破壊される可能性もあることを理解してるなら再アップしてもいいけど
334:名無しさん@お腹いっぱい。 (ワッチョイ 8373-DvND)
16/06/12 20:25:57.56 mvNia3no0.net
>>333
前スレよく読んだら復元ソフトがあっても認証が無いと正しく復元できない可能性があるんだな
さすがに怖くて出来んな
不幸中の幸いで殆どのアプリケーションの設定ファイルと最近保存した画像ファイルを書き換えられた程度だから
ID Ransomwareを定期的に見て複合ツール完成を待つわ
とりあえず今日は修復で疲れた・・・まさかバックアップ用のHDD2台とも壊されるとは・・・
335:名無しさん@お腹いっぱい。 (アウアウ Sa97-AHtr)
16/06/12 21:59:52.95 3qw++ks3a.net
復号な、、、
合体させるんじゃねーつの
336:名無しさん@お腹いっぱい。 (オイコラミネオ MM2f-jNGR)
16/06/12 22:52:16.42 pEol6cTbM.net
バックアップは普段は外しておけ
これ常識だろ
337:名無しさん@お腹いっぱい。 (アウアウ Sa97-AHtr)
16/06/13 00:17:41.39 Y2JQJQZBa.net
>>336
日本語で頼むわ
338:名無しさん@お腹いっぱい。 (ワッチョイ 4be6-7xHu)
16/06/13 00:22:38.56 LmkUUm5T0.net
>>337
日本語理解できないシナチョンは自国の掲示板行ったほうが良いぞ
339:名無しさん@お腹いっぱい。 (ワッチョイ 5fd8-I1hv)
16/06/13 01:15:00.24 CKXH6rmz0.net
バックアップを外しておけ
が正しい日本語だと思ってるバカww
さすが、二言目には脊髄反射のようにシナチョンとか言葉が出るネトウヨは頭が悪いなwww
340:名無しさん@お腹いっぱい。 (ワッチョイ 9bc5-CVpW)
16/06/13 01:34:30.55 AUde9Jak0.net
二つ目のはは無い方が読みやすいって程度だな
2chなら許容レベル
341:名無しさん@お腹いっぱい。 (ワッチョイ 4bf5-AzKx)
16/06/13 01:55:43.46 N9FfxoLi0.net
毎日バックアップを取るたびに
付けたり外したりする方が異常なんだろ?
342:名無しさん@お腹いっぱい。 (ワッチョイ 07d8-Uinm)
16/06/13 02:14:28.23 nPnski8O0.net
ランサム対策はHDD内と外付けの二重バックアップが推奨されてるから外付け外すの当たり前じゃん
343:名無しさん@お腹いっぱい。 (ワッチョイ 3b80-jNGR)
16/06/13 02:46:42.79 q4h4MDq20.net
そこまでバックアップに気を遣ってる人は
そもそも感染なんかしない
344:名無しさん@お腹いっぱい。 (ワッチョイ 7b6d-xNYz)
16/06/13 03:06:27.97 WfsYaYIs0.net
それバックアップちゃうただのコピーや
345:名無しさん@お腹いっぱい。 (ワッチョイ 2380-36FP)
16/06/13 09:14:49.40 dmWMvJxl0.net
>>343
スゲェな。心がけだけでランサムウエアに感染しないんだw
うちも週一で外付けHDDにバックアップして取り外しアイコンで外し、電源切ってるよ。
今のは感染後に潜伏していつ、活動するか判らないので注意で防げるレベルじゃ無いよな。
346:名無しさん@お腹いっぱい。 (アウアウ Sa97-oU5x)
16/06/13 19:35:23.89 /DRVcTpKa.net
Citrix社が英国のIT会社・セキュリティエンジニアを調査。その結果、3分の1の企業は、ランサムウェア被害に遭った際、直ぐに犯罪者に支払えるよう、ビットコインを貯蓄しているという。
URLリンク(securityaffairs.co)
347:名無しさん@お腹いっぱい。 (JP 0H3f-JQnx)
16/06/14 09:24:46.88 0yKZteiqH.net
Googleレポート以降、熱では壊れないとか変にHDDの不滅論を言い出す輩が増えたしな
348:名無しさん@お腹いっぱい。 (スプー Sd4f-jNGR)
16/06/14 17:57:24.85 yVH1Ll4Cd.net
>>345
電源切ってたら壊滅なんてしないだろ
349:名無しさん@お腹いっぱい。 (ワッチョイ 9bc5-CVpW)
16/06/14 18:51:27.93 OT880Fxi0.net
常時接続されてないバックアップもろとも書き換えるためか
潜伏しつつUSBデバイスの接続待ってる様なタイプも出回り始めてる様で
350:名無しさん@お腹いっぱい。 (ワッチョイ ef9c-7xHu)
16/06/14 19:08:25.43 1Aq0ofA50.net
それ怖すぎ
バックアップ二重に無いと死ぬじゃん
351:名無しさん@お腹いっぱい。 (ワッチョイ 3b80-jNGR)
16/06/15 03:50:35.69 P+Iy87J70.net
>>349
何それ怖い
352:名無しさん@お腹いっぱい。 (ワッチョイ 1bd8-iLHn)
16/06/15 05:18:56.16 +Gpo+YlR0.net
MBARW 0.9.16.484 Beta 7 来た
353:名無しさん@お腹いっぱい。 (ワッチョイ ef6a-36FP)
16/06/15 07:32:33.47 eFRSca2l0.net
>>352
URLリンク(forums.malwarebytes.org)
これか? リンクくらい貼れば良いのに。
354:名無しさん@お腹いっぱい。 (ワッチョイ 8b2f-YxPI)
16/06/15 08:11:00.71 mwnk8gp40.net
>>352
25Jan. のリリースとなっている、半年も前のバージョンだな
355:名無しさん@お腹いっぱい。 (ワッチョイ 4b9b-ARbp)
16/06/15 09:55:45.64 U5RCquyO0.net
>>349
プロセス監視しながら、外付けHDの電源入れたとき変なプロセスが動き出さないか
確認しながらバックアップすることにした
356:名無しさん@お腹いっぱい。 (ワッチョイ 1bd8-iLHn)
16/06/15 10:33:27.04 +Gpo+YlR0.net
>>354
1月25日リリースのやつは一番最初のバージョンね。
URLリンク(forest.watch.impress.co.jp)
今回のは先週の金曜日に出てるよ。
URLリンク(forums.malwarebytes.org)
357:名無しさん@お腹いっぱい。 (ワッチョイ b3ec-oU5x)
16/06/15 14:02:57.46 09tal75b0.net
>>354
分かってないのにテキトー事書きすぎ
358:名無しさん@お腹いっぱい。 (アウアウ Sa97-AHtr)
16/06/15 18:42:01.60 DmlySLOua.net
ランサムウェアに強い、弱いアンチウイルスソフト比較
URLリンク(i.imgur.com)
URLリンク(www.mrg-effitas.com)
359:名無しさん@お腹いっぱい。 (ワッチョイ 072b-jNGR)
16/06/15 23:17:03.25 WOhpqVTU0.net
>>358
マカフィーってダメだったのねorz
rockyにやられた
360:名無しさん@お腹いっぱい。 (ワッチョイ c66a-tzHU)
16/06/16 00:34:15.30 HhQFV6Lh0.net
>>358
たいていのランキングでうちで使ってるNortonはぱっとしないんだけど、珍しく100%だなw
361:名無しさん@お腹いっぱい。 (ワッチョイ 6fec-ntlg)
16/06/16 01:16:12.84 3e76Xzx50.net
>>358
カスペルスキーはどこのテストでも強いね
362:名無しさん@お腹いっぱい。 (ワッチョイ 0180-qS7w)
16/06/16 02:35:59.94 CxZ5re9q0.net
ESETどうした?
363:名無しさん@お腹いっぱい。 (アウアウ Sac5-ntlg)
16/06/16 05:35:45.72 FIVwdSxBa.net
「Adobe Flash Player」に深刻なゼロデイ脆弱性
URLリンク(japan.cnet.com)
364:名無しさん@お腹いっぱい。 (ワッチョイ 0d3a-4fuR)
16/06/16 05:43:20.08 lBFMfEN+0.net
Avastでくらった俺が颯爽と登場w
こういうのはあまり当てにしない方が良いけどAviraって駄目なのかね
無料だとAvira・Avastはユザー多いと思うんだけど
365:名無しさん@お腹いっぱい。 (ブーイモ MMa8-qS7w)
16/06/16 08:33:09.76 Gi0mHG69M.net
>>363
またお前か状態
366:名無しさん@お腹いっぱい。 (ワッチョイ 70bf-rFqC)
16/06/16 09:55:10.90 Kclpco7P0.net
マ イ ン ド コ ン ト ロ ー ル の手法
・沢山の人が、偏った意見を一貫して支持する
偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法
・不利な質問をさせなくしたり、不利な質問には答えない、スルーする
誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法
偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い
靖 国 参 拝、皇 族、国 旗 国 歌、神 社 神 道を嫌う カ ル ト
10人に一人は カ ル ト か 外 国 人
「ガ ス ラ イ テ ィ ン グ」 で 検 索 を !
367:名無しさん@お腹いっぱい。 (ワッチョイ a6a0-oJ6o)
16/06/16 23:22:38.65 QH44k2430.net
crypz踏んだわーorz
エロ系だけで済んだっぽいのは大ラッキーだけど、メールとか避難させて再インスコマンドクセ
368:名無しさん@お腹いっぱい。 (ワッチョイ 0180-qS7w)
16/06/16 23:35:51.52 CxZ5re9q0.net
相変わらず感染源の情報が
一切出てこない不思議
369:名無しさん@お腹いっぱい。 (スプー Sdf8-qS7w)
16/06/16 23:46:06.79 PZsTPXE7d.net
>>349
何それ怖い
370:名無しさん@お腹いっぱい。 (アウアウ Sac5-ntlg)
16/06/16 23:48:25.96 kVcW0jdta.net
>>368
相変わらず基地外ぶりが変わらんねんな
371:名無しさん@お腹いっぱい。 (ガラプー KK76-AnHX)
16/06/17 00:00:56.14 RiKk2NzhK.net
>>368
スマン興奮しすぎた、ロダの最初のクリックで広告ページが出る系の所だと思う
ノートンめっちゃ騒いだ
削除までのレポまとめてみるけど明日来なかったら削除失敗してて完全死だと思ってくれ
372:名無しさん@お腹いっぱい。 (スプー Sda8-qS7w)
16/06/17 00:07:16.50 9ExCxVJPd.net
エロサイトによくあるタイプか、お大事に
373:名無しさん@お腹いっぱい。 (ワッチョイ 0d6d-4fuR)
16/06/17 00:22:30.44 ccW8B6Y60.net
企業向けセキュリティ対策製品のランサムウェア対策機能を強化
~エンドポイントにおいて暗号化されたファイルを自動的に復旧~
URLリンク(www.trendmicro.co.jp)
374:名無しさん@お腹いっぱい。 (オッペケ Sr4d-mhfS)
16/06/17 10:13:27.16 3VKhFSbLr.net
俺は恐らくB9っていうアニメサイト
そこ以外思い当たるフシがない
375:名無しさん@お腹いっぱい。 (ワッチョイ 6b80-Dao1)
16/06/17 11:06:36.33 O55V6fop0.net
>>371
>>358 でせっかくノートンがランサムウエア 100%ガードになっていたのにw
派生タイプとかでガードしきれなかったんだろうけど。
376:名無しさん@お腹いっぱい。 (ワッチョイ a6a0-oJ6o)
16/06/17 11:37:01.10 t9JYrFvd0.net
crypz感染と挙動
(既にdllファイルなど削除して所々うろ覚えなので参考程度に)
RZA4096におそらくネット経由、IE使用
bigfileってロダが1回目にどこクリックしても広告タブが開く
その数種類ある広告の中で「あなたのpcに問題があります」って電話番号入りのポップアップが消しても消しても出てくるパターンがある
いつもはこれを
1.タスクバーからポップアップ元のタブの×印を押してからポップアップを消す
2.タスクマネージャーからポップアップ元のページのプロセスを止めてからポップアップを消す
のどちらかで止まるんだけど、
今回のびっくりな挙動は、タスクマネージャーを開いても一瞬で閉じるようにされたこと
良くも悪くもこれが不審過ぎたんで異常に気付いた
あと複合原因として、win10うp要求が激しいんでwinアップデートを手動にしてたのと
ノートンが勝手にお宝ファイルを消すんでソナー保護を止めて上に、この時点でトロイに対するパワーイレイサーが起動したのにそれも1回止めたこと
(その後、手動で実行)
>>375
ノートン悪くない、5重くらいに自業自得だぜ
エロだけで済んだのが奇跡
377:名無しさん@お腹いっぱい。 (ワッチョイ a6a0-oJ6o)
16/06/17 11:41:18.48 t9JYrFvd0.net
タスクマネージャーのこの挙動についてはググっても全く引っかからなかった
その後、レジストリとスタートアップをチェック
ファイル名を指定して実行regeditでレジストリから
HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\RUN内の怪しい奴を全部削除
(俺の場合、マウスドライバとitune以外全部、3つくらい)
参考
URLリンク(www.geocities.co.jp)
スタートアップ
C:\Users\<USER>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
の怪しいショートカットからdllの場所を特定して削除、といきたいところだったけど使用中で削除出来なかったんでセーフモードで再起動して削除
スタートアップの起動ごとに新しく何かが作られてたっぽいけどこの辺うろ覚え
プログラムと機能、tempからも何か削除した気がする
この時の削除基準は、ファイル・フォルダの作成日時。感染が30分前くらいだと特定できていたので
これで一応止まった
止まった判断は、crypz化ファイルを全削除してからファイル検索して新規が作られていないため
タスクマネージャーも通常営業に戻ってる
最後に、現時点でのcrypzの無料解除についてはこの辺に
6月2週目の新種らしいんで対応状況はまだイマイチ
URLリンク(www.geocities.co.jp)
疲れたんで俺は破損ファイルは全部消して解除は試してない
(上記の終息判断のためでもあるが)
378:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/17 12:42:54.09 HDDEC+W/a.net
>>376-377
お疲れさん
> 今回のびっくりな挙動は、タスクマネージャーを開いても一瞬で閉じるようにされたこと
タスクマネージャ等立上げ阻害は、ランサムウェア、本物のマルウェアで割とよくある仕様(過去ログ参照)
> RZA4096におそらくネット経由、IE使用
脅迫文にRZA4096とあるけど実際はAESとRSAを使ってる
脅迫文の方が実際より強度のある暗号化処理を使っていると詐称して、諦めて支払う確率を少しでも上げる
これもランサムウェアでは普通によくある
あと、tempに入るのが最初でDL機能や2~3箇所くらいに撒いて動作させる
これは本物のマルウェアでよくある仕様、CryptXXXは半分その性格を持ってる
.dllなど読み替えて偽装/動作していくのはBedep系の共通仕様
雰囲気的には駆除できてそうだけど、いくつかのセキュリティソフトで1つでも引っかかるものがあればリカバリ推奨
ネットバンキングをしてるなら即時リカバリを強く推奨
CryptXXXは元々Bedep他とコンボで入れるパターンが観測されている
あと、そのサイト見てるなら蛇足だけど今後の予防のために、特にflashは直近で更新されたので忘れずに
379:名無しさん@お腹いっぱい。 (ワッチョイ f39b-4fuR)
16/06/17 13:16:43.98 LjSrfal60.net
ノートンって未知に弱いって聞いてたけど
ひょっとして強いのかなあ
380:名無しさん@お腹いっぱい。 (ワッチョイ c69c-4fuR)
16/06/17 13:28:43.73 HErd+bZ10.net
>>376
何?ノートンって勝手にファイル消すの?
381:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/17 14:06:08.55 HDDEC+W/a.net
>>358
70個だし(まぁそれだけ集めてご苦労さんともいえるが)
検出率からみて、実際に撒かれてから数十時間程度以上(40~80時間くらいかな)経過してからの調査だし
例えば、
既に感染済の人が、既存の常駐ソフトを入れ替えて(既に動作終了・自己消去してるはずの)残骸でも探すときの参考、程度にしかならない
まぁあんまり酷いのは報告後の対応が遅い等問題あり、とみてもいいだろうが
382:名無しさん@お腹いっぱい。 (JP 0H3e-kGau)
16/06/17 14:44:43.33 MD5C55F1H.net
>>379 たんにランサムの挙動に強いってだけじゃね
PDFの方のMalwarebyteはウイルスではワーストだしロジックの向き不向きがあるんだろ
383:名無しさん@お腹いっぱい。 (ワッチョイ a6a0-oJ6o)
16/06/17 22:44:44.98 t9JYrFvd0.net
>>380
使用報告のない実行ファイルは問答無用で消すのよ(隔離じゃないので戻せない)
主にRPGツクールゲー
384:名無しさん@お腹いっぱい。 (ワッチョイ d91f-2EOw)
16/06/17 23:51:05.87 hzpaA9bI0.net
URLリンク(news.drweb.com)
5月感染、***.cryptのver3で、1万5000円
ぐらい払ってコレをやっている。
すごい勢いでファイルが戻っている。
ウィルスなしでもオーケーだった。
感染ファイルを残したままで戻すので、
ストレージの容量が倍必要。
385:名無しさん@お腹いっぱい。 (ワッチョイ 7005-mhfS)
16/06/18 00:09:56.05 JspALTbF0.net
なにこれ、有料なの?
386:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/18 00:12:52.64 40mQBWk9a.net
Dr.Webので復号できるタイプなら、
カスペやtrendmicroでタダでできるんだが
それとも、そのカスペやtrendmicroでうまく復号できないファイルもいけた、とか?
まずムリなはずなんだけどね
387:名無しさん@お腹いっぱい。 (ワッチョイ d91f-2EOw)
16/06/18 00:18:43.55 COmD7LiR0.net
カスペがver3に対応してたかは知らない。
してたら払い損だったかも。
388:名無しさん@お腹いっぱい。 (ワッチョイ b180-qS7w)
16/06/18 03:53:42.04 yyEl1iiQ0.net
つーかこんなのに感染するなよw
389:VHR12JC10V1 (ワッチョイ e1f2-Q1qF)
16/06/18 04:53:35.63 QvDCi9+P0.net
Windowsテン
i)―∩、
l・ ・ ヽ、,_,,.ィ''"""´´´"""'''・ 、
`’"ヽ. ヽ.
ヽ. i__,,,. -―- 、 〔_ヽ.ヽ.
〕.,ノノ `''っ.,// ヽ、゙'ー::::::.、
10を勧めるのはイタチ
伊達
三菱 VHR12JC10V1 4991348068790
TDK DR120DMC10UE 4906933604369
Manufacturer ID: CMC MAG. AM3
390:DR120DMC10UE (ワッチョイ e1f2-Q1qF)
16/06/18 05:00:06.62 QvDCi9+P0.net
マンコおっぴろげサイトで感染するのか? アスレーマンションか?
日本人のマンコ満載のサイトでもあるのか。日本製マンコを見かけない。
田舎の緑豊かな風景をバックにmet-artのような雰囲気のサイトくらいしか
記憶にない。
391:名無しさん@お腹いっぱい。 (スプー Sdf8-qS7w)
16/06/18 08:28:11.81 AlRHVQ1+d.net
>>386
え?Trend Microで複合できるの?
392:名無しさん@お腹いっぱい。 (アウアウ Sac5-ntlg)
16/06/18 13:45:47.23 hsC+fahJa.net
まだ複合とか書いてるやつは死んでくれ
393:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/18 15:31:30.81 9sHj77PRa.net
CryptXXX Ransomware started to utilize the cryptz Extension
URLリンク(www.bleepingcomputer.com)
394:名無しさん@お腹いっぱい。 (アウアウ Sad9-QI99)
16/06/18 17:14:41.91 LpOAyslaa.net
ホワイトリスト型で防げるだろ
PC Maticとかな
395:名無しさん@お腹いっぱい。 (アウアウ Sac5-ntlg)
16/06/18 18:20:59.63 hsC+fahJa.net
>>329はなかなか世界でも早い段階で感染しとったんやな
396:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/18 19:40:30.72 ZsisMgUya.net
宣伝屋に、
他人のtypoに厳しいメクラ
ご苦労さんなこった
397:DR120DMC10UE (ワッチョイ e1f2-Q1qF)
16/06/18 22:54:10.91 2jKbhGXg0.net
625 : 名無しさん@編集中2016/06/18(土) 09:15:11.53 ID:qlyGSEB6
>>623
ITACHI Inspire the Next
398:名無しさん@お腹いっぱい。 (オイコラミネオ MM54-qS7w)
16/06/19 02:56:15.37 Dyqvezb5M.net
>>349
シードラ以外を探るのは世の常。
ネットワークドライブをデフォで認証するのは鴨だぜバキューン!
399:名無しさん@お腹いっぱい。 (オイコラミネオ MM54-qS7w)
16/06/19 03:01:58.46 Dyqvezb5M.net
>>381
美知丸への対応だと、上位もどれもクソ。
確かに、カウンターアクションの速さを競ってるだけだわな。
400:TLSで無理矢理表示 (ワッチョイ e1f2-Q1qF)
16/06/19 03:47:02.49 lOsCzazl0.net
TLSで無理矢理表示
syndication.exoclick.com Go Daddy Secure Certificate Authority - G2
URLリンク(www.virustotal.com)
Malicious site
known infection source not recommended site adult content
URLリンク(www.virustotal.com)
URLリンク(www.ssllabs.com)
URLリンク(www.ssllabs.com)
401:名無しさん@お腹いっぱい。 (ワッチョイ 6fec-ntlg)
16/06/19 16:17:03.96 omY0EtVv0.net
>>359
こっちでもMcAfeeは成績悪いな
総合防御力テスト 2016年5月 サンプル数=350
URLリンク(chart.av-comparatives.org)
URLリンク(www.av-comparatives.org)
100.0% Bitdefender, ThreatTrack
100.0% TrendMicro(7)
100.0% F-Secure(15)
99.70% Kaspersky
99.40% AVG, Lavasoft
99.40% Avira(3)
98.90% Tencent
98.90% ESET(1)
98.60% Avast(1)
98.30% eScan(4)
98.15% Emsisoft(1)
98.00% Sophos
97.70% Microsoft
97.60% BullGuard(9)
95.55% QuickHeal(3)
95.40% Fortinet
95.40% McAfee(2)
User dependentは1/2で計算 ()内は誤検出数
402:名無しさん@お腹いっぱい。 (ワッチョイ f9d8-wM7A)
16/06/19 18:59:04.52 mK1thfyz0.net
100%防御できるソフトなんて存在しないよ。
EMETやMBAEとかBDやMBのAnti-Ransomwareを入れて複合防御にするのが得策。
403:名無しさん@お腹いっぱい。 (オイコラミネオ MM54-qS7w)
16/06/20 00:56:38.75 ZwzwCRqvM.net
とんでもない乱寒くるね
404:名無しさん@お腹いっぱい。 (スプー Sda8-qS7w)
16/06/20 08:10:03.94 wveBYilad.net
と言いますと?
405:名無しさん@お腹いっぱい。 (アウアウ Sac5-ntlg)
16/06/20 19:14:10.53 3jjCuaqZa.net
興味深いね
サイバー犯罪集団が使う Locky、Dridex、Angler の活動が急に停滞
URLリンク(www.symantec.com)
406:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/22 05:50:51.30 rq5jnk9qa.net
#CryptXXX infected file extensions changed.The hexadecimal number which is random 5digits every machine. #ransomware
URLリンク(twitter.com)
URLリンク(www.bleepingcomputer.com)
拡張子: ランダムな5桁の16進数
ransom note: @<12 hex>.txt
407:名無しさん@お腹いっぱい。 (ワッチョイ 6fec-ntlg)
16/06/22 05:52:57.47 RkN/QHyB0.net
うーむ
408:名無しさん@お腹いっぱい。 (オイコラミネオ MM54-qS7w)
16/06/22 07:27:29.35 8c0UdZCCM.net
で、復号やれんのか?
409:名無しさん@お腹いっぱい。 (ワッチョイ 346d-6iFS)
16/06/22 14:37:10.48 z96u4yuk0.net
ネットワークドライブ内に@SDJCMSJAAA.BMP的な脅迫画像とテキストを見つけたから
adawareやMalwarebytesでフルチェックやスタートアップレジストリを綺麗にした。
で、調べても何も暗号化されて無いんだが時限発動前に処理出来たのか?イマイチ安全だと確証が持てん・・・
(ちなみに感染は昨日の夜9時でその後再起動無しのまま朝処理)
410:名無しさん@お腹いっぱい。 (ワッチョイ 6b80-Dao1)
16/06/22 14:47:32.35 Qnh4N3mg0.net
>>409
PCから切り離せるドライブに必要なファイルをバックアップして、それを外したまま様子見とか?
潜伏したランサムウエアがどれかのPCで発症すると思うけど。
411:名無しさん@お腹いっぱい。 (ワッチョイ c69c-4fuR)
16/06/22 15:29:02.00 LBvm+n+q0.net
その画像とテキストはどこから来たんだ?
412:名無しさん@お腹いっぱい。 (ワッチョイ bebe-Jul9)
16/06/22 16:04:19.38 B5RrWSy50.net
PC Maticって、ランサムウェアを阻止できるの?
413:名無しさん@お腹いっぱい。 (JP 0H3e-kGau)
16/06/22 16:10:48.16 /5dpUGkQH.net
>>409 なんとなくだけど
A.ローカルの環境で変換された(感染している)
B.たんに画像が落ちてきただけ
でいうところのBなんじゃね?
つうか、安全なランサムの紹介・警告サイトを見るだけでも
ブラウザのキャッシュとして画像は残るよね・・・
(まぁ感染変換後と同じファイル名でサイトを作るのはどうかと思うが・・・
つってもネットワークドライブにある事の説明にはもう少しエスパー解釈が必要なんだがw
あくまで想像で実際は、もっとやばいことが起きてる可能性もあるけど
ちょっと思い出して「あぁそういえば、ランサムのサイト読んだわw」とかないか?
414:名無しさん@お腹いっぱい。 (ワッチョイ 346d-6iFS)
16/06/22 20:25:05.58 z96u4yuk0.net
>>410
まあバックアップはとったんだけど、現状被害が無い(感染済みだがディレイ発動前?)状況で感染してるかってどうやって判断するのかと思って
>>411
それが気になる。サイトを見てて入ってきたのか、フリーソフトの解凍時に時限爆弾として指定以外のフォルダーに勝手に置かれただけなのか
>>413
キャッシュとかでは無いね。スタートアップにdllへのリンク置かれてたし
昨日夜ドライブバイダウンロードが仕込まれたサイト見た可能性高し
→潜伏+発症準備で脅迫画像+テキストやランサムウェアをドライブ内やスタートアップに撒く
→今日朝。java等アップデート+アンチマルウェア複数+レジストリ一部削除で、再起動などのトリガー前にプログラムが駆除される
→脅迫bmpとhtmlとtxtとスタートアップ内のトリガーのみが残る
って感じかと思ってるんだが、判定が出来んのよ
415:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/22 21:43:25.93 QiZ7XJ0Ia.net
>>414
どのランサムウェアか知らんが、
俺の知る限り通例暗号化後にransom noteを貼る
(逆では発見が早けりゃカネが取れん)
その状況なら、何らかの理由で暗号化が阻害orスキップ、
がそれ以外の処理は進行し…、ってことだろう
暗号化処理が途中までで一部だったり(もちろんransom noteあり)ってのは割とよくある(全くゼロで、ってのは初耳)
暗号化処理前のkeyのやり取りで向こうのサーバが、とか想像はいろいろできうるね
ま俺なら検出したファイルや内容等をみてバックアップ/リカバリか一週間ほど連日監視/セキュリティソフト作動かを決める
416:名無しさん@お腹いっぱい。 (ワッチョイ 276d-wRvM)
16/06/23 07:07:00.70 uFktOYgB0.net
>>415
すまん、今調べてたら一応被害あった。予想感染時とほぼ同時刻にデータHDD対象拡張子ファイル数万の内ほぼ先頭から2つ70メガ、末尾が*.0B126に
感染→改竄開始→暗号化鯖は生きてたが、2つ終わった時点で何らかで暗号化停止(監視ソフトは動かして無かった)
→暗号化完了と判断、改竄データのフォルダー1つとマイコンピューター開けばすぐ見えるネットワークドライブ上にノート貼り付け
+再起動時にアピるようにスタートアップに表示ソフト仕込み→10時間後そのまま本体駆除される
って感じなんかな。今はリアルタイムanti-ransom起動中だが「何らかの理由」と「駆除確定」がわからんではリカバリか監視の判断が・・・
417:名無しさん@お腹いっぱい。 (ワッチョイ db80-gJJb)
16/06/23 11:29:32.55 C2PlMT6/0.net
何の脆弱性突かれたのか
まずそこじゃないの
418:名無しさん@お腹いっぱい。 (アウアウ Sa3f-oF8k)
16/06/23 14:39:47.17 jg9TeCRVa.net
>>406 補足
random 5-character hex extension の他に .cryp1, .crypz も引き続き撒かれてるらしい
URLリンク(www.bleepingcomputer.com)
419:名無しさん@お腹いっぱい。 (アウアウ Sa3f-oF8k)
16/06/23 15:26:56.33 jg9TeCRVa.net
>>416
なるほど、早速CryptXXXの最新版、16進数5桁ver.か
一般的な話として、ランサムウェアは完遂/活動停止すると自己消去する
あと、CryptXXXはBedep系等も併せて入れられる例がある(そういえば最近見かけないが)のと、
2つのプロセスを動かして相互監視する形を取る、何度も書くのめんどくさいので本スレ/過去ログ当たってくれ
何が検出/駆除されたか知らんが、バックアップ/リカバリが安全、当たり前だが
malwarebytesはいいソフトだけど新種/亜種に対する対応は決して早いほうではない(ad-awareは情報持ち合わせてない)
まぁいつも書いてるが(○○の一つ覚えみたいになってきた)dr.webで一つでも引っかかればリカバリ、okなら監視、とするのも一つの判断
「何らかの理由」については正直わからん、がどのランサムウェアでも割りと例を見かけるので、
ランサムウェア自体が結構 綱渡りで動作してるバグだらけの出来損ないソフトと考えるといいんじゃないかな
そういえば書いてなかったかもしれんが、6月に入ってからNeutrinoEKにほぼスイッチしてるっぽい
最近記事を見かけんが替わってなければ主にwordpress等CMS(本体/プラグイン)の脆弱性利用でサイト改ざん、そこから
サイト側じゃなくて端末側でいえば相変わらずflash等の脆弱性利用
そのへんも既出
もう見てるかもしれんがいつもの他人のサイト
URLリンク(www.geocities.co.jp)
なんでもう16進数5桁ver.の更新ができてるんだ早すぎるだろ、5ケタ英数字にはなってるが
420:(TT) (ワッチョイ c72b-wRvM)
16/06/24 22:34:45.93 Y74dL/iS0.net
主婦です。
少し前にCRYPZの被害に会いました(TT)
パソコンをつけっぱなしだったもので、ローカルだけでなく、
外付けハードディスクもすべてやられてしまいました。
自分が復元ポイントを作ってなかったこと、
対策をしていなかったことが悪いのですが、
Webデザインの仕事のデータ4年分、
子供たちの生まれてからの写真がすべて5年分失いました(TT)
写真を撮るのが趣味で宝物だった子供たちの写真が悔やまれてなりません。
身代金の期限がもうすぐきます。払ってしまおうかと思ったほどです。。。
加害者に加担したくない、クレジットカードなども使いたくないと
思いとどまっています。
なんとか復号ツールがでてくれることを祈っています。
誰か作ってください。復旧できたらお礼したいです。
無理ですよね(TT)
421:名無しさん@お腹いっぱい。 (アウアウ Sa77-Z7EN)
16/06/24 23:26:29.12 sabaKmMla.net
>>420
復元ポイント作ってても、ランサムウェアは関係ない
システムイメージなら話は別だが
あと、ランサムウェアの支払いにはクレジットカードをつかうところはむしろまれでほとんど銀行振込だが。。
422:名無しさん@お腹いっぱい。 (アウアウ Sa77-Z7EN)
16/06/24 23:27:14.67 sabaKmMla.net
Bitcoinの話ね
423:名無しさん@お腹いっぱい。 (ワッチョイ ef9c-jO4j)
16/06/24 23:46:36.72 4JwL/S6x0.net
>>420
子供の写真消えていいの?
424:名無しさん@お腹いっぱい。 (ワッチョイ c3bd-jO4j)
16/06/24 23:59:55.97 Ecq1/87/0.net
>>420
TeslaCryptみたくマスターキーを公開してくれる日がくるかもしれんから
侵された大事なデータはバックアップしておいてね
425:名無しさん@お腹いっぱい。 (ワッチョイ 276d-wRvM)
16/06/25 10:28:38.91 Qhdbfixz0.net
>>417
それはもう去年バージョンのJAVAとFlashよ。アップデートしたけど。
>>419
本スレ/過去ログは読んであるけどいらんスタートアップは潰したし
多分何も出ないけどdr.webでも試して監視継続で行こうかな
(やるならいっそwin7リカバリ→10のが良いかも)
色々ありがとん
426:名無しさん@お腹いっぱい。 (アウアウ Sa3f-oF8k)
16/06/25 16:32:52.43 K1HgLw7va.net
>>251,288
RansomwareFileDecryptor 1.0.1595 MUI.exe
uploaded on June 24, 2016, at 15:30 GMT
久しぶりにtrendmicroの覗いたけど、
CryptXXX V1, V2, V3* {original file name}.crypt, crypz, or 5 hexadecimal characters
あとBadBlockやら.777やらたぶん他社decryptorあるやつ追加
Important Note about Decrypting CryptXXX V3に、
The tool will try and fix certain file formats after the decryption attempt, including DOC, DOCX, XLS, XLSX, PPT, and PPTX (common Microsoft Office) files.
云々追加
16進数5桁ver.でも、暗号化処理そのものはほとんど変えてないっぽいな
427:名無しさん@お腹いっぱい。 (スプー Sd8f-gJJb)
16/06/25 17:45:30.03 ZMVMj3apd.net
>>420
五年分の子供の写真?
ご愁傷様です。。
俺なら五万円くらいなら払うけどな
だって、五万円ケチったばかりにそんな二度と取り戻せないデータ失うとか有り得ん
428:名無しさん@お腹いっぱい。 (ワッチョイ 67c1-qPIk)
16/06/25 18:39:41.32 Cn8YGkPd0.net
慢心しててタブレットの方の更新怠ってたらくらってしまった
取り返せないデータはほとんど無いんだが復旧の手間考えると金払いたくなるな
429:名無しさん@お腹いっぱい。 (ワッチョイ 9b2b-gJJb)
16/06/25 19:02:51.38 mlil0Urx0.net
五万払って確実に復号出来るか?
って話でしょ。
五万で子供の写真が戻るんだったら
誰でも払うだろ。
430:名無しさん@お腹いっぱい。 (ワッチョイ 67c1-qPIk)
16/06/25 20:17:09.42 Cn8YGkPd0.net
まー、勉強代としてならそんな高くないかもしれない
431:名無しさん@お腹いっぱい。 (ワッチョイ ef2f-Yp3t)
16/06/25 23:10:48.67 m31xrz+r0.net
つらいところの被害者には悪いが感染源と感染したマシンの環境を書いてくれるといいのだが
誰かが有益な助言くれるかもしれないし
432:名無しさん@お腹いっぱい。 (ワッチョイ 4f49-wRvM)
16/06/25 23:30:35.60 OfNnD7rc0.net
>>426
thx
でもワイのcrypz喰らったファイルは上手く直らんかったわ
まぁHPにも完全に対応はしてないよって書いてあるしなー
433:名無しさん@お腹いっぱい。 (オイコラミネオ MMef-gJJb)
16/06/26 08:55:39.90 E5PRYBLqM.net
デジタルデータという触れる形のないものだから、被害や犯罪への意識が少ないのだろうか。
もし損なわれたものが物だったなら?
子供たちとの思い出の品が、放火によって焼かれたら?
見知らぬ誰かによって持ち去られたなら?
果たして「イイ勉強になったよ…」なんて言えるだろうか。
434:名無しさん@お腹いっぱい。 (スプー Sd8f-E9go)
16/06/26 12:01:09.10 r9lZ15k+d.net
払う選択肢を候補に上げるとか、イカれた奴がいるな
435:名無しさん@お腹いっぱい。 (ワッチョイ 67c1-qPIk)
16/06/26 13:15:07.38 ahJG8pB80.net
被害は人それぞれだし、どちらも否定はしないな
436:ブロックリスト (ワッチョイ 9bf2-FG3Q)
16/06/26 16:03:49.34 rgJTvpIi0.net
ブロックリスト
as3.mmm-mmm.info
www.ashleyrnadison.com
www.tomodachinpo.com
reallifecam.com
luxuryslotonline.com
imzog.com
dl.maquesoft.com
*.jp.doubleclick.net
doubleclick.net
syndication.exoclick.com
URLリンク(syndication.exoclick.com)<)
437:(TT)ママ (ワッチョイ c72b-wRvM)
16/06/26 17:19:45.31 iFwTZx5B0.net
<crypzについて>
みなさま、色々お返事ありがとうございます。
もう期限は過ぎましたが、支払はBitCoinでたぶん9万弱。
日本のサイトでも購入できる場所がありましたが、
一日MAX5万までと制限があったり、
営業時間が過ぎてたり(あと数時間だったので)、
プレミア会員にならないと購入できなかったりしたので、
やめました。
海外のサイトはアングラなのも多いので、やはり抵抗があって。。。
クレジットでなくても、銀行振り込みでもいけるようですが、
海外の銀行なのですぐに入金も難しいですしね。
もし復旧するなら9万弱の金額を払うことはおしくないかもしれませんが、
やはり犯罪に加担する、最悪ツールをもらえず、復号できないとなると
詐欺にひっかかり、それこそ自業自得の世界ですね(><)
写真が好きで子どもの成長をたくさん撮っていたのですが、
なかなか踏みとどまるにも、勇気がいりました。
438:(TT)ママ (ワッチョイ c72b-wRvM)
16/06/26 17:20:53.96 iFwTZx5B0.net
>424さん
のおっしゃったように、
いつか暗号キー公開でというのを奇跡的に訪れることを
待つしかないですね。
>431さん
コメントありがとうございます
Windows7です。どこで感染したかも不明。
Webの仕事をしてるので、お客さまがサイトが壊れたのか
開けなくなったと聞き、ダウンロードしてみた後ぐらいから?
のような気もするし、定かではありません。
私の感染したものに関しては、
サイトでの参照で勝手にダウンロードされるそうです。
ダウンロードしますか?というようなものはなかったので、
それこそ分かりません。
ちなみにアダルトなサイトや怪しいサイトは観てません。
お客さまのサイトがハッキングされてたのかな?とも思ったり。
>433さん
コメントありがとうございます。
災害にあったような感覚です(++)
津波で思い出を失った人の気持ちが少しわかりました。
まだ心の整理はつきません。
439:(TT)ママ (ワッチョイ c72b-wRvM)
16/06/26 17:21:51.86 iFwTZx5B0.net
とりあえず、外付けハードディスクはほぼパンパンだったので、
復旧は難しいですが、ローカルPCに関してと、SDカードに関しては、
データ復旧ソフトを購入して、消えたものをほんの少しだけ
復活できるのではと考えています。
今回のウィルスは、例えば、
A.jpg →コピーして拡張子を変えA'を作り、暗号化して、元のファイルを削除するというものです。
元プログラマーなので、なんとなくそのあたりで、削除データが少しはのこっているかなと思っています。
外付けハードディスクに関してはほぼ容量がいっぱいだったので、削除ファイルの上に別ファイルが上書きされただろうと推測しています。
宝物を守れず、そして元エンジニアとして
気を抜いてしまったこと自己嫌悪です(==)
最新なので事故といってしまえばそれまでなのですが、
防ぐ道もあったかもと思うと。。。後の祭りですが。。。
また最新情報があれば教えてくださいねm(_ _)m
440:名無しさん@お腹いっぱい。 (ワッチョイ ef9c-jO4j)
16/06/26 17:27:30.30 4PxeDjhC0.net
子供の写真諦めるとかないわ
441:adult content をTLSで無理矢理表示 (ワッチョイ 9bf2-FG3Q)
16/06/26 17:40:01.20 rgJTvpIi0.net
adult content をTLSで無理矢理表示 Malicious site Malicious site
syndication.exoclick.com Go Daddy Secure Certificate Authority - G2
URLリンク(www.virustotal.com)
Malicious site
known infection source not recommended site adult content
URLリンク(www.virustotal.com)
URLリンク(www.ssllabs.com)
URLリンク(www.ssllabs.com)
442:名無しさん@お腹いっぱい。 (ワッチョイ db90-GeiQ)
16/06/26 17:51:45.74 WGvYk4nS0.net
Webの仕事をするなら最低3台用意しようよ。
構築作業用+up用(ネット接続)
プライベート用(鎖国or接続なし)
443:名無しさん@お腹いっぱい。 (アウアウ Sa77-Z7EN)
16/06/26 18:16:24.29 HfZ6RUyna.net
>>437
話を聞いてるとドライブバイダウンロードという見ただけで感染する方法でやられたのだと思うけど、一番怪しいのはFlashが古くて脆弱性をつかれてやられたのかな、と
Flashを常に最新にはしてなかったですかね?
あとはWindowsUpdateの最低毎月1回ある重要な更新を更新してなかったとかJava
も古いバージョンのものがそのまま残ってたとかかな
これからはこれらを常に最新版にしておき(Javaは特に使う用途がなけれぱ削除推奨)、Malwarebytes Anti-ExploitとMalwarebytes Anti-Ransomwareを追加でインストールしておくと(どちらも無料)ランサムウェアに対して防御力が高まります。
444:(TT)ママ (ワッチョイ c72b-wRvM)
16/06/26 18:18:17.82 iFwTZx5B0.net
>440
悲しいです(TT)
FBにUPした解像度の低いものぐらいだけは手元にダウンロードできましたが。。。
えーん。
>442
今は主婦がメインで、遊び程度でやっていたので、
そこまでPCを確保できず。。。
今後は外付けHDを余分に買って多重管理していこうと思います。
今からでは遅いですが。(TT)
445:名無しさん@お腹いっぱい。 (ワッチョイ ef9c-jO4j)
16/06/26 18:23:51.13 4PxeDjhC0.net
>>444
犯罪者に金渡したくないとか元に戻る保障はないってのも分かるけど
子供の写真はお前だけの財産ではなく、子供の財産でもあるんだぞ
何が何でも写真だけは守るのが親だろ
446:(TT)ママ (ワッチョイ c72b-wRvM)
16/06/26 18:24:01.34 iFwTZx5B0.net
>443
ありがとうございます。
だんだんパソコンが重くなってきていて、
新しく購入する余裕もなかったので、更新をおろそかにしていた
ことも原因ですね。。
今は最新にUPしました。
暗号化されたファイルを外付けHDにうつして、
この際OSを入れ替えするか、そのまま復号ツールがでるまで
PCをそのままの寝かせておくか悩みます。
447:名無しさん@お腹いっぱい。 (アウアウ Sa77-Z7EN)
16/06/26 18:26:16.00 HfZ6RUyna.net
>>445
お前が金払うわけじゃないんだから、お前がそこまで口突っ込む必要あるのかよw
448:名無しさん@お腹いっぱい。 (ワッチョイ ef9c-jO4j)
16/06/26 18:33:23.33 4PxeDjhC0.net
金の話なんてどうでもいい
WEBのプロだったくせにデータ管理甘いわ
親なのに写真に責任持ってないところが嫌なだけ
449:(TT)ママ (ワッチョイ c72b-wRvM)
16/06/26 18:50:12.68 iFwTZx5B0.net
そうですね。現役は10年も前の話ですが、
おっしゃるとおり。
だからこそ、心が痛みます。
450:名無しさん@お腹いっぱい。 (ワッチョイ ef9c-jO4j)
16/06/26 18:59:39.90 4PxeDjhC0.net
複合ツール出てくる事祈ってます
451:名無しさん@お腹いっぱい。 (アウアウ Sa77-Z7EN)
16/06/26 19:28:43.13 HfZ6RUyna.net
合体するんじゃねーつっの
452:名無しさん@お腹いっぱい。 (ワッチョイ 7bc5-ymi6)
16/06/26 20:36:22.60 +eyz6CdR0.net
家族写真ぐらいは円盤メディアに焼いとこうぜ…。
453:(TT)ママ (ワッチョイ c72b-wRvM)
16/06/26 22:08:13.68 iFwTZx5B0.net
>450
ありがとうございます!!
復号ツールというみたいです。
451さんのつっこみで思い出しました。
こちらは関西ですが、大阪弁のつっこみではないですが。
どちらでも復旧できればそれでいいです!
>452
大量にありすぎて、
ローカルPCと外付けハードディスクで二重管理してました。
以前ハードディスクが故障の経験がありまして、それから、
外付けにもバックアップとるようにしていましたが、
まさか両方やられるとは思っても見ず。。。
ちょこちょこしとく方がよいですね(TT)
ちなみにビデオは外していた外付けHDなので、助かりました!
454:(TT)ママ (ワッチョイ c72b-wRvM)
16/06/26 22:10:59.94 iFwTZx5B0.net
また最新の情報が出たらお知らせくださいm(_ _)m
↓の広告アニメーションが気になります。
主人に何をみてるんだと言われました(^^;
子どもの前ではこのページは開けませんね(><)
455:名無しさん@お腹いっぱい。 (ワッチョイ ef2f-Yp3t)
16/06/26 22:43:03.02 zROG9/0y0.net
ランサムウェア被害の場合、悪いのは感染者じゃなくてウイルス配布者だけどな
脆弱性のあるFLASHプレイヤーも開発側が欠陥品をリリースしたわけだしよ
9万円は払わないほうがいいよ
感染ファイルが復元しなかった場合のダメージが大きすぎるから
大切な子供の写真を失ったのは辛いだろうが個人情報が漏れなかったのが不幸中のさいわいと前向きにとらえればいいんだよ
復号ツールがリリースされるといいね
456:名無しさん@お腹いっぱい。 (ワッチョイ ab06-0pIZ)
16/06/27 00:26:21.82 G93ZpXs60.net
>>454
URLリンク(www.geocities.co.jp)
こちらのサイトで紹介されているトレンドマイクロ等のツールをかたっぱしからを試してみてはどうでしょう。
自分も16進数5桁のやつに感染して今実行中ですが、
全てとはいかないようですがかなりの数のファイルが
復号されていますよ。