16/05/10 15:22:57.75 +SrYW1HI0.net
感染を防ぐ方法 (重要)
1.サポート切れのOSは使わない、サポートが継続しているOSに乗り換える。
2.アプリを常に最新版に更新しておき、WindowsUpdateもしておく。
(特に攻撃されやすいFlash・Java・Silverlight・ブラウザは要注意)
感染を防ぐ方法 (その他)
1.不審なメールの添付ファイルは開かない。
2.Flashはクリックしてから実行するように設定を変える。
4.ublock origin等で広告自体をブロック。豆腐フィルタ等の日本向けフィルタも入れる。
5.Malwarebytes Anti-Exploit等の脆弱性攻撃対策用のセキュリティソフトを追加で入れる。
6.不安ならMalwarebytes Anti-RansomwareやBitdefender Anti-Ransomwareなどランサムウェア対策用のセキュリティソフトを追加で入れる。
7.更に不安ならレピュテーション技術に対応してるセキュリティソフトに入れ替える。
3:名無しさん@お腹いっぱい。 (ワッチョイ feb7-JU9D)
16/05/10 15:23:24.10 +SrYW1HI0.net
ランサムウェアについては海外の大手セキュリティサイトが一番情報が多いと思われる
ただし当然英語
URLリンク(www.bleepingcomputer.com)
4:名無しさん@お腹いっぱい。 (ワッチョイ ad17-fQUW)
16/05/11 10:12:05.82 NcpsT0Zd0.net
詳しい人お願いします。
迷惑メールに添付されていた圧縮ファイルを解凍したものです。
念のため元の拡張子は.jsですが.txtに変えています。
やはり新手のウイルスでしょうか?(最初、中盤、最後に命令が書いてある)
どっとうpろだにtxt形式で
URLリンク(www.dotup.org)
5:名無しさん@お腹いっぱい。 (ワッチョイ ad17-fQUW)
16/05/11 10:12:52.25 NcpsT0Zd0.net
すいません、パスは 1 です
6:名無しさん@お腹いっぱい。 (ワッチョイ ad17-fQUW)
16/05/11 10:16:14.90 NcpsT0Zd0.net
最近多いようなので検体として、、。
書き込み失礼しました。
7:名無しさん@お腹いっぱい。 (ワッチョイ dfd9-Wsqh)
16/05/12 05:19:03.73 g+KMD1xf0.net
ファイル開いたらAviraに検出されてワロタ
たぶんLockyってランサムウェアをDLしてくるウイルスやね
たしかLockyは日本でも流行ってた
8:名無しさん@お腹いっぱい。 (ワッチョイ d317-1veL)
16/05/12 07:23:08.45 IdmUj5iQ0.net
ありがとうございます。
やはりですか…。
しかしpcのメールに送るならまだしもスマホのメールに送る業者ェ、、、
9:名無しさん@お腹いっぱい。 (ササクッテロ Sp2f-XzP0)
16/05/12 11:12:02.51 HXGBaY2Cp.net
>>4
検体はありがたい
まだ消さないでねー
家に帰ったら見てみたい!
10:名無しさん@お腹いっぱい。 (ワッチョイ d317-1veL)
16/05/12 14:25:51.02 IdmUj5iQ0.net
>>9
了解です。 1MB程度、しかもカモフラージュがほとんど(だと思う)ですが…
11:DR120DMC10UE (ワッチョイ 93f2-kZmz)
16/05/13 04:03:22.78 i7H6wQYa0.net
URLリンク(www.virustotal.com)
検出率: 32 / 56
三菱 VHR12JC10V1 4991348068790 と全く同じ
TDK
DR120DMC10UE
4906933604369
Pre-recorded Information:
Manufacturer ID: CMC MAG. AM3
12:名無しさん@お腹いっぱい。 (ササクッテロ Sp2f-XzP0)
16/05/13 11:40:34.94 oizLTRy1p.net
>>4
これってソースだよね?
こんなソースでも.jsにして動かすとウイルスダウンロードしてくるんかな?
13:名無しさん@お腹いっぱい。 (ワッチョイ dfd9-Wsqh)
16/05/13 12:27:10.72 oI1lTPKA0.net
>>12
LockyそのものじゃなくてJavascriptでLockyをダウンロードしてくるファイルだからな
こういう形式のほうがtxtちょっと変更するだけで検知されづらくなる
Officeのマクロウイルスが張り付けられるのも同じ理由でウイルス単体をそのまま送り付けるのは滅多に無い
14:名無しさん@お腹いっぱい。 (アウアウ Saaf-1veL)
16/05/13 12:28:14.02 aZ4xnN4Aa.net
>>12
あ、そうですね。 カスペだとトロイとして検出されました。
15:名無しさん@お腹いっぱい。 (ササクッテロ Sp2f-XzP0)
16/05/13 13:47:42.23 oizLTRy1p.net
なるほど!
詳しくありがとうございます
16:名無しさん@お腹いっぱい。 (ワッチョイ 23a9-XzP0)
16/05/13 22:18:55.92 +Zikhajn0.net
textファイルでもダウンロードすると検出されますねー
このbbbbcってのが不気味だwww
17:名無しさん@お腹いっぱい。 (ワッチョイ 7fec-Gh1g)
16/05/14 01:28:53.51 jPLcypo60.net
今日までビッグサイトで情報セキュリティEXPOが開かれてたけど行った人いるかな?
FireEyeっていうセキュリティ業界では知らない人はいない会社の社長の講演があったけど、ランサムウェアはほとんどの場合、支払えばファイルは復号できるとの話があったようだね
ちなみに、別に支払いを薦めているわけでは全くなく、事実としてそういうことだ、という話ね
本日はマンディアおじさんの話を聴いてきましたが
URLリンク(www.ist-expo.jp)
途中「クレジットカードのセキュリティ強化により金銭目的のサイバー犯罪者たちは一昔前のカーダープラネットのようなところからランサムウェアとビットコインへとシフトしている」みたいな話があって、ああそうだなぁと思いました
ちなみにランサムウェアの身代金支払いについては「支払えばファイルは復号できる、諸々の損害額よりその方が安い」のようなことだけを仰っていて、「支払ってはならない」とは一言も仰っていなかったのが印象的でした
URLリンク(twitter.com)
URLリンク(twitter.com)
URLリンク(twitter.com)
18:名無しさん@お腹いっぱい。 (ワッチョイ 23c9-a45h)
16/05/15 17:46:03.82 Uz9cgVAG0.net
>>17
三上洋も先日、同じようなこと言ってたね
「ランサムウェアがビジネス化して、信用を重視しはじめてきた」
URLリンク(ascii.jp)
セキュリティ業界で論点になっているのが、“ランサムウェアの被害を受けたときに、お金を支払うべきか否か?“という問題です。
(中略)
つまり、テロ行為ではなく金銭目的の犯罪なので、被害者のデータを本当に壊してしまっては意味がないんです。
先ほど解説したように、すでに仲介ビジネスと化しているので、信用が必要なのです。
ランサムウェアを作成した仲介業者からすると『お金を支払ったらちゃんと元に戻る』という風評が広まってくれたほうが都合良いわけです。
現状は変な話、ランサムウェアは信用第一になっておりまして(笑)、ほとんどの場合、お金を支払うことで元に戻っちゃいます。というわけで、このへんは論点になっていますね。
(中略)
それでもどうにもならないときは、支払うことも選択肢の1つかもしれません、ということです。
しかしながら100%元に戻る保証はありませんし、そのお金が犯罪者に渡ってしまうということも考慮に入れるべきですね。
19:名無しさん@お腹いっぱい。 (ワッチョイ 6ba5-XzP0)
16/05/15 18:21:01.93 6E9d0S0x0.net
ランサムウェアの意外な歴史といま猛威を振るう理由
URLリンク(www.itmedia.co.jp)
20:名無しさん@お腹いっぱい。 (ワッチョイ 6ba5-XzP0)
16/05/15 18:22:06.31 6E9d0S0x0.net
ランサムウェアはなぜ流行るのか - ローリスク・ハイリターンの「儲かる」攻撃
URLリンク(news.mynavi.jp)
21:名無しさん@お腹いっぱい。 (アウアウ Saff-O1wh)
16/05/15 18:34:58.68 1wNMi06qa.net
>>前スレ999
横からだが
teslacryptの旧ver.のころはshadow explorerや、recuva+その手のを使って復旧という実例はよく見かけたが、
最近のランサムウェアでそれがうまくいったという人は、海外のforum等でもしばらくみていない
できれば実例を明示してくれないかな
それがないから前スレで何度も中途半端にリピートされてる
22:名無しさん@お腹いっぱい。 (ワッチョイ 6fbd-2R03)
16/05/15 18:38:12.15 FdF5j19p0.net
>>1
乙です
テンプレも更によくなってると思う
ただ、セキュリティスレなのにIPアドレスのことをIPなんて書いてしまってるのだけ玉に瑕だけど
23:名無しさん@お腹いっぱい。 (ワッチョイ 6fbd-2R03)
16/05/15 18:51:32.16 FdF5j19p0.net
>>21に同意
(金払うのではなく)ファイル復元ソフトを使えば元のファルが復元できると前スレで何回も書いてたが、BleepingComputerとか見てもそれでうまくいったって例を最近は(少なくともここ3ヶ月で流行ってるランサムウェアでは)、全然見ない。
そういう手でうまくいってるって例があると何度も言うなら英語でもいいからそういう例を提示してほしい。
24:名無しさん@お腹いっぱい。 (アウアウ Saff-O1wh)
16/05/15 19:11:34.42 1wNMi06qa.net
>>21
自己レス
あったわ、それもcryptXXX
URLリンク(www.bleepingcomputer.com)
shadow explorerはなおもまず最初に試す価値がある、ってことだな
25:名無しさん@お腹いっぱい。 (ワッチョイ 6f2f-jzFy)
16/05/15 19:22:42.52 Tg40FGZw0.net
取り敢えずデータディスクのケーブルぶっこぬいて駆除を始めようと思うんだけど
前スレで教えてもらったesetのホームページから体験版ダウンロードしようとしたら
ダウンロードも出来ないんだけどウイルスに事前に対策されたとか有るのかな?
26:名無しさん@お腹いっぱい。 (ワッチョイ 6fbd-2R03)
16/05/15 19:55:07.79 FdF5j19p0.net
>>24乙です。
とても参考になった。
が、ShadowExplorerを使ってのボリュームシャドウコピーからのデータ復元という方法は、前スレ>>999が説明してる
> 書き換えるという動作は、HDD上 AからA’ への移動+Aのインデックスの削除
で元のファイルAはHDD上残ったままなんだよ
> だから、HDD復元ソフトを使えば、削除前つまりランサムの場合は暗号化される前ファイルが取り出せる
> 当然、あくまでHDDが空いていればの話でHDDの使用率が高いと消されたファイルの場所はどんどん上書きされていくので
復元は出来ないので、使用率の低いHDDの場合には復元できる確率が高まる
とは手法が違うよね。
999の説明は明らかにRecuvaとか(他にもいろいろあるけど)そういう復元ソフトを使ってのファイル復元のやり方を書いているから。
ボリュームシャドウコピーの方法はそれ自体が削除されてた訳じゃないので。
まぁ、新種でもXPはダメだけどVista以降ならこれをまず試して価値はあるはあるということか。
しかしcryptXXX Ver.2って時限式なのかよ。。
27:名無しさん@お腹いっぱい。 (スプー Sd1f-/3cR)
16/05/15 20:16:33.97 SlJbTHvzd.net
なんのランサムウェアに感染したのかは知らないけど、そういうことをするウイルスはあるし、技術的にも簡単にできる
ほかのノートンとか試すとか、それでもだめなら他のPCでインストーラーをダウンロードするか、他のPCでLiveCDを作ってやるとかの方法かな
28:27 (スプー Sd1f-/3cR)
16/05/15 20:18:33.83 SlJbTHvzd.net
>>27は>>25あてだった
しかし、ケーブル抜いてるからダウンロードできないとか、そういうオチじゃないよな?w
29:前スレ984 (ワッチョイ 6b05-8JhS)
16/05/15 20:51:12.47 9EnvKaJD0.net
昼頃ノートンのLiveCDで診察、それは割りと早く終わったけど
その後のカスペルスキーのLiveCDが全然終わらん
あと5時間かかるって表示される
どうにか復旧しますように…10年以上かけて集めたデータが死ぬとか俺も死ねるわ
30:名無しさん@お腹いっぱい。 (ワッチョイ cbd8-Wsqh)
16/05/15 21:10:01.43 5/qKCoP10.net
~paycryptの復元はできますか?
31:名無しさん@お腹いっぱい。 (ワッチョイ 93ec-Wsqh)
16/05/15 21:35:06.92 22QJmxTy0.net
マルチになりますがクリーンインストール前に質問したいです
Trojan-Ransom.Win32.Blockerというランサムウェアに感染したファイルを除去したんですが
この感染ファイルが改竄されたとするならそれを改竄した大本フィルスのほかの実害や破壊活動は
どのような動きになるかご存知の方はいますか?実感できるのが感染ファイル書き換えしかなくて(汗
OS入れなおした後の参考にしたいと思いますのでどうかよろしくです
32:名無しさん@お腹いっぱい。 (アウアウ Saff-O1wh)
16/05/15 22:08:43.01 1wNMi06qa.net
>>26
異なることはもちろん了解してる
でもここで必要なのは役に立つ情報だろうから
HDD/ファイル復元ソフトでいけた(いけることがあった)のは随分昔の話のはず、もし最近の例があるなら更新しときたかったが、たぶん脳内だな
33:名無しさん@お腹いっぱい。 (ワッチョイ 6f2f-jzFy)
16/05/16 00:12:17.69 82DvJDu/0.net
前スレ>>982です
途中経過を
ウイルス対策ソフトが起動すらしないと困ってましたが>>989のツールで駆除出来ました
駆除後は今まで起動すら出来なかったウイルス対策ソフトが起動できるようになったので
現在追加でスキャン中です
後はファイル復元さえ出来れば万々歳なのですが
被害が落ち着いたんでじっくりやっていきたいと思います
レスくれた方ありがとうございました
34:名無しさん@お腹いっぱい。 (オイコラミネオ MMdf-a45h)
16/05/16 00:35:07.34 Ui4TrI5gM.net
>>31
>Trojan-Ransom.Win32.Blockerというランサムウェアに感染したファイルを除去したんですが
これはカスペルスキーで?
検出名が汎用的な名称のように見える
>どのような動きになるかご存知の方はいますか?実感できるのが感染ファイル書き換えしかなくて(汗
ファイルを書き換えられたのなら、ほとんどのランサムウェアの場合、拡張子が変わってと思う。(ごく一部例外はあるが)
拡張子は何に変わってる?
35:名無しさん@お腹いっぱい。 (オイコラミネオ MMdf-a45h)
16/05/16 00:39:53.66 Ui4TrI5gM.net
>>33
>>25の人か
いまのcryptXXXなら復号ツールである程度は復号できるようなので、またうまくいったら報告してほしいな
36:名無しさん@お腹いっぱい。 (オイコラミネオ MMdf-a45h)
16/05/16 00:43:42.85 Ui4TrI5gM.net
前スレの989は多くの人に取って有用だと思われる書き込みだったけど、前スレの最後のほうで書かれて、すぐ過去スレとなってしまって非常にもったいないので、貼り付けておく
37:名無しさん@お腹いっぱい。 (オイコラミネオ MMdf-a45h)
16/05/16 00:47:01.10 Ui4TrI5gM.net
駆除について
・ランサムウェアは、他のタイプのマルウェアと比べて感染の事実に気付きやすくセキュリティソフトの対応も早い
2~3日もすれば一般的なセキュリティソフトで検知できる
・cryptXXXについてはdelayをかけてる、暗号化中に気づく人が結構多いのは多分そのせい(↓にrandamly delayedとあり、62分後にstart)
URLリンク(www.proofpoint.com)
・非常駐タイプのセキュリティソフトは、そもそもウィルス定義ファイルがリアルタイム検知用に作られてないものがかなり多くて対応は遅い
(利用者数からしても一般的な常駐セキュリティソフトより少なく、感染者がいなかったりいても報告が遅れがち、かつメーカー側が即時対応になってないモノが多い)
過去に使ったこともない、慣れてもいない、何に強いかも理解してない非常駐セキュリティソフトをあれこれ試して暗号化を進行させる(PCを稼動して時間を浪費する)のはバカげている
⇒速やかに電源を切って、3日後あたりに、普段使いのセキュリティソフトの定義ファイルを最新に更新して検知、が、
駆動時間が最短(新規にセキュリティソフトを導入する時間が不要、定義ファイルも差分のみの更新で済む)で、かつラクに、ほぼ確実に検知できる方法
*状況によりどうしても待てない人は、dr.web cureitを使え↓
(DLは右、少し下の「個人のお客様(無料)」の『フリーダウンロード』から、xpsp2~可)
URLリンク(free.drweb.co.jp)
*個人情報云々が気になる人はオフラインで使え、というかcryptXXXはbedepと共にC2サーバーと通信する可能性があるので必ずオフラインで
(ほんとはスタートアップ回りや稼動中のプロセスでおかしいのはkill、とか書いてもいいけど初心者には通じんし調べる時間がもったいないだろうしタスクマネージャー立上げ阻害とか普通だし書いてない)
過去に書いてきたことが大部分だけど目立つので
38:名無しさん@お腹いっぱい。 (ワッチョイ 93ec-Wsqh)
16/05/16 02:09:45.16 hsid7xb20.net
>>34
返信ありがとうです
詳細は初心者スレの723で書かせていただきました(URL貼れずすいません)
検出はカスペルスキーです、検出名が汎用的というのはランサムウェアだけではないということですか?
emUninst.exe オブジェクト名:Trojan-Ransom.Win32.Blocker.hyqv オブジェクト種別: トロイの木馬
上記emUninnst.exeは5年前のエロゲのアンインストーラーなので誤検知か?と思ったのですが
3つのアンチウイルスソフトが反応しているので改竄の可能性もあるのかなと思いました
拡張子の改変は自分では見つけられませんでした
39:名無しさん@お腹いっぱい。 (ワッチョイ 23d8-n0YN)
16/05/16 02:14:57.33 MQXueIHV0.net
前スレ>>934です
現在カスペルスキーで最後のドライブを復元中です、画像やrar等の圧縮ファイルは無事元に戻っています。
動画とかも復元してほしいですが、カスペルスキーの公開された日も浅いし今後のバージョンアップか、
新しいツールが出てくるのを期待して待つしかなさそうですね。
40:名無しさん@お腹いっぱい。 (アウアウ Saff-O1wh)
16/05/16 09:45:17.52 8oO/x0n0a.net
>>33
989だけど、おつかれ
いろいろ不明なので推測に推測を重ねることになるが、
3日~1週間程度は毎日、最新のdr.webも継続して使ったほうがいい
理由は、(何がどの程度検出駆除されたかわからんが)状況的にランサムウェアだけでなく他のマルウェアも入っていたっぽいから
最近のcryptXXXの撒き方は単独が多いようだが以前はbedepとセットだったようだし、dridex222その他本物のマルウェアの可能性も
その手のマルウェアなら、DL機能を持つファイルと本体と場合によってあと1つくらいの計2~3を検出するのが普通
全部検出駆除できていればいいが、できてなくてあとから芋づる式に追加検知することもあるから
bedepはネットバンキングマルウェアとして恐らく一番有名なzbotに分類する人がいるくらい各種passwordその他洗いざらい外部送信するし、権限の昇格など自由自在かと思うほどのpotentialがある
(先のproofpointの記事でFigure11以降がcryptXXXの機能のように書いてるが、たぶんbedepのほうのはず
もし仮に、記事になってない項目も含め全部cryptXXX側でやってるとすると、zbotがransomware機能を実装した、というくらいとんでもないことだがいずれにしろ)
まぁ基本的に一段落したらリカバリ+各種pass等変更を推奨、もしネットバンキングをしてるなら即時リカバリ+各所連絡+各種pass等変更を強く推奨
杞憂だといいけどね、正直あんな面倒なものには二度と関わりたくないし
41:名無しさん@お腹いっぱい。 (ワッチョイ 1356-Gh1g)
16/05/16 10:38:13.14 LWwuVcUP0.net
【ランサムウェアによる暗号化されたファイルを普及させる方法】
1.バックアップから復旧させる。
2.Windowsのデータ復元機能を試す。
3.データ復旧ソフトを使い、削除済みデータから復旧を試みる。
4.セキュリティ会社が出している復号化ソフトを試す。
・
・
・
最終手段. 身代金を支払う
いまのところ、考えられる復旧方法はこれくらい?
42:名無しさん@お腹いっぱい。 (JP 0H2f-/3cR)
16/05/16 11:16:12.29 dLFd8BU6H.net
あーぼくの2TBのエロ動画がー(´;ω;`)
43:名無しさん@お腹いっぱい。 (スプー Sd1f-a45h)
16/05/16 12:59:49.36 PlrbN/JTd.net
>>41
一番アホなのは、復号化しますって会社に金を払う事だなw
44:名無しさん@お腹いっぱい。 (JP 0Hff-ZZWg)
16/05/16 13:01:06.38 +8LIZvrhH.net
>>43 選択肢の一つとして間違いは無いけど、オススメは出来ないよな
45:名無しさん@お腹いっぱい。 (ワッチョイ 4b80-etuE)
16/05/16 13:12:35.57 aLG353RY0.net
URLリンク(support.kaspersky.co.jp)
Trojan-Ransom.Win32.Rannoh の感染により影響を受けたファイルを復号化するユーティリティの新しいのが出てたよって既出?
16/05/12 21:22バージョン。
46:名無しさん@お腹いっぱい。 (スプー Sd1f-/3cR)
16/05/16 13:59:03.03 ttIslHxHd.net
>>45
前スレから既出
47:959 (ブーイモ MM1f-/3cR)
16/05/16 19:14:38.86 Glw+5P7VM.net
>>46
1.9.1は前スレ報告しましたが
txt html mp3 動画は復元できず
ただ、今後のverアップで対応されるかも。。。つーかしてください。
48:前スレ984 (ワッチョイ 6b05-8JhS)
16/05/16 20:05:02.09 3WunQfIV0.net
スキャンが終わらない…
復元できないファイルに当たると物凄い時間がかかる
CPUもフル回転でファンがうるさいわ
カスペルスキーさんどうにかツールにのバージョンアップを…
49:名無しさん@お腹いっぱい。 (ワッチョイ 233a-Wsqh)
16/05/16 20:23:48.99 QuHMXPIk0.net
>>48
そのツールは一時停止出来ないの?
FAN回転速度指定するツール導入したらどうかな
FANフル回転とか五月蝿過ぎて辛いっしょw
50:名無しさん@お腹いっぱい。 (スプー Sd1f-UGpq)
16/05/16 20:36:20.17 BbqOYrRCd.net
ランサムウェアの復号ツールが出ただけでも奇跡みたいなもんなのに、時間がかかりすぎるとかCPUがフル回転するからうるさいとか、何様なんだよ・・・
51:名無しさん@お腹いっぱい。 (ワッチョイ cbbd-Wsqh)
16/05/17 00:26:48.76 UGFNszS70.net
>>48
お前みたいなのにTeslaCrypt4.0なんちゃら感染されたらよかったのになw
52:名無しさん@お腹いっぱい。 (アウアウ Saaf-yO95)
16/05/17 00:48:36.68 Z/oR6Lr6a.net
ほんまやわw
TeslaCrypt、Locky、Cerberの犠牲者たちからしたら、そんなええもんタダで使っててなに贅沢なこと言うてんねん!
って感じやな
カスペルスキーもユーザーには10ドル、非ユーザーには30ドルくらいで売ればよかったのにw
53:名無しさん@お腹いっぱい。 (ワッチョイ cbbd-Wsqh)
16/05/17 00:55:33.09 UGFNszS70.net
あとな、カルテのために容易く600万円払った病院よw
その600万円は新しいランサムウェアー作る研究費になってるんだぞw
だから複合化ツール作ってくれてるボランティア企業たちにも600万円ずつ払えよw
54:名無しさん@お腹いっぱい。 (ワッチョイ 6f6a-etuE)
16/05/17 02:39:42.46 SCEYO42i0.net
>>53
復旧が遅れると分単位でそれくらいの損害が発生する職場を想像できないお前は、ヤバいな。
55:名無しさん@お腹いっぱい。 (ワッチョイ cbbd-Wsqh)
16/05/17 03:02:12.41 UGFNszS70.net
>>54
何を言ってるんだこのバカw
身代金の6万円でもな、かき集めたらかなりの金額になるんだぞw
その金で新しいランサムウェアーの開発されたら、いたちごっこになるw
複合化ツール作ってくれてるボランティア企業たちは後手後手に回ってるとおもうしw
新しいランサムウェアーの開発のスピードが加速したらボランティア企業たちですら間に合わなくなるのではw
それにランサムウェアーにやられた者全員が損害を被ってることぐらい知ってるよw
病院が支払った600万円が何に使われるのか知らないお前もヤバイよw
56:名無しさん@お腹いっぱい。 (スプー Sd1f-kjl4)
16/05/17 03:24:06.15 Rvk6te2jd.net
言いたいことは分からんでもない。
つーか、まぁ分かる。
しかしボランティア企業、ボランティア企業って連呼してるけど、別にカスペルスキーはボランティアでツールを無償公開しているわけではない。
ビジネスの一環としてやってるだけ。そこの認識から間違ってる。
あと、複合化と何度も書いてるけど、合体させてるわけじゃない。
暗号化に対しての復号化な。
57:名無しさん@お腹いっぱい。 (JP 0Hff-ZZWg)
16/05/17 09:32:32.21 4iZpH7ZcH.net
>50 ランサムウェアに感染する人って山登るのにハイヒールで行くような感じだよな
自分が悪い・自分の落ち度って自覚が皆無
58:名無しさん@お腹いっぱい。 (ワッチョイ b758-Pwv4)
16/05/17 09:40:00.21 ROA90FPl0.net
具体的な感染経路がなかなか書き込まれないのはなんか気持ち悪くて嫌だな
59:名無しさん@お腹いっぱい。 (ワッチョイ 1380-/3cR)
16/05/17 10:17:25.85 3e1GqQPj0.net
感染経路が分かる人間はそもそも感染しないんじゃ
60:名無しさん@お腹いっぱい。 (アウアウ Saaf-XzP0)
16/05/17 13:05:09.62 uU5RHD43a.net
いまこのスレではcryptXXX V2の報告が多いけど、このランサムウェア、感染した後、実際にファイル暗号化の活動を始めるのは数時間後~1週間後の間の中でランダムの経過時間で発動するようになってるらしく、どこからウイルスもらったのか分かりにくくしてるからなぁ
61:名無しさん@お腹いっぱい。 (ワッチョイ d36d-z11m)
16/05/17 15:21:37.06 nCQxO0f00.net
従来どおりメール添付とエクスプロイトキットでしょ
62:名無しさん@お腹いっぱい。 (スプー Sd1f-/3cR)
16/05/17 16:27:21.40 NGbD9QUXd.net
そんな大前提の話はみんな分かってる
メールだと自分で怪しいメールの添付ファイルに思い当たりがあるはずなで、そうじゃないケース、ここで報告されてるケースはほぼそうだけど、どこかのサイトから感染した、でもそれがどのかわからんって話でしょうが
まぁ上で「経路」と書いてるから、そう突っ込みたいのは分かるが
63:名無しさん@お腹いっぱい。 (ワッチョイ d36d-z11m)
16/05/17 17:39:04.86 nCQxO0f00.net
現状で注意するべきはエクスプロイトキットの動向
そこわかって対策できてんならサイト特定とか言わんでしょ
よっぽどの暇人なら別だが
64:名無しさん@お腹いっぱい。 (アウアウ Saff-O1wh)
16/05/17 17:53:36.97 bPPFNm7aa.net
>>24 追加 旧のcryptXXXだが、読み飛ばしてた
URLリンク(blog.kaspersky.com)
試す順番が逆だと思うが
まぁたまたまこれだけ残ってたのか、jpgだけいけたのか、かかる手間がカスペのツールの方がラクなのか、
そもそもそのカスペのツールありきで頭がそこまで回ってないのか、知らんが(どうも最後のが当たってそうな気が)
65:名無しさん@お腹いっぱい。 (アウアウ Saff-O1wh)
16/05/17 18:25:24.59 bPPFNm7aa.net
あとカスペのツールで.○○のファイルがダメだったとか出来なかったのがあるとか書いてる人は、もうちょっと調べたらいいんじゃないかな
向こうのforum等で、明らかに対応できてる形式だったりするし
俺の予想では2バイト文字なり文字エンコードなりの話だと思うけどね
調べて、直なり日本のカスペ経由なりで報告要望すればいいのに
困ってるという割りには、「対応して欲しい」とか「バージョンアップを待ってます」とかこんなところに書いてるさまが、
ただな~んもせず口開けて待ってるだけの子鳥みたいにバカっぽく見えて、読むとイライラする
(ちょっと失礼か、子鳥に)
66:名無しさん@お腹いっぱい。 (ワッチョイ b3fa-fA30)
16/05/17 19:26:57.17 Bx4kx/l70.net
ExploitKitが何かイマイチ分からない
67:名無しさん@お腹いっぱい。 (ワッチョイ dfd9-Wsqh)
16/05/17 19:35:29.17 QMemS61A0.net
エクスプロイトとは?なぜそんなに恐いのか?
URLリンク(blog.kaspersky.co.jp)
68:名無しさん@お腹いっぱい。 (ワッチョイ 0f21-tdki)
16/05/17 19:56:43.51 mNiRKumD0.net
>>54
そんな状況にも関わらずランサムウェアを拾う程度のリスク管理および教育水準なら
他にも散々損害が発生する可能性を想像できないお前は、ヤバいな。
69:名無しさん@お腹いっぱい。 (オイコラミネオ MMdf-/3cR)
16/05/17 20:28:43.73 wzEjtXjUM.net
>>67
windowsとflashとjavaのアップデートやっとけってことね
70:名無しさん@お腹いっぱい。 (ワッチョイ 6f2f-jzFy)
16/05/17 21:17:04.91 SJlkwMFJ0.net
前スレ>>982です
復旧(データの回復)まで出来たので報告
カスペスキーの復旧ソフトで回復できました
ただバージョンが違うのか前スレで書かれてたのと動作が全然違ったので軽く報告
前スレでは同じファイルで感染後と感染前のデータが必要と書かれてましたが
今回試したところ感染後のファイルだけを最初に読み込ますだけで復旧動作が始まりました
ただまだ完全にウイルスを駆除できていないようでネット接続すると
タスクマネージャ上でnotepad.exeのプロセスが増殖しまくったりと不可解な症状が発生したままです
esetも未だにダウンロード出来ず理由はftpプロトコルが何かの理由で妨害されているようです
71:名無しさん@お腹いっぱい。 (アウアウ Saff-O1wh)
16/05/17 22:21:57.48 bPPFNm7aa.net
>>70
それアカンヤツ、明らかにbedep系のが入って(残って)いる
conhost.exeやcmd.exeは動いてないか?
スレリンク(sec板:175番)
の2の系統の新種だな
基本は>>40に書いたとおり(想像通り)だが、もっと早急な対処(リカバリ)が必要
今更遅いがflashが古いかjavaが古いままだろ?
一から環境を作り直せ、それが一番の近道
ジタバタするとどうなるかは、そのスレを読めばわかる、もう関わるのはゴメンだ
リカバリ後のアドバイスなら乗るが(これにレスしてくれ)、それ以外はスルーさせてもらう
72:名無しさん@お腹いっぱい。 (ワッチョイ b3fa-fA30)
16/05/17 23:04:26.09 Bx4kx/l70.net
>>67
ありがとう
大雑把には分かったけど難しいな・・・
73:名無しさん@お腹いっぱい。 (アウアウ Saaf-1Mko)
16/05/18 00:25:08.69 x8k4fz1ja.net
Bleeping Computerでも紹介されていた
URLリンク(www.bleepingcomputer.com)
ランサムウェアの種類を特定、現時点で復元の方法があるかどうかの確認ができるサイト、ID Ransomwareが日本語にも対応した。
URLリンク(id-ransomware.malwarehunterteam.com)
74:名無しさん@お腹いっぱい。 (ワッチョイ cbbd-Wsqh)
16/05/18 00:27:36.21 B5fpPgVX0.net
>>70
早くリカバリしろw
ネットに繋ぐなバカw
75:名無しさん@お腹いっぱい。 (アウアウ Saaf-1Mko)
16/05/18 00:29:50.02 x8k4fz1ja.net
なお、暗号化されたファイルをアップロードする場合は個人的な情報の含まれないファイルにすることを推奨
>>30
>>73ので確認できるかと思う。
76:名無しさん@お腹いっぱい。 (ワッチョイ dfd9-Wsqh)
16/05/18 00:46:47.55 77XoPiRz0.net
>>73
これテンプレ入りしたほうがいいな
すげー有用
77:名無しさん@お腹いっぱい。 (ワッチョイ 23d8-qHFH)
16/05/18 04:06:21.59 hgrQ6zjs0.net
前スレ934です。
カスペルスキーのおかげで画像やzip,rarなど圧縮ファイル類は復元しました。
復元できていないファイルはtxtと動画関係(mp4,mp3,flvなど)他にもちらほらありました。
カスペルスキーのホームページのコメントとかも翻訳しながら調べましたが、
まだ有力な情報がありませんでした。(自分なりで調べた結果)
カスペルスキーにお問い合わせして聞いてみたほうがいいのだろうか。
動画が直ったーって人まだいない…よね?
78:名無しさん@お腹いっぱい。 (ワッチョイ 233a-Wsqh)
16/05/18 10:51:59.79 x+ghUmqd0.net
>>73
ぐっじょぶ
79:名無しさん@お腹いっぱい。 (アウアウ Saff-O1wh)
16/05/18 13:00:52.59 5abeSCQEa.net
>>66
エクスプロイトキットとは?
URLリンク(blogs.yahoo.co.jp)
これまで目にしてきた中で、最もわかりやすかった(そして正確)のはこれ↑
一言でいえば、
『ブラウザ経由の”ウイルス配信システム”』
(そのPC内の各種脆弱性を検索検知し、見つけた脆弱性群を利用してマルウェアを送り込む)
80:名無しさん@お腹いっぱい。 (ワッチョイ 6f2f-qx4i)
16/05/18 15:40:33.08 m5Jp6jg30.net
カスペルスキーに問い合わせたなら返信結果をスレに書き込んでくれると情報共有されて皆幸せになれる
81:名無しさん@お腹いっぱい。 (ワッチョイ 23d8-qHFH)
16/05/18 15:54:52.75 hgrQ6zjs0.net
前スレ934です。
日本のカスペルスキーにメールしてみたけどまだ何も帰ってきてないです。
即答ってわけにもいかないだろうし、まだ見てないのかもしれないし。
まぁ何かわかるといいんだけどね。
82:名無しさん@お腹いっぱい。 (アウアウ Saaf-a45h)
16/05/18 17:22:43.64 ILSmSskja.net
ランサムウェアで社内のファイルサーバが40ギガやられてもう戻せん。。
URLリンク(twitter.com)
悲惨だな。。
83:名無しさん@お腹いっぱい。 (アウアウ Saaf-a45h)
16/05/18 17:26:38.44 ILSmSskja.net
ランサムウェアが流行っているんで感染を避けるために2ちゃんねるを見るのをやめることにした。狼板、乃木坂板、大学生活板、海外サッカー板、競馬板、その他の板のみなさん、バッハッハーイ。
URLリンク(twitter.com)
2ちゃんねるを見てるとランサムウェアに感染するらしい
みんな気をつけよう!
84:名無しさん@お腹いっぱい。 (アウアウ Saff-O1wh)
16/05/18 17:48:00.36 2Us1FXsca.net
多くの人には通じてると思うけど、書いといた方がいいんだろうな
>>65に補足
同じ.○○のファイルで復号できたものとできなかったものがある、ということは、その2群の間に何らかの違いがあるはず
ファイルサイズとか、その他諸々
その違いを調べようとする人がいないのが不思議
いや調べてみたけどどうにもわからなかった、ならわかるけどそれを窺わせる表現も全く見かけないし
すべて貴方任せなんだな、と逆に感心する
で、向こうのforum等で、同じファイル形式で復号可/否があった、という表現は自分は一度も見かけていない
95%云々とか書いてる人はいるけどたぶん暗号化された全ファイルのうち、という意味で使ってるっぽいし
で、ここから類推できる(というか誰でも思いつく)のはまず2バイト文字・文字エンコード、と思っただけな
まその言葉の意味も知らなければ通じんのも・・・まいいか、海外製ツールだと昔からよくあることだけど若い人なんだろう
以上想像な、俺自身は感染してないから知らん
ちなみにabout 40 popular file formats云々ということは、ファイル形式によって暗号化その他の処理を変えていることを示唆しているわけで、
個人的にはむしろそこに関心があるんだけどその40さえ最初に公表しとかないカスペとしては、犯人側に余計な情報を与えたくないのか同業他社にか別の事情か、
まぁ明らかにされることは少なくともすぐにはなさそうだ
85:名無しさん@お腹いっぱい。 (アウアウ Saaf-1Mko)
16/05/18 20:15:52.06 ILSmSskja.net
>>84
>ファイルサイズとか、その他諸々
>その違いを調べようとする人がいないのが不思議
>いや調べてみたけどどうにもわからなかった、ならわかるけどそれを窺わせる表現も全く見かけないし
そもそもIT/PCリテラシーの高い人はランサムウェアにもそんなに感染しないんじゃない?
IT/PCリテラシーの低い人が感染してるケースが多い
まぁ、当たり前のことなんですが
じゃあ、そのIT/PCリテラシーの低い人がそういうことが出来るのか?というと難しいでしょう
そういうことが出来る人はそもそも感染しづらいでしょう
...という鶏が先か卵が先かという話になってしまう
84氏は非常に優秀な人だと思うけど、ここは感染してから駆け込む被害者
(そういや英語ではvictimという言葉をよく使うけど日本語ではウイルス関係ではvictim的な用語はあまり使われないね、ただ感染者という言い方が多いような。なんでだろう?)
が多いので、自分と同等レベルを要求するのは正直酷かと
86:名無しさん@お腹いっぱい。 (ワッチョイ 7fec-TKH1)
16/05/18 22:44:28.90 JSqo7BNO0.net
ランサムウェア Petya & Mischaに感染してみました。
URLリンク(csirt.ninja)
ユーザーアカウント制御で、「変更を許可しますか?」で「はい」を選択するとドライブ丸ごと暗号化(実際にはMBRか)
「いいえ」を選択してもユーザーファイルの暗号化
おっそろしいなぁ。
書かれてないけど、万が一こうなったら、どちらか選ぶ前に電源落としたらいいのかな。
87:名無しさん@お腹いっぱい。 (アウアウ Saff-O1wh)
16/05/18 22:49:49.35 qLToa3oKa.net
>>85
いや単に、
・「2バイト文字」「文字コード」が通じてない
・(自分のファイルを)「調べる」の意が伝わらず「世間の情報を検索する」と解釈された
の2点にショックを受けた、というだけなんだけどね
確かに1つ目が意味わからなくて65のその行を読み飛ばせばそう解釈されるか、と感心した、ということ
IT literacyとか関係ない
必死なら、意味がわからなければ2バイト文字やコードくらいすぐ検索して理解できるだろうし、
もう面倒だからついでに書いちゃうけど向こうではmp3やdocも復号できてるのに何が違うんだろうとかさ、
(いかにも文字コードとかタイトル名とかありがちな引っかかり方しそうだし)
こことあっちの全部のファイル形式を付き合わせたわけじゃなく斜め読みでも「あれ?」と気づくわけ
所詮ここ2chだし、しかもヒトゴトなんだけどね、大げさに聞こえるかもしれないけど、
日々生きていく中での姿勢が根本的に違うんだな、と
かたや本人たちなりに一生懸命「調べて」て、
こちらは淡々と書かれてる内容を見てちょこっと頭ひねってみたり、とね
カスペにいったいどんな問合せをしたんだろう、とかゲスな興味もあったりなかったり
書かれたところで読む時間もムダと最初からわかってるが
ま失礼
これきりにして、
また基本ロムって、気の向いたときに情報貼ったり貼らなかったり、に戻るよ
88:名無しさん@お腹いっぱい。 (スプー Sd1f-Z1aV)
16/05/18 23:08:54.87 IYzuEntId.net
なにもそんな難しい話しじゃない
感染した人はとにかくさっさとファイルを復元する方法を知りたいんだよ
89:名無しさん@お腹いっぱい。 (ワイモマー MM28-WK80)
16/05/19 07:52:49.23 UWCviRYAM.net
>>73
ここに書いてあるID Ransomware やってみた。
cryptxxx, cryptxxx 2.0, chimera の3つが表示された。
crypt系は復号可能、chimeraは復号する方法がありませんとの記載。
そしてカペルスキーのRannohDecryptorを実行。
(同じ拡張子でも)復号されるものとされないものがある。(まだ実行中)
日本語のファイル名のやつも復号されているものがある。
復号されるものもとされないものの違いがわからず。
90:名無しさん@お腹いっぱい。 (ワッチョイ 32ec-V4Zo)
16/05/19 09:15:15.08 FV++SqyS0.net
>>89
3種類ものランサムウェアに感染した(していた)ということですかね?
91:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/19 13:01:51.91 Fuvq8+9pa.net
TeslaCrypt shuts down and Releases Master Decryption Key
URLリンク(www.bleepingcomputer.com)
ビッグニュースなので上げるよ
ちょっとまだ頭しか読めてないけど取り急ぎ
92:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/19 13:23:48.10 Fuvq8+9pa.net
>>91
eset版
ESET releases new decryptor for TeslaCrypt ransomware
URLリンク(www.welivesecurity.com)
93:名無しさん@お腹いっぱい。 (ワッチョイ d305-0eWo)
16/05/19 13:44:30.53 PTD+5Ne70.net
URLリンク(techtalk.pcmatic.jp)
ファイルが救えそう?
94:名無しさん@お腹いっぱい。 (アウアウ Sab5-7Gsa)
16/05/19 14:28:23.23 nS3ZMbrta.net
英語が全然読めない人向けに簡単に。
TeslaCryptの開発者が自主廃業を決意
すみませんでした、とサイトにマスター復号キーを掲載!
これによって(身代金を払う以外に)不可能だったTeslaCrypt 3.0 4.0にやられたファイル復号が可能な状態になる
現在、これを利用したTeslaDecorderの新バージョン、ESETの復号ツール等、複数の復号ツールがリリースされている状況
95:名無しさん@お腹いっぱい。 (ワッチョイ 32ec-V4Zo)
16/05/19 14:37:26.10 FV++SqyS0.net
>>91
GJです!!
素晴らしい
96:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/19 14:45:29.83 1U7ZPkvUa.net
>>91
TeslaCryptによって暗号化されたファイルの復号手順メモ | (n)inja csirt
URLリンク(csirt.ninja)
97:名無しさん@お腹いっぱい。 (ワッチョイ e662-xKv1)
16/05/19 15:23:18.74 KjSzWy1h0.net
「偽Windows Update発動→アップデート失敗→偽公式サポートへ電話」のフルコンボで金銭を要求する巧妙な新型ランサムウェアに注意
URLリンク(gigazine.net)
98:名無しさん@お腹いっぱい。 (ワッチョイ d3e0-7Gsa)
16/05/19 17:52:18.94 jndgrcxo0.net
Lockyに感染した。身代金払うんでレポートしようか?
99:名無しさん@お腹いっぱい。 (ワッチョイ 5bbd-xKv1)
16/05/19 19:52:23.11 uG9KZKhb0.net
TeslaCryptってマジ!
しばらく様子見てから複合化してみるけど
エロ動画捨てて業務用データや家族の画像にも被害が出て
髪の毛薄くなって病気が悪化したぐらいだ
でも複合化できるのなら許すことにする
TeslaCryptの開発者よ
改心してもうこのような悪さはしないでくれ
>>98
レポートお願いします
100:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/19 20:57:07.89 k4CkADzJa.net
>>91
「ごめん!」TeslaCrypt開発者が復号キー公開 - 無償復号化ツールも登場
URLリンク(www.security-next.com)
101:名無しさん@お腹いっぱい。 (ワッチョイ d305-0eWo)
16/05/19 21:19:42.53 PTD+5Ne70.net
>>91
これ拡張子.cryptは対応してない?
キーのextensionにcryptが無いぞ
102:名無しさん@お腹いっぱい。 (アウアウ Sab5-7Gsa)
16/05/19 21:42:12.92 /6IVwvd2a.net
>>101
.cryptは所謂cryptXXXで、TeslaCryptとは違う
103:名無しさん@お腹いっぱい。 (ワッチョイ d305-0eWo)
16/05/19 21:56:14.99 PTD+5Ne70.net
>>102
がーん…
104:名無しさん@お腹いっぱい。 (アウアウ Sab5-7Gsa)
16/05/19 22:22:50.43 8Rnerucga.net
>>103
cryptXXXならカスペルスキーが別ものの復号ツール出してるけど、それで復号できなかったということ?
105:名無しさん@お腹いっぱい。 (ワッチョイ 436d-xKv1)
16/05/19 22:27:52.63 SigMeLQM0.net
URLリンク(canon-its.jp)
106:名無しさん@お腹いっぱい。 (ワッチョイ b082-xKv1)
16/05/19 22:40:38.98 EO1nObAo0.net
現在グイグイ復号中<暗号化mp3
ファイル捨てなくてよかった(^o^)
107:名無しさん@お腹いっぱい。 (ワッチョイ d305-0eWo)
16/05/19 23:15:18.55 PTD+5Ne70.net
>>104
うん。txt、mp4、xmlはスンともしない。
mp3、jpgは9割方復号してます、有り難い事です。
108:名無しさん@お腹いっぱい。 (ワッチョイ 416d-87cp)
16/05/19 23:20:13.68 phhZYOMR0.net
まさかの展開でビックリだわ
109:名無しさん@お腹いっぱい。 (スプー Sd78-Aa7V)
16/05/19 23:33:29.85 mNu8j4F2d.net
まさか、開発者が、ごめんね、もうやめるよって言ってマスター復号キーを提供する流れになるとは、、、
逮捕されたわけでもないのにこの結末は誰も予想してなかったんじゃないか
>>98
興味あるのでぜひお願いしたい
110:名無しさん@お腹いっぱい。 (ワッチョイ 712f-qI0L)
16/05/19 23:34:23.26 r1/5BL620.net
>>98 マジでお願いします!
111:名無しさん@お腹いっぱい。 (ワッチョイ bad9-xKv1)
16/05/19 23:45:21.54 VuJc+Eo20.net
まあ金稼ぐためにランサムウェアやってるわけだし金が溜まればリスク犯して開発し続ける理由もないわな
112:名無しさん@お腹いっぱい。 (ワッチョイ 5bbd-xKv1)
16/05/20 01:08:40.07 nvO48KjP0.net
ESETので試しにやってみたら複合化できてる
何でもかんでもメモ帳にメモっていたから
コイツやられたのかなり痛かったな
確定申告のはもう作り直した後なので不要だけど
大事なデータが元に戻るのはうれしい
113:名無しさん@お腹いっぱい。 (アウアウ Sab5-z1cw)
16/05/20 01:22:07.84 d/B7ZS02a.net
>>111
したり顔で解説してるけど、TeslaCrypt3.0/4.0はcryptXXXのように暗号が破られたわけじゃないから、別に「開発し続ける」必要は別になかったんだよ。
これは、技術的な問題ではなく、アフィリエイトの問題ではないかと思っている。
既に上で貼られているリンクだけども、
URLリンク(news.mynavi.jp)
URLリンク(ascii.jp)
URLリンク(csirt.ninja)
を読めば、現在のランサムウェアが完全にアフィリエイトと化しているのがわかると思う。
ランサムウェアの開発者とそれをばら撒いている奴らは別々で、ばら撒いている奴らは2000~3000ドルくらいでパッケージとしてランサムウェアのシステムを一式買う。
被害者が支払った金額を購入者と開発者やシステム維持をしている者達で分け合うが、cryptXXXは購入者がばら撒いたランサムウェアから感染した被害者の払った金額が大きくなればなるほど、購入者の取り分(割合)も上がっていく
購入者にとって非常に金銭的に魅力的なアフィリエイトプログラムを提供し始めたため、流行りがTeslaCryptからcryptXXXに移っていき、TeslaCryptの開発者の収入も減ってしまい「もういいや」とマスター復号キーの提供に至ったのではないかと予想している。
実際、ESETの研究員がどういう口説き文句で決断させたのかはわからないが。
114:名無しさん@お腹いっぱい。 (アウアウ Sab5-z1cw)
16/05/20 01:23:59.99 d/B7ZS02a.net
>>98
ぜひよろしく
>>112
ああ、確定申告の人か
よかったね、ファイル取り戻すことができて
115:名無しさん@お腹いっぱい。 (アウアウ Sab5-z1cw)
16/05/20 01:29:40.24 d/B7ZS02a.net
ちなみに、cryptXXXの暗号がカスペルスキーに破られたことについては完全に開発者の予想外だったと思う。
すぐに修正バージョンを出したけど、またカスペルスキーに破られて・・・
でもまたたぶん修正バージョンが出るいたちごっこ
暗号的、技術的にはTeslaCryptの開発者のほうが優れていたかもしれないけど、マーケティングでcryptXXXに負けたということかもしれない
116:名無しさん@お腹いっぱい。 (ワッチョイ 5bbd-xKv1)
16/05/20 01:53:10.47 nvO48KjP0.net
>>114
ありがとう
とりあえず、すぐに必要なデータだけは複合化しました
残ってるデータはこれからゆっくりと複合化していきます
では、おやすみなさい
117:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-MTTD)
16/05/20 03:14:54.67 9Ok0D2wf0.net
誰かお願い 。
全スレにあがっていた
URLリンク(downloadity.net)
Decrypter.zip
ローダに上げてくれない ?アンケート終わってもダウンロードできないんだ。
cryptxxxなんだけど
脅迫文のtxt.bmp.htmlと同名ファイルの.key情報がRecuvaしたら見つけた。
delされていたということは消滅時に消えるファイルなのかも?
これ使って復元できるかもしれないんだ
118:名無しさん@お腹いっぱい。 (アウアウ Sab5-V4Zo)
16/05/20 03:37:04.86 d/B7ZS02a.net
>>117
あれはcerber用だからcryptXXXには関係がないです
119:VHR12JC10V1 (ワッチョイ 51f2-EVGO)
16/05/20 04:26:20.62 L9K0Gdk10.net
参考
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
Qihoo-360 QVM41.1.Malware.Gen
三菱
VHR12JC10V1
49913CMC MAG. AM3
48068790
TDK
DR120DMC10UE
4906933604369
Manufacturer ID: CMC MAG. AM3
120:名無しさん@お腹いっぱい。 (ワッチョイ bdd8-FRyb)
16/05/20 05:42:34.67 +XbOdMf40.net
なにやらすごいことになってるなぁ、元に戻った方々おめでとうです。
cryptXXXもtxtとmp4が直ればなぁ(´・ω・`)ショボーン
121:名無しさん@お腹いっぱい。 (ワッチョイ e62f-OoDr)
16/05/20 07:16:28.47 XaXGxhKW0.net
vvvのやつは復元される?
122:名無しさん@お腹いっぱい。 (ワッチョイ 32ec-7Gsa)
16/05/20 10:05:49.79 ELYOHOAs0.net
>>121
vvvはもうだいぶ前から復号ツールできてますやん
つーか、このスレに書いてることすら読まないやつ(しかもこのスレなんてまだ100ちょっとしかないのに)多いな
123:名無しさん@お腹いっぱい。 (ササクッテロ Spbd-V4Zo)
16/05/20 10:12:09.01 txOkGaT4p.net
Attachment.zipってランサムウェアなんかな?
よくiPhone宛に届くけど
124:名無しさん@お腹いっぱい。 (ワッチョイ 32ec-7Gsa)
16/05/20 10:14:40.47 ELYOHOAs0.net
>>123
VirusTotalで調べてみたら?
ランサムウェアを呼び込んでくるnemucod系ウイルスの可能性が高そうだけど
125:名無しさん@お腹いっぱい。 (ササクッテロ Spbd-V4Zo)
16/05/20 10:25:16.38 txOkGaT4p.net
>>124
ググったら直ぐに出てきたわ
すまそ
126:名無しさん@お腹いっぱい。 (スプー Sd78-MTTD)
16/05/20 11:34:39.29 /sobmlz0d.net
cryptにかかったファイル復元したいんですが、ファイルサイズ変わってて出来ないです…
詰みましたかね?
暗号化されてない一年以上更新してない同ファイルは持ってるのに…
127:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/20 12:21:33.93 A8mTz8r9d.net
>>126
・感染したのはいつ?
・カスペルスキーの復号ツールの最新版
URLリンク(media.kaspersky.com)
を使ってる?
128:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/20 12:45:07.93 u03KuuK+a.net
>>113
妄想逞しいな
ただ合せにいくなりdiscountすればいいだけ
先行者が、その利益とルート等を背景に、新参の芽を摘むのにダンピングなんてよくある話
今回のteslacryptの件については色々想像(妄想)しうるが、
それが、少なくとも根本の理由とは考え難い
129:名無しさん@お腹いっぱい。 (スプー Sd78-MTTD)
16/05/20 12:49:53.01 /sobmlz0d.net
>>127
感染したのは今週の17日で、今朝カスペルスキーのサポートから落としました
感染したディスクは、ハードディスクだけとってUSBっぽくして(リムーバブルディスクとして)復旧試そうと思ってるんですが…
130:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/20 15:28:42.15 A8mTz8r9d.net
>>129
なるほど
少しおもうところがありますが、>>73を試してもらえませんか?
暗号化されたファイルをアップする場合は個人的な情報は含まれないファイルで
復元できるか出来ないか判定が出るはずなのでどう出るか教えてほしい
131:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/20 15:33:47.79 A8mTz8r9d.net
あと、ランサムウェアの種類とバージョンも書かれていれば。
132:名無しさん@お腹いっぱい。 (ワッチョイ 1cd8-xKv1)
16/05/20 15:41:56.83 mt061q0i0.net
RannohDecrypto
を使おうと思ったけど2.7MBのcryptされちゃったやつ、オリジナルの2.7MBのファイル
の順で食わせようと思ってもカスペルスキー側にファイルサイズが違うって言われる
サイズは22KBだけ違うんだけど、これってファイルサイズが全く同じでないと動かないのかな
133:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/20 15:46:37.78 A8mTz8r9d.net
>>132
>>73を試して、結果の説明を教えてくれ
134:名無しさん@お腹いっぱい。 (ワッチョイ bc58-7Fm9)
16/05/20 15:59:21.43 Cn3nLWOJ0.net
>>115
事実は小説よりも奇なり、とはよくいったものだなぁ
135:名無しさん@お腹いっぱい。 (ワッチョイ 1cd8-xKv1)
16/05/20 16:09:13.69 mt061q0i0.net
>>133
3つの内XXXとXXX2の方で復旧可能って言われる
けど詳細みてもそのRannohDecrypto.zip勧められるだけなんだよね・・・
136:名無しさん@お腹いっぱい。 (アウアウ Sab5-9mqF)
16/05/20 16:20:13.80 JVk52+wxa.net
rannohdecyptorのバージョンを確認して書いてみ
古い方は同ファイルの暗号化非暗号化二種類を要求する
新しい方は暗号化ファイル一つ指定だけで動くはず
137:名無しさん@お腹いっぱい。 (ワッチョイ 1cd8-xKv1)
16/05/20 16:29:00.96 mt061q0i0.net
URLリンク(support.kaspersky.com)
ここで見てもRannohDecryptorの最新は1.9.1.0、使ってるのと同じ
このバージョンで普通に2種類ファイル要求されますけど・・・
138:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-MTTD)
16/05/20 16:39:37.99 9Ok0D2wf0.net
暗号化されたのを喰わせるだけでおk
逆やると2ファイル要求されてすぐcompleteするバグっぽい動きする。
139:名無しさん@お腹いっぱい。 (スプー Sd78-MTTD)
16/05/20 17:25:09.77 /sobmlz0d.net
>>130
3つでてきました。
復元可能判定で
cryptXXX
cryptXXX 2.0
復元不可能判定で
chimera
です。
これってこの内のどれかだよーってことですか?それともこれら3つで暗号化されちゃいましたよってことなんでしょうか?
chimeraが復元不可能判定なんでカスペルスキーのツールで駄目なんでしょうかね…(T-T)
140:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/20 19:45:57.41 A8mTz8r9d.net
>>135
>>139
BleepingComputerの掲示版とかみてみると、数日前からカスペルスキーのツールの最新版1.9.1.0で復号出来ないと言ってるひとが増えていた
17日に感染したということでしたら、カスペルスキーがcrypt2.0へ対応したツールにアップデートしたのが12日なので、このツールが効かない新バージョンにやられた可能性がある
>>73のはまだ対応できないだけかも。。
まだ現時点では確定したことが不明だけど、少し経ったらもっと情報が出てくると思う。
ちなみに、cryptXXXは凶悪なので新型とすれば可能ならは>>37の手順のように数日置いてから駆除したほうがいいかと。
データは>>24にあるように、Vista以降ならShadow Explorerで復活できるかもしれない
141:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/20 20:27:07.67 HyzNKHX0a.net
URLリンク(blog.kaspersky.co.jp)
のコメント欄にあるように、
カスペは5/20夕刻(多分日本時間)時点でCryptXXXに更なる新型を確認、現時点で復号不可
ということ
それにしてもどいつもこいつも言語障害かと思うほど表現が拙くてイライラする
前は260bytes増えて(固定長)いたが、今度は可変長? かさえよくわからん
そんなだからもう3日くらい経つのにカスペに新型と認識してもらえないんだよ
142:名無しさん@お腹いっぱい。 (ワッチョイ bc58-7Fm9)
16/05/20 22:14:01.65 Cn3nLWOJ0.net
そのうち、復号化専用ソフトが発売されたりして
新しい暗号化にもアップデートで対応
143:名無しさん@お腹いっぱい。 (オイコラミネオ MM14-V4Zo)
16/05/21 00:48:59.64 O7nfB/iwM.net
>>141
>そんなだからもう3日くらい経つのにカスペに新型と認識してもらえないんだよ
気持ちは分からんでもないが、さすがにそれは関係ねーわw
海外のほうが症例がもっとあるわけだからな
まぁ、しかし、有用なレスもらっても無視とか確かになんなんだろとは思う
144:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/21 01:48:52.23 juG/P65Ha.net
>>143
URLリンク(blog.kaspersky.co.jp)
のコメント欄の、19日までと20日のYuko Hayashi氏の書き込み内容の違い(日本のカスペの人が本国に確認せずコメントすることはさすがにないだろ)、
URLリンク(blog.kaspersky.com) のコメント欄、
URLリンク(www.bleepingcomputer.com) このあたり以降今はP19まで
をざっと読んで、それでも
> 気持ちは分からんでもないが、さすがにそれは関係ねーわw
と言えるんなら何も言わん、ただ黙って言語能力の低い人だなと思うだけだ
ここも含め、それらの書き込んだ被害者ほぼ全部を指して「どいつもこいつも」云々ということ
bleepingcomputerなんて未だにdecryptorの使用法ミスと思っての書込みが出る始末
俺自身、141のurlを見るまでは半々の確率でどっちなんだ、と思ってた
> まぁ、しかし、有用なレスもらっても無視とか確かになんなんだろとは思う
こういうのは別に気にはならん、相手の都合もあろうし理解力に応じた程度にしかどうせ伝わらん(87のように)し、
そもそもこちらが好き勝手書いてるわけだから
ただ見てる人は見てるし、
例えば>>117の後半は他で見たことがない貴重な情報で、recuvaを出したことに意味があったんだと(直接復号につながったわけじゃないが)わかったりもする
たまにこんな与太話もするが(返事しないのもどうかと思ったのと上記追加urlも知りたい人は勝手にcheckしといてくれという意味も含めてだが)、
基本、役に立つ情報しか俺は載せないから
だから例えば、いくらでも湧いて出る、まだ日本で(世界でもほとんど)流行ってない新着ランサムウェア情報など一度も貼ったことはないだろ、貼る意味がないから
145:名無しさん@お腹いっぱい。 (ワッチョイ d305-0eWo)
16/05/21 06:34:13.12 Yty1bn9l0.net
cryptxxxもマスターキー公開してくれー
146:名無しさん@お腹いっぱい。 (ワッチョイ e62f-OoDr)
16/05/21 07:00:49.16 O9SBNXDa0.net
>>142
それならカスペがクラウドドライブサービス運用したほうがいいなw
だが個人情報とエロは外付けドライブにな
147:名無しさん@お腹いっぱい。 (ワッチョイ bc58-7Fm9)
16/05/21 13:53:39.20 CANR6J0W0.net
クラウド覗いても、使っている人のプロフィールがなければ意味が無い
エロはためておいても意味が無いし、どうせ本物とは永久に縁が無いから無意味だし
いっぺん、IT機器がすべて破壊された状況になってそれがしばらく続けば
世の中少しはマシになるかもです
148:名無しさん@お腹いっぱい。 (アウアウ Sab5-7Gsa)
16/05/21 19:23:39.79 zh0kyRZTa.net
ランサムウェアに感染! あなたならどうする? 500ドルで得るもの失うもの
URLリンク(internet.watch.impress.co.jp)
149:名無しさん@お腹いっぱい。 (ワッチョイ 439b-xKv1)
16/05/21 21:37:38.55 aLNsVtw10.net
2次配布する馬鹿が暗号変えてばら撒くとかないの?
それにやられると厄介な気がするけど
150:名無しさん@お腹いっぱい。 (ワッチョイ e9f9-MTTD)
16/05/22 00:46:18.41 rid9Ru6B0.net
暗号ってそんなに簡単に作れないんじゃね?
151:VHR12JC10V1 (ワッチョイ 51f2-EVGO)
16/05/22 06:17:17.02 L2npG/wF0.net
参考
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
Qihoo-360 QVM41.1.Malware.Gen
URLリンク(www.virustotal.com)
検出率: 32 / 56
三菱 VHR12JC10V1 4991348068790
TDK DR120DMC10UE 4906933604369
Manufacturer ID: CMC MAG. AM3
152:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-xKv1)
16/05/22 11:33:41.07 xPRGYQ9p0.net
有益になるかどうかわからんが投稿
cryptxxxにかかってKaspersky LabのRannohDecryptorでjpgやzipなど8割復旧
HDD削除ファイル復旧ソフトでMyIDxxxxxxx.key復活
海外ローダーにアップされていた被害者のZIPからdecryptor.exeを取り出し
URLリンク(host1gb.net.pl)
身代金要求サイトのHELP
URLリンク(2zqnpdpslpnsqzbw.onion.to)
見よう見まねで復元しようとしたらKey情報の情報量の符号性に気づく。
もちろん復元できず・・・。
以下は上記ZIPに入ってたサンプルだけど
パソコン内に残っていた復活させた.Keyは下記と記述形式は同様
-----BEGIN CERTIFICATE-----
BgIAAACkAABSU0ExAAQAAAEAAQDvVC95RuRPs6zUyOrO4TvnlEpeYr+YeF13XZO6
R18iWx/CJyqaelRVxIFPEu44N/U1NXDiGiPbxmsJ0RvBDV2bLvwwmIbatEweHCAl
Rt7BnfhbvrlX+r3VpWRdI9hkE4o0yY6vlcK6Qc/I377/3s6Nqg30oUeGS8nM8D3X
fkKkrw==
-----END CERTIFICATE-----
2v3ojv6gnmpuqiv6.onion 👀
Rock54: Caution(BBR-MD5:0a276564888fc24617df99534f6f5523)
153:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-xKv1)
16/05/22 11:34:27.47 xPRGYQ9p0.net
身代金支払い後ダウンロードできると思われるのは下記
-----BEGIN CERTIFICATE-----
BwIAAACkAABSU0EyAAQAAAEAAQDvVC95RuRPs6zUyOrO4TvnlEpeYr+YeF13XZO6
R18iWx/CJyqaelRVxIFPEu44N/U1NXDiGiPbxmsJ0RvBDV2bLvwwmIbatEweHCAl
Rt7BnfhbvrlX+r3VpWRdI9hkE4o0yY6vlcK6Qc/I377/3s6Nqg30oUeGS8nM8D3X
fkKkryvFyLLXOMI3a3zZk+fWF78OQXdVeXhtvtQ9BBCmYXbNcSX360i6HZV3uJmf
fRRU5Z5XV+7qQtC2+E0pMZZmnfVNlR63moTecYBrXQnleobBQthSEnqy9Xf6vDE7
Vsu3q/1dssRhelOE9ayRSd4iTgC9gsjCZuZq2zgctQNkcxG3feZkMKrhLTlof52N
LOmpHu9UPvu3Qj+F5cZzY0AJR0+7AcWcyWkdZS7IAJFNKvoWKjJt74wOINIO/1TQ
nUt924leGzkIU1vko+/7tVnCDhJ4fs1YrjY7OudJMEhtiyYSSTrS40pK19TPhkqL
/jRZfaAUcsgifgCAclgryEED3YtfDbuXkNEGb7uyEACLd6Mbn5jhX+8DstQ1TlI1
RPHoDQhtIDq2TGSQy+FJ390WKSJIqTxVepGxCxsRIVCBdDsoWT6M/w0uR5Ujc4TO
R+L5GUSSzKnDj+/sN57N9LoJDUDi5DIszDfrht4o8tb0H/zueicsFbiaVt81893m
1oxIqTjnXQPdgdx2x8rG3V0sa74TCCOSSVpPfPi0rGNi03kvJFY3xpyVNL2wL62F
NuAqVUzCnCkZXx/lBMxLKjIQPI8=
-----END CERTIFICATE-----
この差分の割り出し方法と解析方法が判ればmp4なんかも復活できるかもしれないのになぁ・・・
154:名無しさん@お腹いっぱい。 (スプー Sd78-MTTD)
16/05/22 14:24:40.31 IriIGe1Nd.net
これ、普通に>>152が公開鍵で、>>153が秘密鍵でしょ
PGPの仕組みとか知ってる?
155:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/22 15:56:39.78 C2fy3GbSa.net
[CryptXXX 現況]
・既に復号できた人
→5/20にRannohDecryptorはバージョンアップ、1.9.1.1がリリースされ、
.html, .php, .fla (from adobe flash) といったいくつかの拡張子が追加で復号対応した模様
URLリンク(www.bleepingcomputer.com)
・5/17以降感染者
→現時点で復号不可
RannohDecryptor 1.9.1.0 encrypt file size not equal to original
RannohDecryptor 1.9.1.1 the decryption of files encrypted by this variant of Trojan-Ransom.Win32.CryptXXX is not supported
*重要
その5/17以降、「bitcoin支払いをしてもError = -4が出て復号できず」という事例が複数あり
156:名無しさん@お腹いっぱい。 (アウアウ Sab5-7Gsa)
16/05/22 16:33:11.05 vgZnROwaa.net
>>155
GJっす!!
>その5/17以降、「bitcoin支払いをしてもError = -4が出て復号できず」という事例が複数あり
これは痛いなー
157:名無しさん@お腹いっぱい。 (ワッチョイ d305-0eWo)
16/05/22 17:31:21.42 AbHQ9EaW0.net
カスペルスキーさん頑張ってんな
ファイルを削除するのはもう少し待とう
158:名無しさん@お腹いっぱい。 (ワッチョイ 5eff-iaSg)
16/05/22 18:28:29.94 lRGwK6hL0.net
ESETともう1個のツール試したけど
VVV化されたファイルの複合はキー無しで無理でしたが┐(´д`)┌ ヤレヤレ
なに鬼の首を取ったような記事ばっかなんだか
159:名無しさん@お腹いっぱい。 (ワッチョイ 51ec-sPSn)
16/05/22 21:29:35.08 qEBGXMu10.net
>>158
お前みたいな奴が復号できなくて心底嬉しい。
160:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/22 22:31:39.81 V7JAhCwUd.net
え、いまごろvvvの復号の話?
vvvならあれを試してみたらいいのに、ってな話をしてやりたくないわな
161:名無しさん@お腹いっぱい。 (ワッチョイ 5eff-iaSg)
16/05/22 23:20:09.48 lRGwK6hL0.net
>159-160
だったらなんで大手、メジャーな復旧ツールで対応しないんだよ
キー選択でVVVの項目あんのにさあ??
結局暗号解読=違法ってことなんかね
162:名無しさん@お腹いっぱい。 (ワッチョイ 7180-MTTD)
16/05/23 03:45:12.97 CRJEjC1c0.net
こういう奴が引っ掛かるんだなえ
163:名無しさん@お腹いっぱい。 (ワッチョイ 45fa-G0cz)
16/05/23 06:16:34.62 3U+jzoO20.net
復元ツールや復号キーなどが出てスレが一気に加速したね
感染者が各自コテを付けているわけでもないので確実なことは分からないけど
感染者自体はそんなに多くはなくて数人がスレを賑わしている感じだね
164:名無しさん@お腹いっぱい。 (ワッチョイ 3b80-vqQ5)
16/05/23 08:52:39.49 G59p05050.net
>>161
たぶん、元のランサムウエアツールキットを適当に弄ってしまったため、実際には復号できない欠陥ランサムウエアに
当たってしまったんじゃないかと。
商売として、きちんとサポートも出来る会社組織みたいなランサムウエア供給元もあれば、使い捨てで1回でも
ビットコインが手に入ればいいという刹那的なヤツもいる感じで。
165:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/23 13:16:50.00 qgb4iFe4a.net
bleepingcomputerのforumで、当初から、単なる操作ミスとは思えないvvvでmaster keyが不可の例が2人くらいいて少々気にはなっていたが、
まぁ不具合もたまにはあるかと流してた
しかしその後誰も彼もvvvばっかの相談コーナーと化してるから、
「.vvvでmaster keyが効かないものがある」
のは間違いないだろうね
ただ、現時点で例のkey解析-復号化はいずれも有効なようだし、
実は中の人が入れ替わってる別ver.が含まれてる(あるいはvvvは丸ごと)、とすると少なくともkey回りを別に用意する必要があって(場合によって一部暗号化もいじる必要あり?)、
その費用や手間のプラマイ考えるとちょっとムリがあると思う
単に、vvvではいろいろいじりすぎてmaster key回りまで変更してしまって効かないのができちゃった、ってだけじゃないかな
いずれにしろ解けてもう5ヶ月くらい経つから、
今回たまたま意外なビッグニュースになったおかげで知れてよかったろうけど、
それがなければずっと暗号化ファイルを抱えたままにしてたのか、と思うと滑稽ではある
166:名無しさん@お腹いっぱい。 (ワッチョイ 9014-x3kX)
16/05/23 13:54:44.46 XI3Kn+Zt0.net
Lockyの復号キーはまだですかねえ…。
俺は食らってないけど、社長が食らってしまってる。
4月の末頃メールから感染したと思われる。
167:名無しさん@お腹いっぱい。 (アウアウ Sade-bIUC)
16/05/23 14:45:29.53 qgb4iFe4a.net
復号可能になったものについて以前調べたことがあるが、
ランサムウェアがリリースされてから、復号化ツール等で復号可能になるまでの期間は、
1週間前後~1ヶ月
ほぼ全てあてはまる(例えば.vvvでちょうど1ヶ月ほど)、逆に、それ以上かかって復号可能になったものは若干の例外を除いてゼロ
犯人が警察に捕まり暗号化方法等を自白してセキュリティメーカ協力の下復号化ツールができた(半年後)
何故か急に作成者が改心して復号方法を公表(3ヶ月後くらいか)
そして今回のteslacrypt、このくらい
まぁセキュリティメーカ側の人にしても有志にしても、費用(というかかかる手間)対効果とか次々現れる亜種分析とか、そのくらいが一つの目処なんだろう
カスペにしたって今回は面倒くさい対象に関わってしまったと担当者は思ってるはず
あと、一度復号化ツールが出ても、作成者側が諦めずバージョンアップを繰り返した場合、
ほとんど全てのケースで最終的に復号不可で終わる
これが現実
168:名無しさん@お腹いっぱい。 (アウアウ Sab5-V4Zo)
16/05/23 16:20:08.28 pXHXlwoFa.net
>>161
>結局暗号解読=違法ってことなんかね
勘違いっぷりがすごいww
169:名無しさん@お腹いっぱい。 (ワッチョイ 7bfe-sPSn)
16/05/23 17:14:49.67 XaJOXyos0.net
少なくともこの板で知った様なレスしようと思うならば「複合化」なんて恥ずかしいこと書くなよ
暗号化<->復号 であって 暗号化<->復号化じゃねーよ
170:名無しさん@お腹いっぱい。 (アウアウ Sab5-7Gsa)
16/05/23 18:06:39.02 pXHXlwoFa.net
>>169が、「複合」化にツッコミを入れてるのか、復号「化」にツッコミを入れてるのか分からんけど、両方なんだろうな
まぁ復号化に関しては確かに本来、「化」はいらんわな
「復号」だけでいい
しかしながら、「暗号化」に対比させて読み手側に分かりやすくするためにあえて「復号化」と書くケースもあるのでそんなに目くじら立てるほどのことでもないな
171:名無しさん@お腹いっぱい。 (ワッチョイ bca8-WIx6)
16/05/23 19:51:58.85 tWqwunkW0.net
cryptXXXの3.0は身代金払って手に入れた復号キーが使えないとか
いやだなぁこれじゃどうしようもない
172:名無しさん@お腹いっぱい。 (ワッチョイ 5bbd-xKv1)
16/05/23 19:57:29.07 1duTocAf0.net
teslacrypt4.0にやられた者だが、
こんなにも早く解決するとおもってなかった
来年とか再来年ぐらいまでは覚悟していた
みんなも早く復元できるといいね
173:名無しさん@お腹いっぱい。 (ササクッテロ Spbd-V4Zo)
16/05/24 09:05:02.38 A+mFbWsLp.net
だからどうやって感染したんだよ
174:名無しさん@お腹いっぱい。 (ワッチョイ 7180-MTTD)
16/05/24 09:15:37.81 feJiZGke0.net
そもそもこんなのに感染しないし
175:名無しさん@お腹いっぱい。 (ドコグロ MMde-Vmqj)
16/05/24 12:12:01.05 5UPesWNgM.net
ある漫画喫茶のXPで広告がたくさんついている有名な海外のサッカー配信サイトで
試合見てたらcryptXXXのV1にUSBメモリがやられた
PC立ち上げなおしても動かなかったから店員にリセットみたいのしてもらったけど
元データが見つからないのでカスペルスキーとかいうのが使えない状態
176:名無しさん@お腹いっぱい。 (ワッチョイ 7b6d-un72)
16/05/24 15:25:22.37 YHZoyeD60.net
カスペルキーのツールを使ったのですが以下のような英文がでて作動しません
原因はなにが考えられるでしょうか
the decryption of files encrytped by this variant of trojan-ransom.win32,cryptxxx is not supported
ツール使うにあたっては空き容量が十分にないと作動しないということでしょうか
いまだにXPというのがツールサポート対象外ということなのでしょうか
それとも他になにか原因が考えられるでしょうか
177:176 (アウアウ Sab5-+JX3)
16/05/24 15:40:48.77 lM+q7JTba.net
>>155さんの18日以降感染にあたるようです
参りました…
178:名無しさん@お腹いっぱい。 (ササクッテロ Spbd-V4Zo)
16/05/24 18:24:21.92 A+mFbWsLp.net
>>176
英文に書いてあるじゃん・・・
それくらい読めるでしょ?
179:名無しさん@お腹いっぱい。 (JP 0Hde-3oqL)
16/05/24 18:30:08.10 01xpnlRRH.net
>>176 not supported って書いてあんだろ・・・
180:名無しさん@お腹いっぱい。 (ワッチョイ c91f-ANk3)
16/05/24 19:57:12.47 jtoJ716u0.net
カスペルさんは3は無理だけどできたら教えたげる、動画は無理
ってブログで言ってます。どこかに身代金や復号の可否の情報は
ないものでしょうか。
181:名無しさん@お腹いっぱい。 (ワッチョイ 5bbd-xKv1)
16/05/24 19:58:22.76 tsWiIFd+0.net
>>173
感染した理由なんて何度も書き込みたくないよってw
182:名無しさん@お腹いっぱい。 (ワッチョイ 512b-MTTD)
16/05/24 20:10:22.42 rSHpzNv90.net
ファイルが改変されて開かなくなった人で
それ以外には被害受けてない?
アカウントを悪用されたり、ネットバンキング悪用されたり。
183:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/24 20:10:52.84 VAYZLe5md.net
>>178-179
>>177で自己レスしてるのにそんなに突っ込みたいの?
184:名無しさん@お腹いっぱい。 (スプー Sd28-MTTD)
16/05/24 20:13:05.73 VAYZLe5md.net
>>180
> どこかに身代金や復号の可否の情報は
ないものでしょうか。
具体的に何が知りたいのかわからん
185:名無しさん@お腹いっぱい。 (ワッチョイ d305-0eWo)
16/05/24 20:19:25.76 313ytIbA0.net
KP41病、ランサムウェア、ついにはLANポート死亡
俺のPCはボロボロだ!もう買い替える!
186:名無しさん@お腹いっぱい。 (スプー Sd28-WK80)
16/05/24 20:42:51.55 mZ/dkPbed.net
試しに
***.mp4.crypt を
***.zip.crypt に変えてRannonDecryptorしてみたけど、
やっぱりダメだった。
187:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-xKv1)
16/05/24 21:15:10.73 G0j5bFP10.net
試しに
***.apk.crypt を
***.zip.crypt に変えてRannonDecryptorしたら、
やっぱりいけた。
188:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-xKv1)
16/05/25 08:22:01.60 48MsltTb0.net
RannonDecryptor 2バイト文字に対応した模様?2byteフォルダーや日本語タイトルmp3復活した。crypt v2
189:名無しさん@お腹いっぱい。 (ワッチョイ 3b80-vqQ5)
16/05/25 10:58:51.35 L3RhJZIe0.net
>>188
URLリンク(blog.kaspersky.co.jp)
RakhniDecryptor Ver.1.15.10.0のこと?
190:名無しさん@お腹いっぱい。 (ワッチョイ bdd8-FRyb)
16/05/25 11:03:40.18 3FT15xJl0.net
RannonDecryptorってなに? RannohDecryptorじゃないのん?
191:名無しさん@お腹いっぱい。 (JP 0Hde-3oqL)
16/05/25 11:24:02.91 xwLslARXH.net
掲示板で細かい文字狩りすんなよ
192:名無しさん@お腹いっぱい。 (ワッチョイ 1cd8-HVkv)
16/05/25 11:30:28.25 KVii2fLN0.net
おれも新型に感染したようで、復元できない・・
そんな無知の俺に教えてください。
・とりあえず元凶のウイルスは駆除した
・ファイルは全てダメになったけどPCは動く。ネットも使える。
こういう状況なんだがファイル復元ソフトが出るまでは既存のデーターを
諦めれば今後も普通に使って大丈夫?
何か見えない所で悪さしない?
193:名無しさん@お腹いっぱい。 (ワッチョイ 1cd8-HVkv)
16/05/25 11:37:48.11 KVii2fLN0.net
あと、オリジナルファイルが必要との事だけど、
例えばネットから保存した画像が書き換えられた場合は
同じ所から再度保存した画像がオリジナルとして使えるの?
194:名無しさん@お腹いっぱい。 (ワッチョイ 45bf-xKv1)
16/05/25 12:44:14.45 48MsltTb0.net
感染したら
Windowsの復元機能が通常使用でONならば元に戻せる。
おれは軽量化が仇となったクチ。
一部ファイルを復元するならこれ
URLリンク(www.shadowexplorer.com)
削除ファイル復活させるrecuvaって方法もある。
195:十三 (ワッチョイ 45be-xFql)
16/05/25 18:14:23.85 US8a1S4v0.net
>>185
昨年の8月にサイトのHPを見た後に、ネットに接続ができなくなり、
LANポートのアイコン表示が☓に、なったので、windowsXPのソフトをダウンロードを、して
、新たにWindows7をダウンロードして、今でも使っています。
画像は外付けハードディスクに保存していました。
その時、ウイルスソフトは入れていなかった結果
ウイルスにLANポートを破損
2chに入って、出てきたら、パソコンが重くなり、
ウイルスソフトを
スキャンしたら、下記のウイルスを見つけました。
PUA/Systweaksad ←ウイルス
196:名無しさん@お腹いっぱい。 (ワッチョイ 98e5-/fHo)
16/05/25 18:54:30.56 H56BlQ1s0.net
カスペルさんではLockyの複号はできませんよね?
197:名無しさん@お腹いっぱい。 (アウアウ Sab5-7Gsa)
16/05/25 19:00:51.20 7R3d1vBva.net
>>196
Lockyはまだどれでもできない
198:名無しさん@お腹いっぱい。 (ワッチョイ c91f-ANk3)
16/05/25 19:16:34.03 TtzwcZ4V0.net
感染しました。
誰かcryptxxx3で身代金を払った人はいませんか。
復元できないという情報はどこからきてるんでしょう。
199:名無しさん@お腹いっぱい。 (ワッチョイ 98e5-/fHo)
16/05/25 19:17:13.83 H56BlQ1s0.net
>>197
ありがとうございます。
9割方復号できないと思ってましたけど。完全に死にましたw
200:198 (ワッチョイ c91f-ANk3)
16/05/25 19:34:03.38 TtzwcZ4V0.net
URLリンク(www.bleepingcomputer.com)
この辺でしたか。なんて悲しい。
201:名無しさん@お腹いっぱい。 (ワッチョイ 51ec-V4Zo)
16/05/25 22:22:48.72 5y9ZngET0.net
>>199
Lockyは身代金払って回復できるかも
いや、勧めてるわけではないが
202:名無しさん@お腹いっぱい。 (ワッチョイ 1c6d-7Gsa)
16/05/25 23:47:57.68 fVJNx+Id0.net
>>201
実際金払って復旧してる業者いるしなww
203:名無しさん@お腹いっぱい。 (ワッチョイ 574c-xVP+)
16/05/26 09:22:28.76 QmXG1Twn0.net
>>193
>例えばネットから保存した画像が書き換えられた場合は
>同じ所から再度保存した画像がオリジナルとして使えるの?
使える
俺はESETセキュリティー入れてて暗号化されたんだけど
ESETのフォルダに入ってたv80_win_settingsguide.pdfっていう88MBの説明書ファイルも暗号化されてて
これを公式でダウンロードしてきてオリジナルファイルとして使ったら大きいファイルもほとんど復号できた
俺は癖で外付けHDDにバックアップ取った大きいデータは即削除していたんでこれが無かったらマジ危なかった
ありがとうESETセキュリティー
204:名無しさん@お腹いっぱい。 (ワキゲー MMff-khAS)
16/05/26 12:32:51.79 GebvY6fgM.net
オリジナルファイルが落とせたら復号とか関係ないんじゃないの?
同一フォルダにある別のファイルも復号出来るの?
205:名無しさん@お腹いっぱい。 (スプー Sdff-SNRC)
16/05/26 13:14:08.49 36OwSBaCd.net
Lockyに感染し、身代金払おうと思っているんだけど、どうやってビッドコイン買うの?
206:名無しさん@お腹いっぱい。 (JP 0Hff-9Hh6)
16/05/26 14:31:06.83 /jgxzdzsH.net
>>205 ここで聞く前に、どこのWEBをみて、どんな点が理解できなかったのか書いてくれ
2chではピンポイントな回答は出来ても、1から10まで教えるには適していないのでな
207:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/05/26 15:05:08.20 Nj7nLRO9a.net
>>98みたいなやつもいるからな
レポしねーんなら、わざわざ書くなっての
208:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-Iguy)
16/05/26 18:46:54.38 ETY1Z8us0.net
>>204
このスレで一番アホな質問ね
209:名無しさん@お腹いっぱい。 (ワッチョイ d389-kV93)
16/05/26 19:23:06.87 Kw+kKRVo0.net
ランサムウェアの猛威が止まらない、国内での被害報告が前年同期比8.7倍~トレンドマイクロ調査
URLリンク(internet.watch.impress.co.jp)
210:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/26 19:53:32.35 Q8esnwURd.net
>>205
いくら払うのかによっても違う
いくら払うの?
211:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/26 19:58:54.72 Q8esnwURd.net
>>192
ウイルスが本当に完璧に駆除できているなら、それでいいと思うが、完璧に取り切れてない場合も結構あるわけで、、
そういったことを考えるとリカバリーするほうが安心ではある >>40
212:名無しさん@お腹いっぱい。 (ワッチョイ b36d-kHkB)
16/05/26 20:19:53.51 GqLSk9g20.net
>>205
ビットコイン買うのは別に違法じゃないんだから、ビットコインの取引所に問い合わせろ
213:名無しさん@お腹いっぱい。 (スプー Sdff-SNRC)
16/05/26 20:23:03.48 36OwSBaCd.net
>>210
20万
214:名無しさん@お腹いっぱい。 (ワッチョイ d7a8-r73T)
16/05/26 21:10:50.83 uSrPHtjC0.net
cryptXXXのv3は相変わらず復号できない報告が続いてるな
犯人側が提供する復号ツールは更新されてるようだがv3のは通らないみたいだ
暗号化ミスってデータ破壊したのか、それともキーが間違ってるのか
215:名無しさん@お腹いっぱい。 (ワッチョイ 031f-X1Zo)
16/05/26 21:51:08.85 yo0eCtL20.net
もう少ししたら
これ
Si tratta di un nuovo software decrypter
URLリンク(www.dropbox.com)
URLリンク(www.bleepingcomputer.com)
を試してみます。感染ファイルがいっぱいありすぎて動いているのか
わからなかった。
216:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/05/26 21:51:55.12 E45An7KTa.net
>>213
なぜそんなに高額に?
普通500ドルか1000ドルだろう?
217:215 (ワッチョイ 031f-X1Zo)
16/05/26 22:26:07.04 yo0eCtL20.net
良く読んだら払った人向けだった。もう少し様子見します。
218:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-P47+)
16/05/26 23:20:54.78 ETY1Z8us0.net
20万とか、自ら釣りって言ってるようなもんだな
たぶん>>98と>>205は同一人物
219:名無しさん@お腹いっぱい。 (ワッチョイ 3f27-kHkB)
16/05/27 01:14:41.58 vhNUIWDe0.net
URLリンク(www.bleepingcomputer.com)
ここ見ながらやっているのですがキーを入れて拡張子からmp3を消した状態のjpgファイルは戻せました
ただ、ファイルが多数ある為、効率良く元に戻す方法があれば教えて下さい
リネームツールはなんとかなりそうです
220:名無しさん@お腹いっぱい。 (アウアウ Sa7f-Iguy)
16/05/27 01:32:23.84 eljuTYx/a.net
>>219
Decrypt allかDecrypt folderでダメなの?
>>96
221:名無しさん@お腹いっぱい。 (スプー Sdff-SNRC)
16/05/27 12:53:04.98 LILf4zo5d.net
>>218
4.00 bitcoinって書いてあって、日本円にしたら20万弱だったぞ。
つか、本当はそんなに金額掛からないのな
222:名無しさん@お腹いっぱい。 (ワッチョイ df52-41ON)
16/05/27 13:20:46.12 kwoajui/0.net
ランサムウェア対策
URLリンク(news.livedoor.com)
223:名無しさん@お腹いっぱい。 (ワッチョイ 9b05-fFiI)
16/05/27 16:15:49.12 0JdbAUQL0.net
URLリンク(www.trendmicro.co.jp)
トレンドマイクロが新しいツール公開したみたい
誰か使ってみて
224:名無しさん@お腹いっぱい。 (ワッチョイ d71e-YjjQ)
16/05/27 22:12:44.99 Sp666tI50.net
MP3のランサムに感染したんだけど
マスターキーが解れば驚く程簡単に復号出来るんだな
225:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/05/27 22:32:28.93 YjdC9wMea.net
いやいや、、
別にマスター復号キーじゃなくても、金払って買った復号キーでも同じだべ
226:名無しさん@お腹いっぱい。 (ワッチョイ 539b-tPjl)
16/05/28 13:33:25.99 aikSvBfo0.net
>>222
「最新のランサムウェアは、パソコンのマザーボードに直接アクセスして、核となる「バイオス」を書き換えるものがあります。」
これ、ほんま?本当だとしたらOS再インスコできなくなる
227:名無しさん@お腹いっぱい。 (ワッチョイ d758-NcQY)
16/05/28 17:46:55.03 ibVgv9ci0.net
MBRと勘違いしているような気がします・・・・・・
228:名無しさん@お腹いっぱい。 (ワッチョイ b3d8-dCMW)
16/05/28 18:00:02.59 OIgNn5Nj0.net
>>223
cryptXXXを選択して動画ファイル(mp3,mp4,flv)選択してみたけど、mp4とflvはスルーされて復号終了とか出た。
mp3は復号できたファイルが出たけど再生できない。
jpg,pngとかzip,rarはカスペルスキーで戻っちゃったから試せない。
229:名無しさん@お腹いっぱい。 (ワッチョイ dfed-kHkB)
16/05/28 19:35:25.18 naBLLT4z0.net
ランサムウェアの種類、Verを調べられるサイトが
前に書いてあった気がしたんだが
誰か知りませんか?
230:名無しさん@お腹いっぱい。 (ワッチョイ 7bbd-kHkB)
16/05/28 19:48:01.02 eKR8DtKT0.net
>>229
このスレと前スレ読めばわかるよ
231:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/05/28 21:20:08.40 xNDHXQs9a.net
このスレだけでいい
232:名無しさん@お腹いっぱい。 (ワッチョイ ef27-SNRC)
16/05/29 01:12:45.03 /omDI3Jh0.net
起動する度にファイル直して元に戻ったファイル以外がやられるんだけど、ツールで暗号化されたmp3直す以外何したらいいんでしょうか
233:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-Iguy)
16/05/29 01:14:48.70 CYpxQE/40.net
>>232
ランサムウェアかまだ残ってるんだよ
駆除するかリカバリーしろよ
234:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/29 01:49:59.75 xBF8rmFdd.net
>>214
これ、なおったらしい
235:名無しさん@お腹いっぱい。 (ワッチョイ d7a5-khAS)
16/05/29 09:06:34.08 1g3uBH+00.net
感染したから再インストールした。念のためjavaとflashplayerオフにするわ(T△T)
236:名無しさん@お腹いっぱい。 (ワッチョイ 03a3-khAS)
16/05/29 10:00:25.80 yus5xv6d0.net
ソフトウェア制限ポリシーに
%TEMP%\svchost.exeを追加したらいいんでない
237:名無しさん@お腹いっぱい。 (ワッチョイ 93bf-kHkB)
16/05/29 13:16:57.27 y9JHDDBY0.net
cryptxxx v2 で xls txt mp4 3gp ツールで復元できている方いますか?
238:名無しさん@お腹いっぱい。 (ワッチョイ 93bf-kHkB)
16/05/29 15:17:36.64 y9JHDDBY0.net
日本トレンドマイクロでは1523だったが米で新Ver上がってた。
けど1551は暗号化と同一ファイル求められて準備しても弾かれる。
RansomwareFileDecryptor 1.0.1551 MUI
URLリンク(esupport.trendmicro.com)
直リン
RansomwareFileDecryptor 1.0.1528 MUI
URLリンク(esupport.trendmicro.com)
239:名無しさん@お腹いっぱい。 (オイコラミネオ MMff-khAS)
16/05/29 17:38:24.95 tPPqzK+/M.net
ふとした疑問。
暗号化に使ったkeyファイル、暗号化したあとに削除されるんだろうけどさ、keyファイルを復元したら復号できちゃうんじゃね?
240:名無しさん@お腹いっぱい。 (ワッチョイ 93bf-kHkB)
16/05/29 18:48:47.86 y9JHDDBY0.net
>>152
>>153
に書いてある理屈だよね。暗号Key短いほうでなんとかなればいいんだけどな。
241:名無しさん@お腹いっぱい。 (ワッチョイ 8734-EET6)
16/05/29 20:09:17.69 q6fgL/3O0.net
RANSOM_WALTRIX.C は、以下の拡張子を持つファイルを暗号化します。
.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI,
.BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE,
.DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF,
.EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR, .GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP,
.IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA,
.M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI,
.NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT,
.P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF, .PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY,
.QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW,
.TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT, .UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF,
.XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV,.ZIP, .ZIPX
242:名無しさん@お腹いっぱい。 (ワッチョイ 8734-EET6)
16/05/29 20:13:32.06 q6fgL/3O0.net
サイバー犯罪者集団が新たに「Angler Exploit Kit(Angler EK)」および「BEDEP」を利用して
暗号化型ランサムウェア「CryptXXX」(「RANSOM_WALTRIX」として検出)を拡散する報告がありました。
今回、CRYPTESLA の手口を模倣する CryptXXX の亜種(「RANSOM_WALTRIX.C」として検出)が確認されました。
CRYPTESLA の無料復号ツールの公開によりユーザが身代金要求を無視できるようになった後で大幅に更新された亜種となり、
この亜種は、ファイルを暗号化するだけでなくユーザがデスクトップにアクセスできないように画面をロックする機能も備えています
243:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-P47+)
16/05/29 20:34:49.99 CYpxQE/40.net
>>239 >>240
そうはならない
ランサムウェアは公開鍵暗号方式で暗号化しているから。
ここがシンプルで分かりやすいか。
URLリンク(www.atmarkit.co.jp)
つまりランサムウェアが感染者のPCで活動開始すると、犯人のサーバーから公開鍵と秘密鍵のペアのうち公開鍵を取得、この公開鍵によってランサムウェアがファイルを暗号し、PC内にも公開鍵は残っている。
公開鍵と秘密鍵はセットになっており、この公開鍵のペアとなる秘密鍵は犯人のサーバー側で所持している。
身代金を支払ったら、その公開鍵に対しての秘密鍵を提供、その秘密鍵でファイル復元する仕組み。
つまり復号するときの秘密鍵はひとりひとり違うのでそういうことにはならない。
244:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-P47+)
16/05/29 20:52:26.12 CYpxQE/40.net
>>239
補足
もう分かってると思うけど、「暗号化に使ったkeyファイル」=公開鍵のことね
公開鍵なんで公開されてもまったく問題ない。
245:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/29 21:13:22.54 dYoe3j7ad.net
>>242
ソースをちゃんと貼れよ
URLリンク(blog.trendmicro.co.jp)
246:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/29 21:54:07.16 W6urpTHHa.net
>>241-242,245
てか、今さら「CryptXXXにv3出ました」情報なんて、特にこのスレには後出しすぎて全く要らんだろ、いくら日本語記事とはいえ
それどころか、出来がイマイチでここ数日どうも撒布を停止してるっぽいくらいなんだが
bedep云々については既に前スレから引用付で書いてるし
もし引用するならむしろここ、
> 問題の RANSOM_WALTRIX.C の不正活動停止を困難にする理由は、システムの挙動監視プログラムである「watchdog(ウォッチドッグ)」を自身の
> 活動に利用しているからです。RANSOM_WALTRIX.C は、暗号化とシステムの「異常な」挙動の検知という2つの機能を同時に実行します。ウォッチ
> ドッグが暗号化プロセスを中断させる「異常な」挙動を検知すると、暗号化を最初からやり直します。このため不正プログラムが停止するとウォッチドッグ
> により暗号化が再開する、という悪循環が発生します。
で、>>232はたぶんこのせい
いずれにしろアボンで消えてるからどうでもいいんだが
247:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/29 23:06:50.08 dYoe3j7ad.net
>>246
いちいち、毎回一言多いんだよ
248:名無しさん@お腹いっぱい。 (ワッチョイ 7fd8-BGUp)
16/05/29 23:46:27.04 SJUgZiml0.net
そこは同意せざるを得ない(苦笑)
249:名無しさん@お腹いっぱい。 (ワッチョイ ef65-+BAm)
16/05/30 01:34:31.14 o9zyDdxG0.net
下のソフトって「Locky」には対応していないんかな?
誰か複合成功した人いる?
↓
URLリンク(esupport.trendmicro.com)
250:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-SNRC)
16/05/30 01:39:35.21 yUwbkt4K0.net
>>249
対応してない
251:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 01:42:06.70 dofW2Ogsa.net
URLリンク(esupport.trendmicro.com)
のImportant Note about Decrypting CryptXXX V3を見て、よくこんな微妙な解析と他力本願なやり方の提示でver. upしたもんだ、と感心してたが、
URLリンク(www.bleepingcomputer.com)
というか
URLリンク(www.bleepingcomputer.com)
を読み直したが、
要は8191/8255 bytes (99%以上)は復号できるから、
残った読めない部分を許容できるファイル(形式)は読めたり、
photo or image file(jpg? のみ?)はファイル復元ソフトで復元(というか修復、というか恐らくファイル形式に則った形に差替え)出来得る、
ってことだな
他のファイル形式についても、各種修復機能を持つソフトで読めるレベルになるものもあるかも、ということも示唆している
つまり、
CryptXXX v3で暗号化されたファイルで一部、
trendmicroのRansomwareFileDecryptor 1.0.1551を使えば、
特にjpegは書かれている作法で読めるようになる(かも)、
そして他のファイル形式についても色々ファイル復元ソフト等でいけるものが出てくるかも、
ってこと
と同時に、RSAの部分を含めた完全復号はダメかも
252:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 01:50:27.63 dofW2Ogsa.net
>>251
と書いてるうちに、同様に気付いて、実際に試して一部成功した書込み等出てきてるので、
ある程度まとまれば追記するかも
253:249 (ワッチョイ 879d-+BAm)
16/05/30 02:07:59.41 uXZUVMkr0.net
うううむ
「Locky」に変換されてしまったら復元は現時点不可能(身代金払う以外)て
事かぁ・・・
もしやと思ってファイル復元ソフトなんか試してみたんだが駄目だったし
254:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-SNRC)
16/05/30 02:08:18.66 yUwbkt4K0.net
>>252
よろ
255:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-SNRC)
16/05/30 02:12:00.91 yUwbkt4K0.net
>>253
>>24で書かれてるURLにあるように、Vista以降ならボリュームシャドウコピーから復元できる場合もある
(もちろんできない場合もある)
まだ試してないならShadow Explorerを試してみたらどうか
256:249 (ワッチョイ 879d-+BAm)
16/05/30 02:22:05.61 uXZUVMkr0.net
>>255
ありがとうございます。試してみます
257:名無しさん@お腹いっぱい。 (ワッチョイ 7bb6-AFib)
16/05/30 13:16:46.27 wlaQEf710.net
.cryp1になってるのは、CryptXXX v3 なの?
復元できないよね?
258:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 14:37:49.39 xoqad2H9a.net
>>257
> .cryp1になってるのは、CryptXXX v3 なの?
bleepingcomputer(のDemonslay335氏)がそう言ってるので間違いない模様
URLリンク(www.bleepingcomputer.com)
> 復元できないよね?
とりあえずまずshadowexplorer、と適用できるかわからんが>>251
元のCryptXXXのtopicと、
URLリンク(www.bleepingcomputer.com)
あとemsisoft
URLリンク(support.emsisoft.com)
でしか見かけないから試作の限定撒布かと思っていたけど、これからなのかもね
[注意]
「.cryp1」で検索すると大量の偽セキュリティソフト勧誘サイト、
およびこの1~2時間前から大量の「このサイトはコンピュータに損害を与える可能性があります。」「このサイトは第三者によってハッキングされている可能性があります。」表示サイトが検索で引っかかるので注意
259:名無しさん@お腹いっぱい。 (ワッチョイ 132f-Dr1V)
16/05/30 19:52:50.79 wD/AA3MX0.net
>>258
ありがとうございます。
待ってみようと思います。
会社の共有ファイルサーバーがやられちゃって困ってるんで、進展や他に情報があれば教えてもらえると助かります。
260:名無しさん@お腹いっぱい。 (ワッチョイ 9b05-fFiI)
16/05/30 19:57:03.61 l/+t3S2Y0.net
これ企業が被ると大損害だよな
俺のプライスレスな思い出も大問題だけど
261:名無しさん@お腹いっぱい。 (アウアウ Sa7f-Iguy)
16/05/30 19:58:36.22 Pxq83mada.net
試してみようと思います
じゃなくて
待ってみようと思います??
>会社の共有ファイルサーバーがやられちゃって困ってるんで、進展や他に情報があれば教えてもらえると助かります。
なにこの丸投げ状態
しかも個人の話じゃないとか
262:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 20:18:20.52 DB1DTFbea.net
>>259
企業なら、システム管理者・・・というレベルじゃないな、あんたがシス管か
有料セキュリティソフトくらい使ってるんだろうから、その会社に、
・CryptXXXのv3(拡張子.cryp1)に感染
・Bedepによる情報流出の疑いあり
この2点を伝えて指示を仰げ
これ以上のフォローをする気は(少なくとも俺からは)一切ないのであしからず
263:名無しさん@お腹いっぱい。 (ワッチョイ 132f-kHkB)
16/05/30 20:27:54.64 /DBNOE++0.net
興味本位でMalwarebytes Anti-Ransomware入れてみた
画像がたくさん入ったフォルダをゴミ箱に捨てた瞬間
エクスプローラーを隔離しようとしてきて心臓止まるかと思った
実害なかったし強制終了してやり直したら誤検しなくなったけど何だったんだあれ
264:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 23:57:31.35 DB1DTFbea.net
MBAEやらMBARやらは、大量のファイル移動は引っかかる話を何度か目にした記憶があるな
挙動が似てるんだろう
265:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 23:58:32.40 DB1DTFbea.net
あれ上げちまった
266:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/31 00:08:42.26 VjggDmoGa.net
>>251
URLリンク(esupport.trendmicro.com)
のImportant Note about Decrypting CryptXXX V3に、Original Photo/Photo after partial data decryptionの例が追加されている