16/05/25 19:34:03.38 TtzwcZ4V0.net
URLリンク(www.bleepingcomputer.com)
この辺でしたか。なんて悲しい。
201:名無しさん@お腹いっぱい。 (ワッチョイ 51ec-V4Zo)
16/05/25 22:22:48.72 5y9ZngET0.net
>>199
Lockyは身代金払って回復できるかも
いや、勧めてるわけではないが
202:名無しさん@お腹いっぱい。 (ワッチョイ 1c6d-7Gsa)
16/05/25 23:47:57.68 fVJNx+Id0.net
>>201
実際金払って復旧してる業者いるしなww
203:名無しさん@お腹いっぱい。 (ワッチョイ 574c-xVP+)
16/05/26 09:22:28.76 QmXG1Twn0.net
>>193
>例えばネットから保存した画像が書き換えられた場合は
>同じ所から再度保存した画像がオリジナルとして使えるの?
使える
俺はESETセキュリティー入れてて暗号化されたんだけど
ESETのフォルダに入ってたv80_win_settingsguide.pdfっていう88MBの説明書ファイルも暗号化されてて
これを公式でダウンロードしてきてオリジナルファイルとして使ったら大きいファイルもほとんど復号できた
俺は癖で外付けHDDにバックアップ取った大きいデータは即削除していたんでこれが無かったらマジ危なかった
ありがとうESETセキュリティー
204:名無しさん@お腹いっぱい。 (ワキゲー MMff-khAS)
16/05/26 12:32:51.79 GebvY6fgM.net
オリジナルファイルが落とせたら復号とか関係ないんじゃないの?
同一フォルダにある別のファイルも復号出来るの?
205:名無しさん@お腹いっぱい。 (スプー Sdff-SNRC)
16/05/26 13:14:08.49 36OwSBaCd.net
Lockyに感染し、身代金払おうと思っているんだけど、どうやってビッドコイン買うの?
206:名無しさん@お腹いっぱい。 (JP 0Hff-9Hh6)
16/05/26 14:31:06.83 /jgxzdzsH.net
>>205 ここで聞く前に、どこのWEBをみて、どんな点が理解できなかったのか書いてくれ
2chではピンポイントな回答は出来ても、1から10まで教えるには適していないのでな
207:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/05/26 15:05:08.20 Nj7nLRO9a.net
>>98みたいなやつもいるからな
レポしねーんなら、わざわざ書くなっての
208:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-Iguy)
16/05/26 18:46:54.38 ETY1Z8us0.net
>>204
このスレで一番アホな質問ね
209:名無しさん@お腹いっぱい。 (ワッチョイ d389-kV93)
16/05/26 19:23:06.87 Kw+kKRVo0.net
ランサムウェアの猛威が止まらない、国内での被害報告が前年同期比8.7倍~トレンドマイクロ調査
URLリンク(internet.watch.impress.co.jp)
210:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/26 19:53:32.35 Q8esnwURd.net
>>205
いくら払うのかによっても違う
いくら払うの?
211:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/26 19:58:54.72 Q8esnwURd.net
>>192
ウイルスが本当に完璧に駆除できているなら、それでいいと思うが、完璧に取り切れてない場合も結構あるわけで、、
そういったことを考えるとリカバリーするほうが安心ではある >>40
212:名無しさん@お腹いっぱい。 (ワッチョイ b36d-kHkB)
16/05/26 20:19:53.51 GqLSk9g20.net
>>205
ビットコイン買うのは別に違法じゃないんだから、ビットコインの取引所に問い合わせろ
213:名無しさん@お腹いっぱい。 (スプー Sdff-SNRC)
16/05/26 20:23:03.48 36OwSBaCd.net
>>210
20万
214:名無しさん@お腹いっぱい。 (ワッチョイ d7a8-r73T)
16/05/26 21:10:50.83 uSrPHtjC0.net
cryptXXXのv3は相変わらず復号できない報告が続いてるな
犯人側が提供する復号ツールは更新されてるようだがv3のは通らないみたいだ
暗号化ミスってデータ破壊したのか、それともキーが間違ってるのか
215:名無しさん@お腹いっぱい。 (ワッチョイ 031f-X1Zo)
16/05/26 21:51:08.85 yo0eCtL20.net
もう少ししたら
これ
Si tratta di un nuovo software decrypter
URLリンク(www.dropbox.com)
URLリンク(www.bleepingcomputer.com)
を試してみます。感染ファイルがいっぱいありすぎて動いているのか
わからなかった。
216:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/05/26 21:51:55.12 E45An7KTa.net
>>213
なぜそんなに高額に?
普通500ドルか1000ドルだろう?
217:215 (ワッチョイ 031f-X1Zo)
16/05/26 22:26:07.04 yo0eCtL20.net
良く読んだら払った人向けだった。もう少し様子見します。
218:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-P47+)
16/05/26 23:20:54.78 ETY1Z8us0.net
20万とか、自ら釣りって言ってるようなもんだな
たぶん>>98と>>205は同一人物
219:名無しさん@お腹いっぱい。 (ワッチョイ 3f27-kHkB)
16/05/27 01:14:41.58 vhNUIWDe0.net
URLリンク(www.bleepingcomputer.com)
ここ見ながらやっているのですがキーを入れて拡張子からmp3を消した状態のjpgファイルは戻せました
ただ、ファイルが多数ある為、効率良く元に戻す方法があれば教えて下さい
リネームツールはなんとかなりそうです
220:名無しさん@お腹いっぱい。 (アウアウ Sa7f-Iguy)
16/05/27 01:32:23.84 eljuTYx/a.net
>>219
Decrypt allかDecrypt folderでダメなの?
>>96
221:名無しさん@お腹いっぱい。 (スプー Sdff-SNRC)
16/05/27 12:53:04.98 LILf4zo5d.net
>>218
4.00 bitcoinって書いてあって、日本円にしたら20万弱だったぞ。
つか、本当はそんなに金額掛からないのな
222:名無しさん@お腹いっぱい。 (ワッチョイ df52-41ON)
16/05/27 13:20:46.12 kwoajui/0.net
ランサムウェア対策
URLリンク(news.livedoor.com)
223:名無しさん@お腹いっぱい。 (ワッチョイ 9b05-fFiI)
16/05/27 16:15:49.12 0JdbAUQL0.net
URLリンク(www.trendmicro.co.jp)
トレンドマイクロが新しいツール公開したみたい
誰か使ってみて
224:名無しさん@お腹いっぱい。 (ワッチョイ d71e-YjjQ)
16/05/27 22:12:44.99 Sp666tI50.net
MP3のランサムに感染したんだけど
マスターキーが解れば驚く程簡単に復号出来るんだな
225:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/05/27 22:32:28.93 YjdC9wMea.net
いやいや、、
別にマスター復号キーじゃなくても、金払って買った復号キーでも同じだべ
226:名無しさん@お腹いっぱい。 (ワッチョイ 539b-tPjl)
16/05/28 13:33:25.99 aikSvBfo0.net
>>222
「最新のランサムウェアは、パソコンのマザーボードに直接アクセスして、核となる「バイオス」を書き換えるものがあります。」
これ、ほんま?本当だとしたらOS再インスコできなくなる
227:名無しさん@お腹いっぱい。 (ワッチョイ d758-NcQY)
16/05/28 17:46:55.03 ibVgv9ci0.net
MBRと勘違いしているような気がします・・・・・・
228:名無しさん@お腹いっぱい。 (ワッチョイ b3d8-dCMW)
16/05/28 18:00:02.59 OIgNn5Nj0.net
>>223
cryptXXXを選択して動画ファイル(mp3,mp4,flv)選択してみたけど、mp4とflvはスルーされて復号終了とか出た。
mp3は復号できたファイルが出たけど再生できない。
jpg,pngとかzip,rarはカスペルスキーで戻っちゃったから試せない。
229:名無しさん@お腹いっぱい。 (ワッチョイ dfed-kHkB)
16/05/28 19:35:25.18 naBLLT4z0.net
ランサムウェアの種類、Verを調べられるサイトが
前に書いてあった気がしたんだが
誰か知りませんか?
230:名無しさん@お腹いっぱい。 (ワッチョイ 7bbd-kHkB)
16/05/28 19:48:01.02 eKR8DtKT0.net
>>229
このスレと前スレ読めばわかるよ
231:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/05/28 21:20:08.40 xNDHXQs9a.net
このスレだけでいい
232:名無しさん@お腹いっぱい。 (ワッチョイ ef27-SNRC)
16/05/29 01:12:45.03 /omDI3Jh0.net
起動する度にファイル直して元に戻ったファイル以外がやられるんだけど、ツールで暗号化されたmp3直す以外何したらいいんでしょうか
233:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-Iguy)
16/05/29 01:14:48.70 CYpxQE/40.net
>>232
ランサムウェアかまだ残ってるんだよ
駆除するかリカバリーしろよ
234:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/29 01:49:59.75 xBF8rmFdd.net
>>214
これ、なおったらしい
235:名無しさん@お腹いっぱい。 (ワッチョイ d7a5-khAS)
16/05/29 09:06:34.08 1g3uBH+00.net
感染したから再インストールした。念のためjavaとflashplayerオフにするわ(T△T)
236:名無しさん@お腹いっぱい。 (ワッチョイ 03a3-khAS)
16/05/29 10:00:25.80 yus5xv6d0.net
ソフトウェア制限ポリシーに
%TEMP%\svchost.exeを追加したらいいんでない
237:名無しさん@お腹いっぱい。 (ワッチョイ 93bf-kHkB)
16/05/29 13:16:57.27 y9JHDDBY0.net
cryptxxx v2 で xls txt mp4 3gp ツールで復元できている方いますか?
238:名無しさん@お腹いっぱい。 (ワッチョイ 93bf-kHkB)
16/05/29 15:17:36.64 y9JHDDBY0.net
日本トレンドマイクロでは1523だったが米で新Ver上がってた。
けど1551は暗号化と同一ファイル求められて準備しても弾かれる。
RansomwareFileDecryptor 1.0.1551 MUI
URLリンク(esupport.trendmicro.com)
直リン
RansomwareFileDecryptor 1.0.1528 MUI
URLリンク(esupport.trendmicro.com)
239:名無しさん@お腹いっぱい。 (オイコラミネオ MMff-khAS)
16/05/29 17:38:24.95 tPPqzK+/M.net
ふとした疑問。
暗号化に使ったkeyファイル、暗号化したあとに削除されるんだろうけどさ、keyファイルを復元したら復号できちゃうんじゃね?
240:名無しさん@お腹いっぱい。 (ワッチョイ 93bf-kHkB)
16/05/29 18:48:47.86 y9JHDDBY0.net
>>152
>>153
に書いてある理屈だよね。暗号Key短いほうでなんとかなればいいんだけどな。
241:名無しさん@お腹いっぱい。 (ワッチョイ 8734-EET6)
16/05/29 20:09:17.69 q6fgL/3O0.net
RANSOM_WALTRIX.C は、以下の拡張子を持つファイルを暗号化します。
.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI,
.BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE,
.DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF,
.EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR, .GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP,
.IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA,
.M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI,
.NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT,
.P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF, .PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY,
.QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW,
.TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT, .UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF,
.XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV,.ZIP, .ZIPX
242:名無しさん@お腹いっぱい。 (ワッチョイ 8734-EET6)
16/05/29 20:13:32.06 q6fgL/3O0.net
サイバー犯罪者集団が新たに「Angler Exploit Kit(Angler EK)」および「BEDEP」を利用して
暗号化型ランサムウェア「CryptXXX」(「RANSOM_WALTRIX」として検出)を拡散する報告がありました。
今回、CRYPTESLA の手口を模倣する CryptXXX の亜種(「RANSOM_WALTRIX.C」として検出)が確認されました。
CRYPTESLA の無料復号ツールの公開によりユーザが身代金要求を無視できるようになった後で大幅に更新された亜種となり、
この亜種は、ファイルを暗号化するだけでなくユーザがデスクトップにアクセスできないように画面をロックする機能も備えています
243:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-P47+)
16/05/29 20:34:49.99 CYpxQE/40.net
>>239 >>240
そうはならない
ランサムウェアは公開鍵暗号方式で暗号化しているから。
ここがシンプルで分かりやすいか。
URLリンク(www.atmarkit.co.jp)
つまりランサムウェアが感染者のPCで活動開始すると、犯人のサーバーから公開鍵と秘密鍵のペアのうち公開鍵を取得、この公開鍵によってランサムウェアがファイルを暗号し、PC内にも公開鍵は残っている。
公開鍵と秘密鍵はセットになっており、この公開鍵のペアとなる秘密鍵は犯人のサーバー側で所持している。
身代金を支払ったら、その公開鍵に対しての秘密鍵を提供、その秘密鍵でファイル復元する仕組み。
つまり復号するときの秘密鍵はひとりひとり違うのでそういうことにはならない。
244:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-P47+)
16/05/29 20:52:26.12 CYpxQE/40.net
>>239
補足
もう分かってると思うけど、「暗号化に使ったkeyファイル」=公開鍵のことね
公開鍵なんで公開されてもまったく問題ない。
245:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/29 21:13:22.54 dYoe3j7ad.net
>>242
ソースをちゃんと貼れよ
URLリンク(blog.trendmicro.co.jp)
246:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/29 21:54:07.16 W6urpTHHa.net
>>241-242,245
てか、今さら「CryptXXXにv3出ました」情報なんて、特にこのスレには後出しすぎて全く要らんだろ、いくら日本語記事とはいえ
それどころか、出来がイマイチでここ数日どうも撒布を停止してるっぽいくらいなんだが
bedep云々については既に前スレから引用付で書いてるし
もし引用するならむしろここ、
> 問題の RANSOM_WALTRIX.C の不正活動停止を困難にする理由は、システムの挙動監視プログラムである「watchdog(ウォッチドッグ)」を自身の
> 活動に利用しているからです。RANSOM_WALTRIX.C は、暗号化とシステムの「異常な」挙動の検知という2つの機能を同時に実行します。ウォッチ
> ドッグが暗号化プロセスを中断させる「異常な」挙動を検知すると、暗号化を最初からやり直します。このため不正プログラムが停止するとウォッチドッグ
> により暗号化が再開する、という悪循環が発生します。
で、>>232はたぶんこのせい
いずれにしろアボンで消えてるからどうでもいいんだが
247:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/29 23:06:50.08 dYoe3j7ad.net
>>246
いちいち、毎回一言多いんだよ
248:名無しさん@お腹いっぱい。 (ワッチョイ 7fd8-BGUp)
16/05/29 23:46:27.04 SJUgZiml0.net
そこは同意せざるを得ない(苦笑)
249:名無しさん@お腹いっぱい。 (ワッチョイ ef65-+BAm)
16/05/30 01:34:31.14 o9zyDdxG0.net
下のソフトって「Locky」には対応していないんかな?
誰か複合成功した人いる?
↓
URLリンク(esupport.trendmicro.com)
250:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-SNRC)
16/05/30 01:39:35.21 yUwbkt4K0.net
>>249
対応してない
251:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 01:42:06.70 dofW2Ogsa.net
URLリンク(esupport.trendmicro.com)
のImportant Note about Decrypting CryptXXX V3を見て、よくこんな微妙な解析と他力本願なやり方の提示でver. upしたもんだ、と感心してたが、
URLリンク(www.bleepingcomputer.com)
というか
URLリンク(www.bleepingcomputer.com)
を読み直したが、
要は8191/8255 bytes (99%以上)は復号できるから、
残った読めない部分を許容できるファイル(形式)は読めたり、
photo or image file(jpg? のみ?)はファイル復元ソフトで復元(というか修復、というか恐らくファイル形式に則った形に差替え)出来得る、
ってことだな
他のファイル形式についても、各種修復機能を持つソフトで読めるレベルになるものもあるかも、ということも示唆している
つまり、
CryptXXX v3で暗号化されたファイルで一部、
trendmicroのRansomwareFileDecryptor 1.0.1551を使えば、
特にjpegは書かれている作法で読めるようになる(かも)、
そして他のファイル形式についても色々ファイル復元ソフト等でいけるものが出てくるかも、
ってこと
と同時に、RSAの部分を含めた完全復号はダメかも
252:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 01:50:27.63 dofW2Ogsa.net
>>251
と書いてるうちに、同様に気付いて、実際に試して一部成功した書込み等出てきてるので、
ある程度まとまれば追記するかも
253:249 (ワッチョイ 879d-+BAm)
16/05/30 02:07:59.41 uXZUVMkr0.net
うううむ
「Locky」に変換されてしまったら復元は現時点不可能(身代金払う以外)て
事かぁ・・・
もしやと思ってファイル復元ソフトなんか試してみたんだが駄目だったし
254:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-SNRC)
16/05/30 02:08:18.66 yUwbkt4K0.net
>>252
よろ
255:名無しさん@お腹いっぱい。 (ワッチョイ e3ec-SNRC)
16/05/30 02:12:00.91 yUwbkt4K0.net
>>253
>>24で書かれてるURLにあるように、Vista以降ならボリュームシャドウコピーから復元できる場合もある
(もちろんできない場合もある)
まだ試してないならShadow Explorerを試してみたらどうか
256:249 (ワッチョイ 879d-+BAm)
16/05/30 02:22:05.61 uXZUVMkr0.net
>>255
ありがとうございます。試してみます
257:名無しさん@お腹いっぱい。 (ワッチョイ 7bb6-AFib)
16/05/30 13:16:46.27 wlaQEf710.net
.cryp1になってるのは、CryptXXX v3 なの?
復元できないよね?
258:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 14:37:49.39 xoqad2H9a.net
>>257
> .cryp1になってるのは、CryptXXX v3 なの?
bleepingcomputer(のDemonslay335氏)がそう言ってるので間違いない模様
URLリンク(www.bleepingcomputer.com)
> 復元できないよね?
とりあえずまずshadowexplorer、と適用できるかわからんが>>251
元のCryptXXXのtopicと、
URLリンク(www.bleepingcomputer.com)
あとemsisoft
URLリンク(support.emsisoft.com)
でしか見かけないから試作の限定撒布かと思っていたけど、これからなのかもね
[注意]
「.cryp1」で検索すると大量の偽セキュリティソフト勧誘サイト、
およびこの1~2時間前から大量の「このサイトはコンピュータに損害を与える可能性があります。」「このサイトは第三者によってハッキングされている可能性があります。」表示サイトが検索で引っかかるので注意
259:名無しさん@お腹いっぱい。 (ワッチョイ 132f-Dr1V)
16/05/30 19:52:50.79 wD/AA3MX0.net
>>258
ありがとうございます。
待ってみようと思います。
会社の共有ファイルサーバーがやられちゃって困ってるんで、進展や他に情報があれば教えてもらえると助かります。
260:名無しさん@お腹いっぱい。 (ワッチョイ 9b05-fFiI)
16/05/30 19:57:03.61 l/+t3S2Y0.net
これ企業が被ると大損害だよな
俺のプライスレスな思い出も大問題だけど
261:名無しさん@お腹いっぱい。 (アウアウ Sa7f-Iguy)
16/05/30 19:58:36.22 Pxq83mada.net
試してみようと思います
じゃなくて
待ってみようと思います??
>会社の共有ファイルサーバーがやられちゃって困ってるんで、進展や他に情報があれば教えてもらえると助かります。
なにこの丸投げ状態
しかも個人の話じゃないとか
262:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 20:18:20.52 DB1DTFbea.net
>>259
企業なら、システム管理者・・・というレベルじゃないな、あんたがシス管か
有料セキュリティソフトくらい使ってるんだろうから、その会社に、
・CryptXXXのv3(拡張子.cryp1)に感染
・Bedepによる情報流出の疑いあり
この2点を伝えて指示を仰げ
これ以上のフォローをする気は(少なくとも俺からは)一切ないのであしからず
263:名無しさん@お腹いっぱい。 (ワッチョイ 132f-kHkB)
16/05/30 20:27:54.64 /DBNOE++0.net
興味本位でMalwarebytes Anti-Ransomware入れてみた
画像がたくさん入ったフォルダをゴミ箱に捨てた瞬間
エクスプローラーを隔離しようとしてきて心臓止まるかと思った
実害なかったし強制終了してやり直したら誤検しなくなったけど何だったんだあれ
264:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 23:57:31.35 DB1DTFbea.net
MBAEやらMBARやらは、大量のファイル移動は引っかかる話を何度か目にした記憶があるな
挙動が似てるんだろう
265:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/30 23:58:32.40 DB1DTFbea.net
あれ上げちまった
266:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/05/31 00:08:42.26 VjggDmoGa.net
>>251
URLリンク(esupport.trendmicro.com)
のImportant Note about Decrypting CryptXXX V3に、Original Photo/Photo after partial data decryptionの例が追加されている
267:名無しさん@お腹いっぱい。 (スプー Sdff-khAS)
16/05/31 00:09:44.94 HH+jCTxrd.net
MBARは多少の誤検出はユーザー側で対処してでも怪しい動きを封じ込めるという使い方
268:名無しさん@お腹いっぱい。 (ワッチョイ 83d8-dYmh)
16/05/31 01:36:18.40 /yyRmhV/0.net
MBARはまだβ版だからなあ
269:名無しさん@お腹いっぱい。 (ワッチョイ 132f-kHkB)
16/05/31 16:12:01.88 Cr3qHjl10.net
ファイル一括リネーム系のソフトとかモロ引っかかりそうだな
1回誤検出させてから除外すればいいのかな
270:名無しさん@お腹いっぱい。 (アウアウ Saff-RIX8)
16/06/01 03:42:13.52 9W0sO0+ta.net
>>269
malwarebytesのスレなら前から使ってる人、詳しい人はいる
271:名無しさん@お腹いっぱい。 (ワッチョイ 1fd9-kHkB)
16/06/01 03:46:50.40 St76zyiZ0.net
今は除外設定に入れても誤検知するようになってるからBitのがいんじゃね
Malwarebytesのほう入れてるけどもうOFFにしてるわ
万が一ランサムウェア感染したときに即ONにするつもりだからアンインストールはしてないけど
272:名無しさん@お腹いっぱい。 (オイコラミネオ MMff-khAS)
16/06/01 09:42:18.34 3NLrJ+slM.net
>>263
それ、フォルダの中身やばいやつ?
単純所持で通報しとく?
273:名無しさん@お腹いっぱい。 (JP 0Hff-9Hh6)
16/06/01 10:06:01.16 /aMmJCS7H.net
Malwarebytesの仕組みは間違っちゃ無いけど
誤検出が致命的なんだよね
274:名無しさん@お腹いっぱい。 (ワッチョイ 9baf-kHkB)
16/06/01 13:49:21.67 R58V7QbJ0.net
知り合いがロッキーとかいうのにかかって電話とんできたがこんなの流行ってたんだな
ロッキーだけはまだどうしようもなさそうだから待つしかねえか
275:名無しさん@お腹いっぱい。 (アウアウ Sa7f-SNRC)
16/06/01 14:22:57.98 c1ZbL+gqa.net
Lockyが解除されるのは期待薄である
6万円以上の価値があると思うデータなら金払った方がいいかも
そこまでのデータではないなら諦めよう
276:名無しさん@お腹いっぱい。 (ワッチョイ b26d-ChPp)
16/06/02 00:07:19.40 Pgmr+y1f0.net
お金払ってもダメだったケースあったよな。
どっかの病院で。
277:DR120DMC10UE (ワッチョイ 5df2-WvpM)
16/06/02 06:04:55.06 VCwxViHG0.net
ブロックリスト
as3.mmm-mmm.info
www.ashleyrnadison.com
www.tomodachinpo.com
reallifecam.com
278:名無しさん@お腹いっぱい。 (アウアウ Sa76-wumw)
16/06/02 21:14:52.52 NIhTLF2va.net
CryptXXXの最新版(.cryp1, UltraDeCrypter)で、
ファイル復旧ソフトのPhotoRecで一部復旧に成功した例が報告されている
URLリンク(www.bleepingcomputer.com)
(成功したのがsomeで、バックアップやら何やらからも含めてmostという意味だろうな、日本人のようだが)
念のため書いておくと、ファイル復旧ソフトはその性格上、直後が最も復旧できる確率が高く、その後はPCをいじればいじるほどどんどん別データが上書きされ復旧しにくくなるので注意
と同時に、案外と、この手の各種ファイル/HDD復旧ソフトを色々試すと他にもうまくいくものはあるのかも
(もっとも試せば試すほど上記理由で破壊されていってしまうが)
一応 >>21,24にも付けとく
279:名無しさん@お腹いっぱい。 (アウアウ Sa76-wumw)
16/06/02 21:19:24.52 NIhTLF2va.net
CryptXXXの最新版(.cryp1, UltraDeCrypter)の紹介記事(スクリーンショット付)
URLリンク(www.bleepingcomputer.com)
280: [Φ|(|´|Д|`|)|🌀] BBxed!! ◆Akina/PPII (ワイモマー MMe5-keRX)
16/06/03 01:56:58.69 dGbFBml5M.net BE:223181803-2BP(1000)
sssp://img.2ch.sc/ico/sii_link.gif
>>277
フム
有難う
タワケに伝えておきます。
>>278-279
御疲禮様豐御座ヰマスル
281:名無しさん@お腹いっぱい。 (ワッチョイ df58-rLyq)
16/06/04 21:25:49.58 3nmgxtN00.net
4月にかかってファイルの終わりが全部cryptになった者なんだが
もしかして復元できるようになったのか?
282:名無しさん@お腹いっぱい。 (ワッチョイ d705-T5mf)
16/06/04 21:44:07.43 fV05VKdL0.net
カスペルスキーので9割くらいは復元できるよ
txt、mp4あたりは無理
アプデを待とう
283:名無しさん@お腹いっぱい。 (ワッチョイ df58-OAyH)
16/06/04 22:02:48.49 3nmgxtN00.net
RannohDecryptorってやつか
DLして試そうと思ったらもしかして元のファイル無いと駄目なのか?
284:名無しさん@お腹いっぱい。 (スプー Sdb8-ud2d)
16/06/04 22:37:42.72 6JnbBSaId.net
>>282
カペで復元できるとな?
285:名無しさん@お腹いっぱい。 (ワッチョイ 81bf-ChPp)
16/06/05 00:00:29.80 kVtQQAaB0.net
カスペなら最近のは無くてもいける。トレマクのは必要な場合もある。
無い場合はフリーソフトのZIPやJPG動画サイトの再ダウンロードflv/mp4とかネット上のコピーでもおk
あと未来のアプデ用に1つくらいサンプルxxxxxxxxx.zip.crypt.bkとして感染ファイルと復旧済みセットで残しておくといい。
286:名無しさん@お腹いっぱい。 (ワッチョイ 81bf-ChPp)
16/06/05 03:28:35.43 kVtQQAaB0.net
Trend Micro Ransomware File Decryptor
新しいの来てる
esupport.trendmicro.com/solution/en-US/1114221.aspx
CryptXXX V1, V2, V3* {original file name}.crypt
TeslaCrypt V1** {original file name}.ECC
TeslaCrypt V2** {original file name}.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3 {original file name}.XXX or TTT or MP3 or MICRO
TeslaCrypt V4 File name and extension are unchanged
SNSLocker {Original file name}.RSNSLocked
AutoLocky {Original file name}.locky
287:名無しさん@お腹いっぱい。 (ワッチョイ d705-T5mf)
16/06/05 07:03:03.71 xk3RLmc10.net
トレンドマイクロ社のはフォルダ指定できるのがいい
カスペルスキーのは全部スキャンするから辿り着くまで時間がかかる
288:名無しさん@お腹いっぱい。 (アウアウ Sa76-wumw)
16/06/05 08:47:44.48 79ZBSx9ia.net
>>286
ver.くらい入れとけ
RansomwareFileDecryptor 1.0.1569 MUI.exe
uploaded on June 3, 2016, at 15:30 GMT
CryptXXX V3についての記述は変わってないから、
単にAutoLocky(前スレ415、emsisoft復号対応済)を取り込んだだけだな、おそらく
TeslacryptDecryptor(1.0.1569 MUI.exe)も同時にver.upしてるからそっちも少しは何か改善したのかもしれんが
289:名無しさん@お腹いっぱい。 (スプー Sdb8-4qA/)
16/06/05 11:13:11.11 t5+L+UJGd.net
>>288
.locky対応したのか!
290:名無しさん@お腹いっぱい。 (スプー Sdb8-4qA/)
16/06/05 11:14:33.33 t5+L+UJGd.net
すまぬ。lockyでもオリジナルのファイルネームがあるやつだけやね…。
291:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/05 18:26:44.86 mWaxwUKG0.net
あまり無知な者ですまないのだが、自宅のPCがどうやらCryptXXX3.0に感染したらしく、
ほとんどのファイルが.cryp1という拡張子に変わってしまったんだけど、現状ファイルは復元不可能ですか?
最悪の場合ほとんどのファイルは諦めがつくけど、動画ファイル(.avi.mp4.flv等)や画像ファイル(.jpg等)はできれば元に戻したいです。
ここは詳しい人が多いと思うので、CryptXXX3.0について教えてくれる人がいたら助けて貰いたいです
292:名無しさん@お腹いっぱい。 (ワッチョイ 3fbd-ChPp)
16/06/05 18:33:16.74 JDs+KXx+0.net
>>291
>>286は読んだかにゃ
どうせエロ動画とエロ画像なんでしょw
293:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/05 19:56:17.89 mWaxwUKG0.net
>>292
エロ動画ならファイル壊れても諦めつくよw
ほんとに無知で申し訳ないんだけど、
>>286をとりあえず全て試してみれば良いってこと?
それともどれかがCryptxxx3.0専用の復元ツールになってる?
294:名無しさん@お腹いっぱい。 (ワッチョイ 9fec-4qA/)
16/06/05 22:32:56.65 tm7MmrTD0.net
>>293
全ての意味がわからん
そのトレンドマイクロのツール試してみればいわれてるんだよ
cryp1は最新型なので多分無理だろうけど、まぁ一応試してみればと
295:名無しさん@お腹いっぱい。 (ワッチョイ 3fd8-wF3E)
16/06/05 23:47:06.06 pPJlqjMN0.net
CryptXXX3.0はどうかはわからないけど、今のところ画像とか圧縮ファイルは元に戻った感じ。
動画は戻ったっていう報告を自分はまだ確認できていない。
cryp1も待ってればツールのアプデでできるようになるかもしれないしできないかもしれない。
296:名無しさん@お腹いっぱい。 (アウアウ Sa76-wumw)
16/06/06 07:06:39.99 HkHeY5Lma.net
CryptXXX Ransomware Learns the Samba, Other New Tricks With Version 3.100 (.cryp1)
URLリンク(www.proofpoint.com)
297:名無しさん@お腹いっぱい。 (アウアウ Sa76-wumw)
16/06/06 07:09:48.07 HkHeY5Lma.net
CryptXXXに新種(.crypz)
URLリンク(www.bleepingcomputer.com)
298:名無しさん@お腹いっぱい。 (アウアウ Sae5-wumw)
16/06/06 18:30:44.36 yP1gSz8Oa.net
>>251関連で、
.docと.docxについて、Microsoft Officeのrecoverを手動で行うことを併用することで復旧に成功した人が複数出てる
URLリンク(www.bleepingcomputer.com)
ただし日本語でうまくいくかは知らん
299:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/06 20:36:11.60 T8RMFEhv0.net
>>294
すまんやっと理解した
>>286試してみたけど、ファイル自体は復元できたが開こうとするとエラーになってダメだった…
みんな親切にレスありがとう
ところで感染した人はその後の対応はどうしてる?
最悪出荷状態に戻せば手っ取り早いみたいだけど、インストール済みのアプリ等消えてしまうから対応に迷ってる
CドライブのあらゆるフォルダにランサムウェアのHTMLファイルとテキストファイル(身代金要求文?)がばらまかれてる状態なんだがやはり初期化するべきなのか?…
300:名無しさん@お腹いっぱい。 (アウアウ Sa21-jzyo)
16/06/06 20:52:20.36 Br+Dyjwca.net
>>299
それはウイルスじゃないから気にせずとも良い
ウイルスを完全に取り切れてるならリカバリーする必要はないが、cryptXXX系は他の個人情報流出系ウイルスとセットになってばらまかれてることも多いので、リカバリーするほうが安心>>40
金払うつもりはないなら、将来、ファイルが復号できるようになったときのために暗号化されたファイルは暗号化されてないファイルと共にバックアップしておこう
301:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/06 21:29:40.06 T8RMFEhv0.net
>>300
分かりやすく説明ありがとう
ここの人たちより確実に知識に疎いので完全に駆除しきれる自信ないから、リカバリするのが今の所は最善なのかな…
ちなみに暗号化されてないファイルっていうのはどれのこと?
暗号化されたファイルは拡張子が変えられて普通にそのままのフォルダにあるやつでいいと思うんだけど、されてないファイルってのがイマイチ理解できてなくて
302:名無しさん@お腹いっぱい。 (アークセー Sx89-ud2d)
16/06/06 23:53:42.33 xHKEwAUEx.net
これは酷い
UltraCrypter not providing Decryption Keys after payment. Launches Help Desk
URLリンク(www.bleepingcomputer.com)
303:名無しさん@お腹いっぱい。 (スプー Sdc8-ud2d)
16/06/07 01:56:33.80 pV+yNvZId.net
>>301
前スレ671を読めばわかる
304:名無しさん@お腹いっぱい。 (スプー Sdc8-ud2d)
16/06/07 01:58:12.49 pV+yNvZId.net
>>301
あとこのスレの>>203とか
305:名無しさん@お腹いっぱい。 (アウアウ Sae5-wumw)
16/06/07 02:49:12.20 cbonT7wVa.net
>>302
>>155以降、developers' decryptorは何度か更新されているが、
状況は変わらないというより、更新するごとにdecryptに成功する人は減っている印象、
UltraCrypterになってからは成功した人はまだ見かけていない
ransomというより事実上ただの詐欺と化している
306:名無しさん@お腹いっぱい。 (ワッチョイ d7e0-4qA/)
16/06/07 12:02:24.64 avW07bAw0.net
Lockyに感染した。死にたい。ここで調べたらまだ復号化出来ないのね。2.0ビットコイン送金しろ!とブラウザ上で表示しているんだけど、日本円で幾らになるのかな。。
307:名無しさん@お腹いっぱい。 (アウアウ Sa21-4qA/)
16/06/07 13:45:47.73 cLSuv522a.net
>>306
いまは12万6000円くらい
308:名無しさん@お腹いっぱい。 (ワッチョイ d7e0-4qA/)
16/06/07 14:17:01.64 avW07bAw0.net
>>307
レスありがとう。もう現状だと復号化ツールもでなそうだし、金払うしかないのかな…涙
309:名無しさん@お腹いっぱい。 (ワッチョイ fcd8-Kayl)
16/06/07 14:32:37.27 Gb7fdE0f0.net
自動起動さえ止めとけばそのうち複合化ソフト出るだろ
310:名無しさん@お腹いっぱい。 (アウアウ Sae5-wumw)
16/06/07 16:17:05.06 4KqqhNMYa.net
>>305
訂正 UltraDeCrypter
と書こうとしたら、記事タイトルも本文中でもforumでもUltraDeCrypter/UltraCrypterの両方混ぜこぜだな
ま通じるからいいか
311:名無しさん@お腹いっぱい。 (スプー Sdc8-ud2d)
16/06/07 16:22:16.54 7xP8K6VCd.net
オフラインのバックアップがあれば、HDDごと交換する手も
312:名無しさん@お腹いっぱい。 (ワッチョイ 81bf-ChPp)
16/06/07 17:19:49.69 /KBqocaA0.net
>306
Windowsの復元ツールや
ファイル復活recuva、PhotoRec 試せ。
初期設定のままWin使っている初心者ほど実は助かる要素ある。
313:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/07 21:16:55.06 0gdsuyQw0.net
>>304
前スレ671と>>203見てきた
暗号化されたものと同じファイルをネットで保存してオリジナルファイルにすれば復元できることはわかったが、例えば自分でデジカメで撮影した動画や画像を外付けにバックアップ取ってなかった場合はオリジナルファイルが用意できないから復元不可能なの?
ちなみにバカだと思われるかもしれないが、SDカードのデータは感染前にPCに移してすぐに容量空けるために消してしまった
314:名無しさん@お腹いっぱい。 (ワッチョイ fcd8-Kayl)
16/06/07 21:29:30.34 Gb7fdE0f0.net
>>313
ファイル復元ソフトでSDカードのデータ復元出来るんじゃね?
ゼロフィルじゃないならデータ消してもヘッダーだけ消して認識しなくしてるだけのこと多いし
315:名無しさん@お腹いっぱい。 (ワッチョイ 3653-4qA/)
16/06/07 22:24:24.63 0gdsuyQw0.net
>>314
そんな方法があるのか、
ありがとう試してみる
>>300で教えてもらった通り念のためにリカバリーするつもりなんだけど、CryptXXX3.0の復元ツールが出たときのために感染ファイルのバックアップ。
その他にリカバリー前にやっておくべきことは何かあれば教えてもらいたい
316:名無しさん@お腹いっぱい。 (ワッチョイ 8d6d-k5Ea)
16/06/07 22:39:09.22 1BIpnW8j0.net
AnglerEKがEMETを突破したから使ってるヤツは気をつけろよ
317:名無しさん@お腹いっぱい。 (スプー Sdb8-ud2d)
16/06/08 02:20:16.91 S0I3SI1Bd.net
>>316
まじか
MBARいれとくわ
318:名無しさん@お腹いっぱい。 (オイコラミネオ MMb4-ud2d)
16/06/08 06:16:41.23 86bE2qtUM.net
>>312
www
319:名無しさん@お腹いっぱい。 (ワッチョイ fcd8-Kayl)
16/06/08 14:24:10.49 6w+7I8ps0.net
>>316
sandboxieとEMETでブラウザ開いてるからへーきへーき
320:名無しさん@お腹いっぱい。 (ワッチョイ 22d9-ChPp)
16/06/08 15:06:07.37 zgt3NnoK0.net
突破も何もEMETは防止効果なくて脆弱性攻撃の成功率下げるだけだしな
保護対象ならペイロード実行防止効果のあるMBAEのがよっぽど効果ある
321:名無しさん@お腹いっぱい。 (スプー Sdb8-ud2d)
16/06/08 15:46:06.88 S0I3SI1Bd.net
>>313
ちゃうちゃう
なんでわかんないかなー
簡単に言うと、復号するためには感染したパソコンにつき一つずつ違うキーが必要なわけだよ
だけども、通常は犯人に身代金を払わないとキーはもらえない
だから、無料の復号ツールはランサムウェアのプログラム上の弱点をついて、暗号化されたファイルと、その暗号化される前の同じファイルの差異を解析してキーを作り出してる
それが作り出せたら、それを暗号化されたほかのファイルの復号にも適用できる
無理矢理作り出して本来のキーとは違うので、現状、本来のキーのように100%戻せるわけではなくファイル型式によっては戻せないものとかもある
平易に書くとこんな感じ
そもそも全ての暗号化されたファイルに暗号化されてないファイルが用意できるなら、別に暗号化されても困らへんやん!っていうことになりますやん。。
322:名無しさん@お腹いっぱい。 (スプー Sdb8-ud2d)
16/06/08 15:52:51.21 S0I3SI1Bd.net
ちなみに、この復号キーを作り出す方法はいろいろあるので、常に必ずオリジナルファイルが必要というわけではないが、そういう方法でキーを作り出す必要がある場合もある、ということね
323:名無しさん@お腹いっぱい。 (ワッチョイ 532b-XIdu)
16/06/08 20:09:05.46 dGNPWGql0.net
UltraCrypterは、支払いしても復号キーを提供しない、代わりに、ヘルプデスクが追加された
URLリンク(www.hippo.flnet.org)
324:名無しさん@お腹いっぱい。 (ワッチョイ 67a6-yopd)
16/06/09 05:30:43.28 fK098ew20.net
一応報告
RKLauncher.exeがMBARに検出された
誤検出だと思うけど
325:名無しさん@お腹いっぱい。 (アウアウ Sa97-AHtr)
16/06/09 15:20:56.54 QguWD/jJa.net
はい
326:セキュリティ証明書には問題があります (ワッチョイ 4bf2-YsjG)
16/06/10 12:05:26.87 +txssmXa0.net
この Web サイトのセキュリティ証明書には問題があります
URLリンク(www.qupzilla.com)<)
327:検出出来ない。 (ワッチョイ 83f2-YsjG)
16/06/10 23:31:43.63 kL1SEOjw0.net
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
328:名無しさん@お腹いっぱい。 (ワッチョイ 23df-oU5x)
16/06/11 08:53:16.13 g/bJvpce0.net
ランサムてww ランサームランサームww
329:名無しさん@お腹いっぱい。 (ワッチョイ ff6d-drwA)
16/06/11 20:45:43.05 kYz9+w1M0.net
昨日crypzに感染しました
ほぼ全ての関連ファイルがcrypz化して見れない状態です
ウィルス自体を削除した覚えはないのですが、新たに作成した画像データ等はcrypz化せず表示できます
対応ソフトが出ることを祈って、このまま放置で大丈夫でしょうか
330:名無しさん@お腹いっぱい。 (オイコラミネオ MM2f-jNGR)
16/06/11 23:44:50.60 uoBMwHe8M.net
>>329
msconfig でスタートアップをチェックしておけ
331:名無しさん@お腹いっぱい。 (ワッチョイ 9bc5-CVpW)
16/06/11 23:55:15.39 CxNy48Em0.net
タクススケジューラも
332:名無しさん@お腹いっぱい。 (ワッチョイ 8373-DvND)
16/06/12 16:02:00.44 mvNia3no0.net
cerberに感染したわ
恐らく更新日時が新しい物から書き換えられたっぽい
バックアップのイメージファイルも書き換えられてて復元しようにもできない
今の所復元策は無いのかな
>>117 がcerber用のようだけどそのURLからじゃダウンロードできない、誰か持ってる人いたら頼む
333:名無しさん@お腹いっぱい。 (ワッチョイ b3ec-oU5x)
16/06/12 17:14:53.47 kMWA5duY0.net
>>332
前スレ753に書いてるように使うことでファイルが破壊される可能性もあることを理解してるなら再アップしてもいいけど
334:名無しさん@お腹いっぱい。 (ワッチョイ 8373-DvND)
16/06/12 20:25:57.56 mvNia3no0.net
>>333
前スレよく読んだら復元ソフトがあっても認証が無いと正しく復元できない可能性があるんだな
さすがに怖くて出来んな
不幸中の幸いで殆どのアプリケーションの設定ファイルと最近保存した画像ファイルを書き換えられた程度だから
ID Ransomwareを定期的に見て複合ツール完成を待つわ
とりあえず今日は修復で疲れた・・・まさかバックアップ用のHDD2台とも壊されるとは・・・
335:名無しさん@お腹いっぱい。 (アウアウ Sa97-AHtr)
16/06/12 21:59:52.95 3qw++ks3a.net
復号な、、、
合体させるんじゃねーつの
336:名無しさん@お腹いっぱい。 (オイコラミネオ MM2f-jNGR)
16/06/12 22:52:16.42 pEol6cTbM.net
バックアップは普段は外しておけ
これ常識だろ
337:名無しさん@お腹いっぱい。 (アウアウ Sa97-AHtr)
16/06/13 00:17:41.39 Y2JQJQZBa.net
>>336
日本語で頼むわ
338:名無しさん@お腹いっぱい。 (ワッチョイ 4be6-7xHu)
16/06/13 00:22:38.56 LmkUUm5T0.net
>>337
日本語理解できないシナチョンは自国の掲示板行ったほうが良いぞ
339:名無しさん@お腹いっぱい。 (ワッチョイ 5fd8-I1hv)
16/06/13 01:15:00.24 CKXH6rmz0.net
バックアップを外しておけ
が正しい日本語だと思ってるバカww
さすが、二言目には脊髄反射のようにシナチョンとか言葉が出るネトウヨは頭が悪いなwww
340:名無しさん@お腹いっぱい。 (ワッチョイ 9bc5-CVpW)
16/06/13 01:34:30.55 AUde9Jak0.net
二つ目のはは無い方が読みやすいって程度だな
2chなら許容レベル
341:名無しさん@お腹いっぱい。 (ワッチョイ 4bf5-AzKx)
16/06/13 01:55:43.46 N9FfxoLi0.net
毎日バックアップを取るたびに
付けたり外したりする方が異常なんだろ?
342:名無しさん@お腹いっぱい。 (ワッチョイ 07d8-Uinm)
16/06/13 02:14:28.23 nPnski8O0.net
ランサム対策はHDD内と外付けの二重バックアップが推奨されてるから外付け外すの当たり前じゃん
343:名無しさん@お腹いっぱい。 (ワッチョイ 3b80-jNGR)
16/06/13 02:46:42.79 q4h4MDq20.net
そこまでバックアップに気を遣ってる人は
そもそも感染なんかしない
344:名無しさん@お腹いっぱい。 (ワッチョイ 7b6d-xNYz)
16/06/13 03:06:27.97 WfsYaYIs0.net
それバックアップちゃうただのコピーや
345:名無しさん@お腹いっぱい。 (ワッチョイ 2380-36FP)
16/06/13 09:14:49.40 dmWMvJxl0.net
>>343
スゲェな。心がけだけでランサムウエアに感染しないんだw
うちも週一で外付けHDDにバックアップして取り外しアイコンで外し、電源切ってるよ。
今のは感染後に潜伏していつ、活動するか判らないので注意で防げるレベルじゃ無いよな。
346:名無しさん@お腹いっぱい。 (アウアウ Sa97-oU5x)
16/06/13 19:35:23.89 /DRVcTpKa.net
Citrix社が英国のIT会社・セキュリティエンジニアを調査。その結果、3分の1の企業は、ランサムウェア被害に遭った際、直ぐに犯罪者に支払えるよう、ビットコインを貯蓄しているという。
URLリンク(securityaffairs.co)
347:名無しさん@お腹いっぱい。 (JP 0H3f-JQnx)
16/06/14 09:24:46.88 0yKZteiqH.net
Googleレポート以降、熱では壊れないとか変にHDDの不滅論を言い出す輩が増えたしな
348:名無しさん@お腹いっぱい。 (スプー Sd4f-jNGR)
16/06/14 17:57:24.85 yVH1Ll4Cd.net
>>345
電源切ってたら壊滅なんてしないだろ
349:名無しさん@お腹いっぱい。 (ワッチョイ 9bc5-CVpW)
16/06/14 18:51:27.93 OT880Fxi0.net
常時接続されてないバックアップもろとも書き換えるためか
潜伏しつつUSBデバイスの接続待ってる様なタイプも出回り始めてる様で
350:名無しさん@お腹いっぱい。 (ワッチョイ ef9c-7xHu)
16/06/14 19:08:25.43 1Aq0ofA50.net
それ怖すぎ
バックアップ二重に無いと死ぬじゃん
351:名無しさん@お腹いっぱい。 (ワッチョイ 3b80-jNGR)
16/06/15 03:50:35.69 P+Iy87J70.net
>>349
何それ怖い
352:名無しさん@お腹いっぱい。 (ワッチョイ 1bd8-iLHn)
16/06/15 05:18:56.16 +Gpo+YlR0.net
MBARW 0.9.16.484 Beta 7 来た
353:名無しさん@お腹いっぱい。 (ワッチョイ ef6a-36FP)
16/06/15 07:32:33.47 eFRSca2l0.net
>>352
URLリンク(forums.malwarebytes.org)
これか? リンクくらい貼れば良いのに。
354:名無しさん@お腹いっぱい。 (ワッチョイ 8b2f-YxPI)
16/06/15 08:11:00.71 mwnk8gp40.net
>>352
25Jan. のリリースとなっている、半年も前のバージョンだな
355:名無しさん@お腹いっぱい。 (ワッチョイ 4b9b-ARbp)
16/06/15 09:55:45.64 U5RCquyO0.net
>>349
プロセス監視しながら、外付けHDの電源入れたとき変なプロセスが動き出さないか
確認しながらバックアップすることにした
356:名無しさん@お腹いっぱい。 (ワッチョイ 1bd8-iLHn)
16/06/15 10:33:27.04 +Gpo+YlR0.net
>>354
1月25日リリースのやつは一番最初のバージョンね。
URLリンク(forest.watch.impress.co.jp)
今回のは先週の金曜日に出てるよ。
URLリンク(forums.malwarebytes.org)
357:名無しさん@お腹いっぱい。 (ワッチョイ b3ec-oU5x)
16/06/15 14:02:57.46 09tal75b0.net
>>354
分かってないのにテキトー事書きすぎ
358:名無しさん@お腹いっぱい。 (アウアウ Sa97-AHtr)
16/06/15 18:42:01.60 DmlySLOua.net
ランサムウェアに強い、弱いアンチウイルスソフト比較
URLリンク(i.imgur.com)
URLリンク(www.mrg-effitas.com)
359:名無しさん@お腹いっぱい。 (ワッチョイ 072b-jNGR)
16/06/15 23:17:03.25 WOhpqVTU0.net
>>358
マカフィーってダメだったのねorz
rockyにやられた
360:名無しさん@お腹いっぱい。 (ワッチョイ c66a-tzHU)
16/06/16 00:34:15.30 HhQFV6Lh0.net
>>358
たいていのランキングでうちで使ってるNortonはぱっとしないんだけど、珍しく100%だなw
361:名無しさん@お腹いっぱい。 (ワッチョイ 6fec-ntlg)
16/06/16 01:16:12.84 3e76Xzx50.net
>>358
カスペルスキーはどこのテストでも強いね
362:名無しさん@お腹いっぱい。 (ワッチョイ 0180-qS7w)
16/06/16 02:35:59.94 CxZ5re9q0.net
ESETどうした?
363:名無しさん@お腹いっぱい。 (アウアウ Sac5-ntlg)
16/06/16 05:35:45.72 FIVwdSxBa.net
「Adobe Flash Player」に深刻なゼロデイ脆弱性
URLリンク(japan.cnet.com)
364:名無しさん@お腹いっぱい。 (ワッチョイ 0d3a-4fuR)
16/06/16 05:43:20.08 lBFMfEN+0.net
Avastでくらった俺が颯爽と登場w
こういうのはあまり当てにしない方が良いけどAviraって駄目なのかね
無料だとAvira・Avastはユザー多いと思うんだけど
365:名無しさん@お腹いっぱい。 (ブーイモ MMa8-qS7w)
16/06/16 08:33:09.76 Gi0mHG69M.net
>>363
またお前か状態
366:名無しさん@お腹いっぱい。 (ワッチョイ 70bf-rFqC)
16/06/16 09:55:10.90 Kclpco7P0.net
マ イ ン ド コ ン ト ロ ー ル の手法
・沢山の人が、偏った意見を一貫して支持する
偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法
・不利な質問をさせなくしたり、不利な質問には答えない、スルーする
誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法
偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い
靖 国 参 拝、皇 族、国 旗 国 歌、神 社 神 道を嫌う カ ル ト
10人に一人は カ ル ト か 外 国 人
「ガ ス ラ イ テ ィ ン グ」 で 検 索 を !
367:名無しさん@お腹いっぱい。 (ワッチョイ a6a0-oJ6o)
16/06/16 23:22:38.65 QH44k2430.net
crypz踏んだわーorz
エロ系だけで済んだっぽいのは大ラッキーだけど、メールとか避難させて再インスコマンドクセ
368:名無しさん@お腹いっぱい。 (ワッチョイ 0180-qS7w)
16/06/16 23:35:51.52 CxZ5re9q0.net
相変わらず感染源の情報が
一切出てこない不思議
369:名無しさん@お腹いっぱい。 (スプー Sdf8-qS7w)
16/06/16 23:46:06.79 PZsTPXE7d.net
>>349
何それ怖い
370:名無しさん@お腹いっぱい。 (アウアウ Sac5-ntlg)
16/06/16 23:48:25.96 kVcW0jdta.net
>>368
相変わらず基地外ぶりが変わらんねんな
371:名無しさん@お腹いっぱい。 (ガラプー KK76-AnHX)
16/06/17 00:00:56.14 RiKk2NzhK.net
>>368
スマン興奮しすぎた、ロダの最初のクリックで広告ページが出る系の所だと思う
ノートンめっちゃ騒いだ
削除までのレポまとめてみるけど明日来なかったら削除失敗してて完全死だと思ってくれ
372:名無しさん@お腹いっぱい。 (スプー Sda8-qS7w)
16/06/17 00:07:16.50 9ExCxVJPd.net
エロサイトによくあるタイプか、お大事に
373:名無しさん@お腹いっぱい。 (ワッチョイ 0d6d-4fuR)
16/06/17 00:22:30.44 ccW8B6Y60.net
企業向けセキュリティ対策製品のランサムウェア対策機能を強化
~エンドポイントにおいて暗号化されたファイルを自動的に復旧~
URLリンク(www.trendmicro.co.jp)
374:名無しさん@お腹いっぱい。 (オッペケ Sr4d-mhfS)
16/06/17 10:13:27.16 3VKhFSbLr.net
俺は恐らくB9っていうアニメサイト
そこ以外思い当たるフシがない
375:名無しさん@お腹いっぱい。 (ワッチョイ 6b80-Dao1)
16/06/17 11:06:36.33 O55V6fop0.net
>>371
>>358 でせっかくノートンがランサムウエア 100%ガードになっていたのにw
派生タイプとかでガードしきれなかったんだろうけど。
376:名無しさん@お腹いっぱい。 (ワッチョイ a6a0-oJ6o)
16/06/17 11:37:01.10 t9JYrFvd0.net
crypz感染と挙動
(既にdllファイルなど削除して所々うろ覚えなので参考程度に)
RZA4096におそらくネット経由、IE使用
bigfileってロダが1回目にどこクリックしても広告タブが開く
その数種類ある広告の中で「あなたのpcに問題があります」って電話番号入りのポップアップが消しても消しても出てくるパターンがある
いつもはこれを
1.タスクバーからポップアップ元のタブの×印を押してからポップアップを消す
2.タスクマネージャーからポップアップ元のページのプロセスを止めてからポップアップを消す
のどちらかで止まるんだけど、
今回のびっくりな挙動は、タスクマネージャーを開いても一瞬で閉じるようにされたこと
良くも悪くもこれが不審過ぎたんで異常に気付いた
あと複合原因として、win10うp要求が激しいんでwinアップデートを手動にしてたのと
ノートンが勝手にお宝ファイルを消すんでソナー保護を止めて上に、この時点でトロイに対するパワーイレイサーが起動したのにそれも1回止めたこと
(その後、手動で実行)
>>375
ノートン悪くない、5重くらいに自業自得だぜ
エロだけで済んだのが奇跡
377:名無しさん@お腹いっぱい。 (ワッチョイ a6a0-oJ6o)
16/06/17 11:41:18.48 t9JYrFvd0.net
タスクマネージャーのこの挙動についてはググっても全く引っかからなかった
その後、レジストリとスタートアップをチェック
ファイル名を指定して実行regeditでレジストリから
HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\RUN内の怪しい奴を全部削除
(俺の場合、マウスドライバとitune以外全部、3つくらい)
参考
URLリンク(www.geocities.co.jp)
スタートアップ
C:\Users\<USER>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
の怪しいショートカットからdllの場所を特定して削除、といきたいところだったけど使用中で削除出来なかったんでセーフモードで再起動して削除
スタートアップの起動ごとに新しく何かが作られてたっぽいけどこの辺うろ覚え
プログラムと機能、tempからも何か削除した気がする
この時の削除基準は、ファイル・フォルダの作成日時。感染が30分前くらいだと特定できていたので
これで一応止まった
止まった判断は、crypz化ファイルを全削除してからファイル検索して新規が作られていないため
タスクマネージャーも通常営業に戻ってる
最後に、現時点でのcrypzの無料解除についてはこの辺に
6月2週目の新種らしいんで対応状況はまだイマイチ
URLリンク(www.geocities.co.jp)
疲れたんで俺は破損ファイルは全部消して解除は試してない
(上記の終息判断のためでもあるが)
378:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/17 12:42:54.09 HDDEC+W/a.net
>>376-377
お疲れさん
> 今回のびっくりな挙動は、タスクマネージャーを開いても一瞬で閉じるようにされたこと
タスクマネージャ等立上げ阻害は、ランサムウェア、本物のマルウェアで割とよくある仕様(過去ログ参照)
> RZA4096におそらくネット経由、IE使用
脅迫文にRZA4096とあるけど実際はAESとRSAを使ってる
脅迫文の方が実際より強度のある暗号化処理を使っていると詐称して、諦めて支払う確率を少しでも上げる
これもランサムウェアでは普通によくある
あと、tempに入るのが最初でDL機能や2~3箇所くらいに撒いて動作させる
これは本物のマルウェアでよくある仕様、CryptXXXは半分その性格を持ってる
.dllなど読み替えて偽装/動作していくのはBedep系の共通仕様
雰囲気的には駆除できてそうだけど、いくつかのセキュリティソフトで1つでも引っかかるものがあればリカバリ推奨
ネットバンキングをしてるなら即時リカバリを強く推奨
CryptXXXは元々Bedep他とコンボで入れるパターンが観測されている
あと、そのサイト見てるなら蛇足だけど今後の予防のために、特にflashは直近で更新されたので忘れずに
379:名無しさん@お腹いっぱい。 (ワッチョイ f39b-4fuR)
16/06/17 13:16:43.98 LjSrfal60.net
ノートンって未知に弱いって聞いてたけど
ひょっとして強いのかなあ
380:名無しさん@お腹いっぱい。 (ワッチョイ c69c-4fuR)
16/06/17 13:28:43.73 HErd+bZ10.net
>>376
何?ノートンって勝手にファイル消すの?
381:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/17 14:06:08.55 HDDEC+W/a.net
>>358
70個だし(まぁそれだけ集めてご苦労さんともいえるが)
検出率からみて、実際に撒かれてから数十時間程度以上(40~80時間くらいかな)経過してからの調査だし
例えば、
既に感染済の人が、既存の常駐ソフトを入れ替えて(既に動作終了・自己消去してるはずの)残骸でも探すときの参考、程度にしかならない
まぁあんまり酷いのは報告後の対応が遅い等問題あり、とみてもいいだろうが
382:名無しさん@お腹いっぱい。 (JP 0H3e-kGau)
16/06/17 14:44:43.33 MD5C55F1H.net
>>379 たんにランサムの挙動に強いってだけじゃね
PDFの方のMalwarebyteはウイルスではワーストだしロジックの向き不向きがあるんだろ
383:名無しさん@お腹いっぱい。 (ワッチョイ a6a0-oJ6o)
16/06/17 22:44:44.98 t9JYrFvd0.net
>>380
使用報告のない実行ファイルは問答無用で消すのよ(隔離じゃないので戻せない)
主にRPGツクールゲー
384:名無しさん@お腹いっぱい。 (ワッチョイ d91f-2EOw)
16/06/17 23:51:05.87 hzpaA9bI0.net
URLリンク(news.drweb.com)
5月感染、***.cryptのver3で、1万5000円
ぐらい払ってコレをやっている。
すごい勢いでファイルが戻っている。
ウィルスなしでもオーケーだった。
感染ファイルを残したままで戻すので、
ストレージの容量が倍必要。
385:名無しさん@お腹いっぱい。 (ワッチョイ 7005-mhfS)
16/06/18 00:09:56.05 JspALTbF0.net
なにこれ、有料なの?
386:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/18 00:12:52.64 40mQBWk9a.net
Dr.Webので復号できるタイプなら、
カスペやtrendmicroでタダでできるんだが
それとも、そのカスペやtrendmicroでうまく復号できないファイルもいけた、とか?
まずムリなはずなんだけどね
387:名無しさん@お腹いっぱい。 (ワッチョイ d91f-2EOw)
16/06/18 00:18:43.55 COmD7LiR0.net
カスペがver3に対応してたかは知らない。
してたら払い損だったかも。
388:名無しさん@お腹いっぱい。 (ワッチョイ b180-qS7w)
16/06/18 03:53:42.04 yyEl1iiQ0.net
つーかこんなのに感染するなよw
389:VHR12JC10V1 (ワッチョイ e1f2-Q1qF)
16/06/18 04:53:35.63 QvDCi9+P0.net
Windowsテン
i)―∩、
l・ ・ ヽ、,_,,.ィ''"""´´´"""'''・ 、
`’"ヽ. ヽ.
ヽ. i__,,,. -―- 、 〔_ヽ.ヽ.
〕.,ノノ `''っ.,// ヽ、゙'ー::::::.、
10を勧めるのはイタチ
伊達
三菱 VHR12JC10V1 4991348068790
TDK DR120DMC10UE 4906933604369
Manufacturer ID: CMC MAG. AM3
390:DR120DMC10UE (ワッチョイ e1f2-Q1qF)
16/06/18 05:00:06.62 QvDCi9+P0.net
マンコおっぴろげサイトで感染するのか? アスレーマンションか?
日本人のマンコ満載のサイトでもあるのか。日本製マンコを見かけない。
田舎の緑豊かな風景をバックにmet-artのような雰囲気のサイトくらいしか
記憶にない。
391:名無しさん@お腹いっぱい。 (スプー Sdf8-qS7w)
16/06/18 08:28:11.81 AlRHVQ1+d.net
>>386
え?Trend Microで複合できるの?
392:名無しさん@お腹いっぱい。 (アウアウ Sac5-ntlg)
16/06/18 13:45:47.23 hsC+fahJa.net
まだ複合とか書いてるやつは死んでくれ
393:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/18 15:31:30.81 9sHj77PRa.net
CryptXXX Ransomware started to utilize the cryptz Extension
URLリンク(www.bleepingcomputer.com)
394:名無しさん@お腹いっぱい。 (アウアウ Sad9-QI99)
16/06/18 17:14:41.91 LpOAyslaa.net
ホワイトリスト型で防げるだろ
PC Maticとかな
395:名無しさん@お腹いっぱい。 (アウアウ Sac5-ntlg)
16/06/18 18:20:59.63 hsC+fahJa.net
>>329はなかなか世界でも早い段階で感染しとったんやな
396:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/18 19:40:30.72 ZsisMgUya.net
宣伝屋に、
他人のtypoに厳しいメクラ
ご苦労さんなこった
397:DR120DMC10UE (ワッチョイ e1f2-Q1qF)
16/06/18 22:54:10.91 2jKbhGXg0.net
625 : 名無しさん@編集中2016/06/18(土) 09:15:11.53 ID:qlyGSEB6
>>623
ITACHI Inspire the Next
398:名無しさん@お腹いっぱい。 (オイコラミネオ MM54-qS7w)
16/06/19 02:56:15.37 Dyqvezb5M.net
>>349
シードラ以外を探るのは世の常。
ネットワークドライブをデフォで認証するのは鴨だぜバキューン!
399:名無しさん@お腹いっぱい。 (オイコラミネオ MM54-qS7w)
16/06/19 03:01:58.46 Dyqvezb5M.net
>>381
美知丸への対応だと、上位もどれもクソ。
確かに、カウンターアクションの速さを競ってるだけだわな。
400:TLSで無理矢理表示 (ワッチョイ e1f2-Q1qF)
16/06/19 03:47:02.49 lOsCzazl0.net
TLSで無理矢理表示
syndication.exoclick.com Go Daddy Secure Certificate Authority - G2
URLリンク(www.virustotal.com)
Malicious site
known infection source not recommended site adult content
URLリンク(www.virustotal.com)
URLリンク(www.ssllabs.com)
URLリンク(www.ssllabs.com)
401:名無しさん@お腹いっぱい。 (ワッチョイ 6fec-ntlg)
16/06/19 16:17:03.96 omY0EtVv0.net
>>359
こっちでもMcAfeeは成績悪いな
総合防御力テスト 2016年5月 サンプル数=350
URLリンク(chart.av-comparatives.org)
URLリンク(www.av-comparatives.org)
100.0% Bitdefender, ThreatTrack
100.0% TrendMicro(7)
100.0% F-Secure(15)
99.70% Kaspersky
99.40% AVG, Lavasoft
99.40% Avira(3)
98.90% Tencent
98.90% ESET(1)
98.60% Avast(1)
98.30% eScan(4)
98.15% Emsisoft(1)
98.00% Sophos
97.70% Microsoft
97.60% BullGuard(9)
95.55% QuickHeal(3)
95.40% Fortinet
95.40% McAfee(2)
User dependentは1/2で計算 ()内は誤検出数
402:名無しさん@お腹いっぱい。 (ワッチョイ f9d8-wM7A)
16/06/19 18:59:04.52 mK1thfyz0.net
100%防御できるソフトなんて存在しないよ。
EMETやMBAEとかBDやMBのAnti-Ransomwareを入れて複合防御にするのが得策。
403:名無しさん@お腹いっぱい。 (オイコラミネオ MM54-qS7w)
16/06/20 00:56:38.75 ZwzwCRqvM.net
とんでもない乱寒くるね
404:名無しさん@お腹いっぱい。 (スプー Sda8-qS7w)
16/06/20 08:10:03.94 wveBYilad.net
と言いますと?
405:名無しさん@お腹いっぱい。 (アウアウ Sac5-ntlg)
16/06/20 19:14:10.53 3jjCuaqZa.net
興味深いね
サイバー犯罪集団が使う Locky、Dridex、Angler の活動が急に停滞
URLリンク(www.symantec.com)
406:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/22 05:50:51.30 rq5jnk9qa.net
#CryptXXX infected file extensions changed.The hexadecimal number which is random 5digits every machine. #ransomware
URLリンク(twitter.com)
URLリンク(www.bleepingcomputer.com)
拡張子: ランダムな5桁の16進数
ransom note: @<12 hex>.txt
407:名無しさん@お腹いっぱい。 (ワッチョイ 6fec-ntlg)
16/06/22 05:52:57.47 RkN/QHyB0.net
うーむ
408:名無しさん@お腹いっぱい。 (オイコラミネオ MM54-qS7w)
16/06/22 07:27:29.35 8c0UdZCCM.net
で、復号やれんのか?
409:名無しさん@お腹いっぱい。 (ワッチョイ 346d-6iFS)
16/06/22 14:37:10.48 z96u4yuk0.net
ネットワークドライブ内に@SDJCMSJAAA.BMP的な脅迫画像とテキストを見つけたから
adawareやMalwarebytesでフルチェックやスタートアップレジストリを綺麗にした。
で、調べても何も暗号化されて無いんだが時限発動前に処理出来たのか?イマイチ安全だと確証が持てん・・・
(ちなみに感染は昨日の夜9時でその後再起動無しのまま朝処理)
410:名無しさん@お腹いっぱい。 (ワッチョイ 6b80-Dao1)
16/06/22 14:47:32.35 Qnh4N3mg0.net
>>409
PCから切り離せるドライブに必要なファイルをバックアップして、それを外したまま様子見とか?
潜伏したランサムウエアがどれかのPCで発症すると思うけど。
411:名無しさん@お腹いっぱい。 (ワッチョイ c69c-4fuR)
16/06/22 15:29:02.00 LBvm+n+q0.net
その画像とテキストはどこから来たんだ?
412:名無しさん@お腹いっぱい。 (ワッチョイ bebe-Jul9)
16/06/22 16:04:19.38 B5RrWSy50.net
PC Maticって、ランサムウェアを阻止できるの?
413:名無しさん@お腹いっぱい。 (JP 0H3e-kGau)
16/06/22 16:10:48.16 /5dpUGkQH.net
>>409 なんとなくだけど
A.ローカルの環境で変換された(感染している)
B.たんに画像が落ちてきただけ
でいうところのBなんじゃね?
つうか、安全なランサムの紹介・警告サイトを見るだけでも
ブラウザのキャッシュとして画像は残るよね・・・
(まぁ感染変換後と同じファイル名でサイトを作るのはどうかと思うが・・・
つってもネットワークドライブにある事の説明にはもう少しエスパー解釈が必要なんだがw
あくまで想像で実際は、もっとやばいことが起きてる可能性もあるけど
ちょっと思い出して「あぁそういえば、ランサムのサイト読んだわw」とかないか?
414:名無しさん@お腹いっぱい。 (ワッチョイ 346d-6iFS)
16/06/22 20:25:05.58 z96u4yuk0.net
>>410
まあバックアップはとったんだけど、現状被害が無い(感染済みだがディレイ発動前?)状況で感染してるかってどうやって判断するのかと思って
>>411
それが気になる。サイトを見てて入ってきたのか、フリーソフトの解凍時に時限爆弾として指定以外のフォルダーに勝手に置かれただけなのか
>>413
キャッシュとかでは無いね。スタートアップにdllへのリンク置かれてたし
昨日夜ドライブバイダウンロードが仕込まれたサイト見た可能性高し
→潜伏+発症準備で脅迫画像+テキストやランサムウェアをドライブ内やスタートアップに撒く
→今日朝。java等アップデート+アンチマルウェア複数+レジストリ一部削除で、再起動などのトリガー前にプログラムが駆除される
→脅迫bmpとhtmlとtxtとスタートアップ内のトリガーのみが残る
って感じかと思ってるんだが、判定が出来んのよ
415:名無しさん@お腹いっぱい。 (アウアウ Sa3e-ZDHh)
16/06/22 21:43:25.93 QiZ7XJ0Ia.net
>>414
どのランサムウェアか知らんが、
俺の知る限り通例暗号化後にransom noteを貼る
(逆では発見が早けりゃカネが取れん)
その状況なら、何らかの理由で暗号化が阻害orスキップ、
がそれ以外の処理は進行し…、ってことだろう
暗号化処理が途中までで一部だったり(もちろんransom noteあり)ってのは割とよくある(全くゼロで、ってのは初耳)
暗号化処理前のkeyのやり取りで向こうのサーバが、とか想像はいろいろできうるね
ま俺なら検出したファイルや内容等をみてバックアップ/リカバリか一週間ほど連日監視/セキュリティソフト作動かを決める
416:名無しさん@お腹いっぱい。 (ワッチョイ 276d-wRvM)
16/06/23 07:07:00.70 uFktOYgB0.net
>>415
すまん、今調べてたら一応被害あった。予想感染時とほぼ同時刻にデータHDD対象拡張子ファイル数万の内ほぼ先頭から2つ70メガ、末尾が*.0B126に
感染→改竄開始→暗号化鯖は生きてたが、2つ終わった時点で何らかで暗号化停止(監視ソフトは動かして無かった)
→暗号化完了と判断、改竄データのフォルダー1つとマイコンピューター開けばすぐ見えるネットワークドライブ上にノート貼り付け
+再起動時にアピるようにスタートアップに表示ソフト仕込み→10時間後そのまま本体駆除される
って感じなんかな。今はリアルタイムanti-ransom起動中だが「何らかの理由」と「駆除確定」がわからんではリカバリか監視の判断が・・・
417:名無しさん@お腹いっぱい。 (ワッチョイ db80-gJJb)
16/06/23 11:29:32.55 C2PlMT6/0.net
何の脆弱性突かれたのか
まずそこじゃないの
418:名無しさん@お腹いっぱい。 (アウアウ Sa3f-oF8k)
16/06/23 14:39:47.17 jg9TeCRVa.net
>>406 補足
random 5-character hex extension の他に .cryp1, .crypz も引き続き撒かれてるらしい
URLリンク(www.bleepingcomputer.com)
419:名無しさん@お腹いっぱい。 (アウアウ Sa3f-oF8k)
16/06/23 15:26:56.33 jg9TeCRVa.net
>>416
なるほど、早速CryptXXXの最新版、16進数5桁ver.か
一般的な話として、ランサムウェアは完遂/活動停止すると自己消去する
あと、CryptXXXはBedep系等も併せて入れられる例がある(そういえば最近見かけないが)のと、
2つのプロセスを動かして相互監視する形を取る、何度も書くのめんどくさいので本スレ/過去ログ当たってくれ
何が検出/駆除されたか知らんが、バックアップ/リカバリが安全、当たり前だが
malwarebytesはいいソフトだけど新種/亜種に対する対応は決して早いほうではない(ad-awareは情報持ち合わせてない)
まぁいつも書いてるが(○○の一つ覚えみたいになってきた)dr.webで一つでも引っかかればリカバリ、okなら監視、とするのも一つの判断
「何らかの理由」については正直わからん、がどのランサムウェアでも割りと例を見かけるので、
ランサムウェア自体が結構 綱渡りで動作してるバグだらけの出来損ないソフトと考えるといいんじゃないかな
そういえば書いてなかったかもしれんが、6月に入ってからNeutrinoEKにほぼスイッチしてるっぽい
最近記事を見かけんが替わってなければ主にwordpress等CMS(本体/プラグイン)の脆弱性利用でサイト改ざん、そこから
サイト側じゃなくて端末側でいえば相変わらずflash等の脆弱性利用
そのへんも既出
もう見てるかもしれんがいつもの他人のサイト
URLリンク(www.geocities.co.jp)
なんでもう16進数5桁ver.の更新ができてるんだ早すぎるだろ、5ケタ英数字にはなってるが
420:(TT) (ワッチョイ c72b-wRvM)
16/06/24 22:34:45.93 Y74dL/iS0.net
主婦です。
少し前にCRYPZの被害に会いました(TT)
パソコンをつけっぱなしだったもので、ローカルだけでなく、
外付けハードディスクもすべてやられてしまいました。
自分が復元ポイントを作ってなかったこと、
対策をしていなかったことが悪いのですが、
Webデザインの仕事のデータ4年分、
子供たちの生まれてからの写真がすべて5年分失いました(TT)
写真を撮るのが趣味で宝物だった子供たちの写真が悔やまれてなりません。
身代金の期限がもうすぐきます。払ってしまおうかと思ったほどです。。。
加害者に加担したくない、クレジットカードなども使いたくないと
思いとどまっています。
なんとか復号ツールがでてくれることを祈っています。
誰か作ってください。復旧できたらお礼したいです。
無理ですよね(TT)
421:名無しさん@お腹いっぱい。 (アウアウ Sa77-Z7EN)
16/06/24 23:26:29.12 sabaKmMla.net
>>420
復元ポイント作ってても、ランサムウェアは関係ない
システムイメージなら話は別だが
あと、ランサムウェアの支払いにはクレジットカードをつかうところはむしろまれでほとんど銀行振込だが。。
422:名無しさん@お腹いっぱい。 (アウアウ Sa77-Z7EN)
16/06/24 23:27:14.67 sabaKmMla.net
Bitcoinの話ね
423:名無しさん@お腹いっぱい。 (ワッチョイ ef9c-jO4j)
16/06/24 23:46:36.72 4JwL/S6x0.net
>>420
子供の写真消えていいの?
424:名無しさん@お腹いっぱい。 (ワッチョイ c3bd-jO4j)
16/06/24 23:59:55.97 Ecq1/87/0.net
>>420
TeslaCryptみたくマスターキーを公開してくれる日がくるかもしれんから
侵された大事なデータはバックアップしておいてね
425:名無しさん@お腹いっぱい。 (ワッチョイ 276d-wRvM)
16/06/25 10:28:38.91 Qhdbfixz0.net
>>417
それはもう去年バージョンのJAVAとFlashよ。アップデートしたけど。
>>419
本スレ/過去ログは読んであるけどいらんスタートアップは潰したし
多分何も出ないけどdr.webでも試して監視継続で行こうかな
(やるならいっそwin7リカバリ→10のが良いかも)
色々ありがとん
426:名無しさん@お腹いっぱい。 (アウアウ Sa3f-oF8k)
16/06/25 16:32:52.43 K1HgLw7va.net
>>251,288
RansomwareFileDecryptor 1.0.1595 MUI.exe
uploaded on June 24, 2016, at 15:30 GMT
久しぶりにtrendmicroの覗いたけど、
CryptXXX V1, V2, V3* {original file name}.crypt, crypz, or 5 hexadecimal characters
あとBadBlockやら.777やらたぶん他社decryptorあるやつ追加
Important Note about Decrypting CryptXXX V3に、
The tool will try and fix certain file formats after the decryption attempt, including DOC, DOCX, XLS, XLSX, PPT, and PPTX (common Microsoft Office) files.
云々追加
16進数5桁ver.でも、暗号化処理そのものはほとんど変えてないっぽいな
427:名無しさん@お腹いっぱい。 (スプー Sd8f-gJJb)
16/06/25 17:45:30.03 ZMVMj3apd.net
>>420
五年分の子供の写真?
ご愁傷様です。。
俺なら五万円くらいなら払うけどな
だって、五万円ケチったばかりにそんな二度と取り戻せないデータ失うとか有り得ん
428:名無しさん@お腹いっぱい。 (ワッチョイ 67c1-qPIk)
16/06/25 18:39:41.32 Cn8YGkPd0.net
慢心しててタブレットの方の更新怠ってたらくらってしまった
取り返せないデータはほとんど無いんだが復旧の手間考えると金払いたくなるな
429:名無しさん@お腹いっぱい。 (ワッチョイ 9b2b-gJJb)
16/06/25 19:02:51.38 mlil0Urx0.net
五万払って確実に復号出来るか?
って話でしょ。
五万で子供の写真が戻るんだったら
誰でも払うだろ。
430:名無しさん@お腹いっぱい。 (ワッチョイ 67c1-qPIk)
16/06/25 20:17:09.42 Cn8YGkPd0.net
まー、勉強代としてならそんな高くないかもしれない
431:名無しさん@お腹いっぱい。 (ワッチョイ ef2f-Yp3t)
16/06/25 23:10:48.67 m31xrz+r0.net
つらいところの被害者には悪いが感染源と感染したマシンの環境を書いてくれるといいのだが
誰かが有益な助言くれるかもしれないし
432:名無しさん@お腹いっぱい。 (ワッチョイ 4f49-wRvM)
16/06/25 23:30:35.60 OfNnD7rc0.net
>>426
thx
でもワイのcrypz喰らったファイルは上手く直らんかったわ
まぁHPにも完全に対応はしてないよって書いてあるしなー
433:名無しさん@お腹いっぱい。 (オイコラミネオ MMef-gJJb)
16/06/26 08:55:39.90 E5PRYBLqM.net
デジタルデータという触れる形のないものだから、被害や犯罪への意識が少ないのだろうか。
もし損なわれたものが物だったなら?
子供たちとの思い出の品が、放火によって焼かれたら?
見知らぬ誰かによって持ち去られたなら?
果たして「イイ勉強になったよ…」なんて言えるだろうか。
434:名無しさん@お腹いっぱい。 (スプー Sd8f-E9go)
16/06/26 12:01:09.10 r9lZ15k+d.net
払う選択肢を候補に上げるとか、イカれた奴がいるな
435:名無しさん@お腹いっぱい。 (ワッチョイ 67c1-qPIk)
16/06/26 13:15:07.38 ahJG8pB80.net
被害は人それぞれだし、どちらも否定はしないな
436:ブロックリスト (ワッチョイ 9bf2-FG3Q)
16/06/26 16:03:49.34 rgJTvpIi0.net
ブロックリスト
as3.mmm-mmm.info
www.ashleyrnadison.com
www.tomodachinpo.com
reallifecam.com
luxuryslotonline.com
imzog.com
dl.maquesoft.com
*.jp.doubleclick.net
doubleclick.net
syndication.exoclick.com
URLリンク(syndication.exoclick.com)<)
437:(TT)ママ (ワッチョイ c72b-wRvM)
16/06/26 17:19:45.31 iFwTZx5B0.net
<crypzについて>
みなさま、色々お返事ありがとうございます。
もう期限は過ぎましたが、支払はBitCoinでたぶん9万弱。
日本のサイトでも購入できる場所がありましたが、
一日MAX5万までと制限があったり、
営業時間が過ぎてたり(あと数時間だったので)、
プレミア会員にならないと購入できなかったりしたので、
やめました。
海外のサイトはアングラなのも多いので、やはり抵抗があって。。。
クレジットでなくても、銀行振り込みでもいけるようですが、
海外の銀行なのですぐに入金も難しいですしね。
もし復旧するなら9万弱の金額を払うことはおしくないかもしれませんが、
やはり犯罪に加担する、最悪ツールをもらえず、復号できないとなると
詐欺にひっかかり、それこそ自業自得の世界ですね(><)
写真が好きで子どもの成長をたくさん撮っていたのですが、
なかなか踏みとどまるにも、勇気がいりました。
438:(TT)ママ (ワッチョイ c72b-wRvM)
16/06/26 17:20:53.96 iFwTZx5B0.net
>424さん
のおっしゃったように、
いつか暗号キー公開でというのを奇跡的に訪れることを
待つしかないですね。
>431さん
コメントありがとうございます
Windows7です。どこで感染したかも不明。
Webの仕事をしてるので、お客さまがサイトが壊れたのか
開けなくなったと聞き、ダウンロードしてみた後ぐらいから?
のような気もするし、定かではありません。
私の感染したものに関しては、
サイトでの参照で勝手にダウンロードされるそうです。
ダウンロードしますか?というようなものはなかったので、
それこそ分かりません。
ちなみにアダルトなサイトや怪しいサイトは観てません。
お客さまのサイトがハッキングされてたのかな?とも思ったり。
>433さん
コメントありがとうございます。
災害にあったような感覚です(++)
津波で思い出を失った人の気持ちが少しわかりました。
まだ心の整理はつきません。
439:(TT)ママ (ワッチョイ c72b-wRvM)
16/06/26 17:21:51.86 iFwTZx5B0.net
とりあえず、外付けハードディスクはほぼパンパンだったので、
復旧は難しいですが、ローカルPCに関してと、SDカードに関しては、
データ復旧ソフトを購入して、消えたものをほんの少しだけ
復活できるのではと考えています。
今回のウィルスは、例えば、
A.jpg →コピーして拡張子を変えA'を作り、暗号化して、元のファイルを削除するというものです。
元プログラマーなので、なんとなくそのあたりで、削除データが少しはのこっているかなと思っています。
外付けハードディスクに関してはほぼ容量がいっぱいだったので、削除ファイルの上に別ファイルが上書きされただろうと推測しています。
宝物を守れず、そして元エンジニアとして
気を抜いてしまったこと自己嫌悪です(==)
最新なので事故といってしまえばそれまでなのですが、
防ぐ道もあったかもと思うと。。。後の祭りですが。。。
また最新情報があれば教えてくださいねm(_ _)m
440:名無しさん@お腹いっぱい。 (ワッチョイ ef9c-jO4j)
16/06/26 17:27:30.30 4PxeDjhC0.net
子供の写真諦めるとかないわ
441:adult content をTLSで無理矢理表示 (ワッチョイ 9bf2-FG3Q)
16/06/26 17:40:01.20 rgJTvpIi0.net
adult content をTLSで無理矢理表示 Malicious site Malicious site
syndication.exoclick.com Go Daddy Secure Certificate Authority - G2
URLリンク(www.virustotal.com)
Malicious site
known infection source not recommended site adult content
URLリンク(www.virustotal.com)
URLリンク(www.ssllabs.com)
URLリンク(www.ssllabs.com)
442:名無しさん@お腹いっぱい。 (ワッチョイ db90-GeiQ)
16/06/26 17:51:45.74 WGvYk4nS0.net
Webの仕事をするなら最低3台用意しようよ。
構築作業用+up用(ネット接続)
プライベート用(鎖国or接続なし)
443:名無しさん@お腹いっぱい。 (アウアウ Sa77-Z7EN)
16/06/26 18:16:24.29 HfZ6RUyna.net
>>437
話を聞いてるとドライブバイダウンロードという見ただけで感染する方法でやられたのだと思うけど、一番怪しいのはFlashが古くて脆弱性をつかれてやられたのかな、と
Flashを常に最新にはしてなかったですかね?
あとはWindowsUpdateの最低毎月1回ある重要な更新を更新してなかったとかJava
も古いバージョンのものがそのまま残ってたとかかな
これからはこれらを常に最新版にしておき(Javaは特に使う用途がなけれぱ削除推奨)、Malwarebytes Anti-ExploitとMalwarebytes Anti-Ransomwareを追加でインストールしておくと(どちらも無料)ランサムウェアに対して防御力が高まります。
444:(TT)ママ (ワッチョイ c72b-wRvM)
16/06/26 18:18:17.82 iFwTZx5B0.net
>440
悲しいです(TT)
FBにUPした解像度の低いものぐらいだけは手元にダウンロードできましたが。。。
えーん。
>442
今は主婦がメインで、遊び程度でやっていたので、
そこまでPCを確保できず。。。
今後は外付けHDを余分に買って多重管理していこうと思います。
今からでは遅いですが。(TT)
445:名無しさん@お腹いっぱい。 (ワッチョイ ef9c-jO4j)
16/06/26 18:23:51.13 4PxeDjhC0.net
>>444
犯罪者に金渡したくないとか元に戻る保障はないってのも分かるけど
子供の写真はお前だけの財産ではなく、子供の財産でもあるんだぞ
何が何でも写真だけは守るのが親だろ
446:(TT)ママ (ワッチョイ c72b-wRvM)
16/06/26 18:24:01.34 iFwTZx5B0.net
>443
ありがとうございます。
だんだんパソコンが重くなってきていて、
新しく購入する余裕もなかったので、更新をおろそかにしていた
ことも原因ですね。。
今は最新にUPしました。
暗号化されたファイルを外付けHDにうつして、
この際OSを入れ替えするか、そのまま復号ツールがでるまで
PCをそのままの寝かせておくか悩みます。
447:名無しさん@お腹いっぱい。 (アウアウ Sa77-Z7EN)
16/06/26 18:26:16.00 HfZ6RUyna.net
>>445
お前が金払うわけじゃないんだから、お前がそこまで口突っ込む必要あるのかよw
448:名無しさん@お腹いっぱい。 (ワッチョイ ef9c-jO4j)
16/06/26 18:33:23.33 4PxeDjhC0.net
金の話なんてどうでもいい
WEBのプロだったくせにデータ管理甘いわ
親なのに写真に責任持ってないところが嫌なだけ
449:(TT)ママ (ワッチョイ c72b-wRvM)
16/06/26 18:50:12.68 iFwTZx5B0.net
そうですね。現役は10年も前の話ですが、
おっしゃるとおり。
だからこそ、心が痛みます。
450:名無しさん@お腹いっぱい。 (ワッチョイ ef9c-jO4j)
16/06/26 18:59:39.90 4PxeDjhC0.net
複合ツール出てくる事祈ってます
451:名無しさん@お腹いっぱい。 (アウアウ Sa77-Z7EN)
16/06/26 19:28:43.13 HfZ6RUyna.net
合体するんじゃねーつっの
452:名無しさん@お腹いっぱい。 (ワッチョイ 7bc5-ymi6)
16/06/26 20:36:22.60 +eyz6CdR0.net
家族写真ぐらいは円盤メディアに焼いとこうぜ…。
453:(TT)ママ (ワッチョイ c72b-wRvM)
16/06/26 22:08:13.68 iFwTZx5B0.net
>450
ありがとうございます!!
復号ツールというみたいです。
451さんのつっこみで思い出しました。
こちらは関西ですが、大阪弁のつっこみではないですが。
どちらでも復旧できればそれでいいです!
>452
大量にありすぎて、
ローカルPCと外付けハードディスクで二重管理してました。
以前ハードディスクが故障の経験がありまして、それから、
外付けにもバックアップとるようにしていましたが、
まさか両方やられるとは思っても見ず。。。
ちょこちょこしとく方がよいですね(TT)
ちなみにビデオは外していた外付けHDなので、助かりました!
454:(TT)ママ (ワッチョイ c72b-wRvM)
16/06/26 22:10:59.94 iFwTZx5B0.net
また最新の情報が出たらお知らせくださいm(_ _)m
↓の広告アニメーションが気になります。
主人に何をみてるんだと言われました(^^;
子どもの前ではこのページは開けませんね(><)
455:名無しさん@お腹いっぱい。 (ワッチョイ ef2f-Yp3t)
16/06/26 22:43:03.02 zROG9/0y0.net
ランサムウェア被害の場合、悪いのは感染者じゃなくてウイルス配布者だけどな
脆弱性のあるFLASHプレイヤーも開発側が欠陥品をリリースしたわけだしよ
9万円は払わないほうがいいよ
感染ファイルが復元しなかった場合のダメージが大きすぎるから
大切な子供の写真を失ったのは辛いだろうが個人情報が漏れなかったのが不幸中のさいわいと前向きにとらえればいいんだよ
復号ツールがリリースされるといいね
456:名無しさん@お腹いっぱい。 (ワッチョイ ab06-0pIZ)
16/06/27 00:26:21.82 G93ZpXs60.net
>>454
URLリンク(www.geocities.co.jp)
こちらのサイトで紹介されているトレンドマイクロ等のツールをかたっぱしからを試してみてはどうでしょう。
自分も16進数5桁のやつに感染して今実行中ですが、
全てとはいかないようですがかなりの数のファイルが
復号されていますよ。
457:名無しさん@お腹いっぱい。 (ワッチョイ 67c1-qPIk)
16/06/27 00:48:56.32 qY2nEQ3U0.net
>>456
復号されたファイル形式と使ってるツールはどれですか?
458:名無しさん@お腹いっぱい。 (ワッチョイ 9bf2-FG3Q)
16/06/27 00:58:20.18 cMqf3dcB0.net
マンコおっぴろげサイトで感染するのか? アスレーマンションか?
日本人のマンコ満載のサイトでもあるのか。日本製マンコを見かけない。
田舎の緑豊かな風景をバックにmet-artのような雰囲気のサイトくらいしか
記憶にない。
459:名無しさん@お腹いっぱい。 (ワッチョイ 5b6d-VKAR)
16/06/27 02:11:00.68 G/EUb1hU0.net
wordpress等のCMSの脆弱性を利用されて改竄されるパターンも忘れんなよ
460:名無しさん@お腹いっぱい。 (ワッチョイ 67c1-qPIk)
16/06/28 02:55:55.72 MUywAq7D0.net
さすがにまだ状況に変化ないか 厳しいのう
461:名無しさん@お腹いっぱい。 (ワッチョイ 4bd8-vrBh)
16/06/28 15:48:06.25 yJp1xo1N0.net
更新 Bitdefender Anti-Ransomware 1.0.12.1
URLリンク(labs.bitdefender.com)
462:名無しさん@お腹いっぱい。 (ワッチョイ 4b59-gJJb)
16/06/28 21:37:52.35 oDMp+EbE0.net
知り合いのPCがlockyに感染したようだ
過去レス読んだ感じまだ復号できないのね
ランサムウェアって初めて知った
463:名無しさん@お腹いっぱい。 (ワッチョイ 1fb4-nwFX)
16/06/29 02:49:43.95 /lpHYEfW0.net
家族のスマホをUSBでつないだら感染した
JPGファイルが全て数時5桁のファイルに書き換えられてる
セーフモードでとりあえずソフトはストップさせたけどデータの復元が一部しかできない…
あー悔しい
464:名無しさん@お腹いっぱい。 (アウアウ Sa3f-oF8k)
16/06/29 04:07:28.53 YyLgu0S4a.net
New Locky version adds the .Zepto Extension to Encrypted Files
URLリンク(www.bleepingcomputer.com)
ついで
Bart Ransomware being Spammed by the same devs behind Locky
URLリンク(www.bleepingcomputer.com)
465:名無しさん@お腹いっぱい。 (ワッチョイ ab06-0pIZ)
16/06/29 06:27:30.90 OFCfLizk0.net
>>456
AhnLabのRemoval Tool 2.0と
トレンドマイクロのRansomwareFileDecryptor 1.0.1595を使用してみましたが
中身が1バイト文字のテキストファイルが復元できたようですが
2バイト文字が含まれるものはできませんでした。
その他wmv、xls、wav、jpg、docのファイルは復号完了と出たのですが中身が開けません。
docxは復号に成功したようです。
466:名無しさん@お腹いっぱい。 (ワッチョイ ef9c-jO4j)
16/06/29 08:15:39.30 GiPljpGY0.net
>>463
iphone?アンドロイド?
それからOSのバージョンとセキュリティソフトの有無を教えてくれると情報として有難いです
467:名無しさん@お腹いっぱい。 (ワッチョイ eb2f-Nx9W)
16/06/29 17:38:45.01 kOSX9LgV0.net
URLリンク(www.bleepingcomputer.com)
まさにこれに私の父が引っかかったようです。色々調べてみましたが元に戻す方法は
ないでしょうか?当方もあまりPCに詳しくないのですが、OSがwin7でウイルスソフトは入っていましたが、
メーのの添付ファイルを不用意にクリックしてしまったみたいです。
468:名無しさん@お腹いっぱい。 (アウアウ Sa77-Z7EN)
16/06/29 17:57:11.95 +ApHQn2/a.net
>>467
Lockyは何度か暗号を破れたcryptXXXや初期のTeslaCryptと違い、一度も暗号が破られてません
今後も期待薄かもしれんね
どうしても復号したいなら身代金払うしかないかも
469:名無しさん@お腹いっぱい。 (ワッチョイ eb2f-Nx9W)
16/06/29 18:29:10.12 kOSX9LgV0.net
>>468 ありがとうございます。裕福ではありませんので
今夜家族会議での話し合いになりそうです。
470:名無しさん@お腹いっぱい。 (ワッチョイ 972f-RdoF)
16/06/29 19:39:07.68 73Ybct0s0.net
>>469
警察に相談してみたら
471:名無しさん@お腹いっぱい。 (ワッチョイ 53ec-iWcA)
16/06/29 19:58:07.80 +/6BoPQS0.net
日本の警察に相談して、データ戻るんですか?
犯人、逮捕できるんですか?
472:名無しさん@お腹いっぱい。 (ワッチョイ 4b2b-GAL4)
16/06/29 20:04:15.27 wYH1xs010.net
>>471
無理に決まってんじゃん
警察なんて本当に行ったら?な顔されると思うぞ
473:名無しさん@お腹いっぱい。 (ワッチョイ 4b6d-jO4j)
16/06/29 20:32:59.08 ZSBfsxx20.net
相談するなら警察よりFBIの方が良い
FBIがランサムウェア被害者に「身代金」を支払うようアドバイス
URLリンク(the01.jp)
474:名無しさん@お腹いっぱい。 (ワッチョイ fb7e-Klpb)
16/06/29 23:19:12.85 7Pr7wdUL0.net
PCを起動したらネットワークの場所フォルダに
ランサムウェアで作成されたとおぼしきhtmlが作成されていたので
手動であやしいタスクを止めてノートンをインスコして検索かけたら
トロイ(trojan.zbotとtrojan.cidox.e)だったのですが
ランサムウェアってトロイとして検出されるのでしょうか?
ファイルが暗号化された形跡はないので、ランサムウェアではなくただのトロイだったのかな
潜伏されていたら怖い
475:名無しさん@お腹いっぱい。 (ワッチョイ 4bd8-vrBh)
16/06/29 23:20:51.04 CFs3zJV/0.net
>>473
・データを取り返せる可能性がある
・ランサムウェア犯罪者は信用出来る
支払うようアドバイスしている理由は、この二つが書かれているね。
最も、
・払うことにより犯罪が助長される
・データを取り返せる保証がない
という理由で、このFBI捜査官の助言に否定的なものは多くいるし、連邦政府関係機関とFBIが払わない方がいいと訴えてきたことも書かれている。
何にせよ、払う場合は「犯罪者を一方的に信用する」ということになるわけで、法に守られた契約ではないということも頭に入れておいた方がいいわけだ。
476:409 (ワッチョイ f46d-mp9h)
16/06/30 03:06:03.66 fq1jzpYO0.net
>>474
たぶん俺と同じやつ
そのトロイはたまたま入ってたやつでランサムはransom.~~ってでると思う
html前のランダム英数字12桁で全HDD検索してみ
477:DR120DMC10UE (ワッチョイ 9df2-7p38)
16/06/30 05:18:31.53 s2Ktqoi90.net
どうすればランサムウェアに引っかかるのか教えてくれ!
どうすれば ランサムウェアに引っかかるのか教えてくれ!
どうすれば ランサムウェアに 引っかかるのか教えてくれ!
virustotalの結果のリンクを張ってくれ!
マンコおっぴろげサイトで感染するのか? アスレーマンションか?
日本人のマンコ満載のサイトでもあるのか。日本製マンコを見かけない。
田舎の緑豊かな風景をバックにmet-artのような雰囲気のサイトくらいしか
記憶にない。
478:名無しさん@お腹いっぱい。 (ワッチョイ 3ab4-UjVt)
16/06/30 05:38:19.85 XXlcDzCx0.net
>>466
返事遅れました
スマホはAndroidでウィルスバスター入ってたました
PCはwin7でノートン入ってたけど役に立たず
スマホ繋いだ時点てPCに負荷がかかったのかブルースクリーンエラーが発生
すぐにUSB引っこ抜いて再起動
このときすぐにセーフモードで起動してればよかったと思うけど、普通にさいきど
479:名無しさん@お腹いっぱい。 (ワッチョイ 3ab4-UjVt)
16/06/30 05:43:51.96 XXlcDzCx0.net
途中送信失礼しました
>>478続き
普通に再起動してしまった間にやられました
あーすぐにセーフモードで起動しとけばなあ…
480:名無しさん@お腹いっぱい。 (ワッチョイ d57e-kLIJ)
16/06/30 07:04:27.62 rZ0Jp/kk0.net
>>476
情報ありがとうございます
regsvr32.exeへのショートカットとcfgが見つかったので削除しました
PCを再起動しても今のところ被害は見当たりません
見つからないだけで何かされているのかもですが
しばらく様子見です
481:名無しさん@お腹いっぱい。 (アウアウ Saf6-qT00)
16/06/30 07:44:06.86 V2BEtENga.net
なるほどね
ネットワークだと(組み方によるんだろうが)止まりやすいんだろうな
>>474
CryptXXXのBedepとコンボのパターン、相変わらずだな
trojan.zbotはBedep(又は同系)
trojan.cidox.eはマルウェアDL機能+トロイとしてこじ開けの機能
CryptXXXの本体自体は稼動後自己消去済
って感じ
繰り返しになるから後は略
繰り返しかつ蛇足ながら、Bedep系が入ってたということは各種passwordは既に送信済、
ネットバンキングも詐取される可能性あり(というかzbotやBedepはそっちが本業だから)
482:名無しさん@お腹いっぱい。 (ワッチョイ 1e9c-R7o+)
16/06/30 11:45:53.70 h1K1HSSH0.net
>>478
詳細ありがとうございます
アンドロイド経由でPC感染の前例ってあったっけ?
483:名無しさん@お腹いっぱい。 (ワッチョイ 3da6-R7o+)
16/07/06 00:15:38.80 882Gtvml0.net
マルウェアバイトの0.9.15で、PCシャットダウンする前に起動してたいくつかのアプリケーションのEXEが削除されるという現象が起きた
除外に入れておいたものも含めて削除されている
ちなみにWin7Pro64bitで、プロファイル関係壊れてて、再起動するたびに一時プロファイル使用される環境だからかもしれん
484:名無しさん@お腹いっぱい。 (ワッチョイ 1e2f-TpKi)
16/07/06 07:17:52.27 qX65IFFi0.net
macの被害が最近ないけど書き込みがないだけ?
485:名無しさん@お腹いっぱい。 (ワッチョイ 68b9-R7o+)
16/07/06 08:36:23.72 VCt9j1dt0.net
スレリンク(bobby板:31番)
↑ ↑ ↑ ↑ ↑
486:名無しさん@お腹いっぱい。 (アウアウ Sa61-oxCW)
16/07/06 13:47:05.62 2SDdRXoga.net
>>483
>マルウェアバイトの0.9.15で、
Malwarebytesは会社名だ
487:名無しさん@お腹いっぱい。 (ワッチョイ a27b-e4lS)
16/07/06 14:14:00.61 dnbgzgLp0.net
ランサムウェアの例
勝手にパスワードを書き換えられたり
Googleの2段階認証を無効化したり
ちょっと、これまでのウィルスやマルウェアとは違った悪質なものだ。
488:名無しさん@お腹いっぱい。 (スプー Sdb8-7NpE)
16/07/06 16:43:21.55 5b5+is/0d.net
ランサムウェアのcerberってのに感染したらしく
外付けハードディスクがほぼ全滅したんだけど
まあファイルは諦めてフォーマットしてwindows10だったんで初期状態に戻したんだけど
最初にマルウェアを削除します
みたいなメッセージが出てきてそのあとウィルスバスター入れてスキャンしたらとりあえず異常なしとでたんだけど
被害にあったときもウィルスバスター反応しなかったんだけど
このまま使って大丈夫なものかね?
何の拍子に感染したかわからないんだけど
これって感染したら即拡張子書き換え始めるもんなの?
489:名無しさん@お腹いっぱい。 (アウアウ Sa61-/b7V)
16/07/06 17:12:46.71 PJDYeVzCa.net
だけどだけどだけどって、ランサムにでもやられたのか?
490:名無しさん@お腹いっぱい。 (ブーイモ MMad-s3GQ)
16/07/06 17:31:59.13 gqeZe5H+M.net
巨人にそんな名前の外国人がいたな
491:名無しさん@お腹いっぱい。 (ワッチョイ 13ec-txjP)
16/07/06 17:33:18.63 GWlxxDsZ0.net
クソワロタw
492:名無しさん@お腹いっぱい。 (スプー Sdb8-7NpE)
16/07/06 17:33:53.29 5b5+is/0d.net
>>489
いいから答えろよ
493:名無しさん@お腹いっぱい。 (ワッチョイ 13ec-txjP)
16/07/06 17:35:53.16 GWlxxDsZ0.net
>>492
たぶん大丈夫だよ
これでok?
494:名無しさん@お腹いっぱい。 (スプー Sdb8-7NpE)
16/07/06 17:37:19.31 5b5+is/0d.net
>>493
喧嘩売ってんのかてめぇ
495:名無しさん@お腹いっぱい。 (ワッチョイ 13ec-txjP)
16/07/06 17:46:52.52 GWlxxDsZ0.net
>>494
すみません、言い方が悪かったですか?
たぶん大丈夫だけど
セキュリティソフトはあまり信用できないんだけど
ちゃんとリカバリーしたほうがいいんだけど
496:名無しさん@お腹いっぱい。 (スプー Sdb8-7NpE)
16/07/06 17:48:48.56 5b5+is/0d.net
>>495
>>495
死ね