ランサムウェア総合スレ Part5at SEC
ランサムウェア総合スレ Part5 - 暇つぶし2ch499:名無しさん@お腹いっぱい。
17/10/26 20:23:39.56 g2ce0S880.net
>>491で動きが
> 調査の進捗状況
メモ
URLリンク(toolbar.netcraft.com)

500:名無しさん@お腹いっぱい。
17/10/26 21:54:17.28 36GEvnG8a.net
アイカやられてんのかよwwwwwwww

501:お利口な栗鼠
17/10/26 23:03:11.30 NDRRWtLu0.net
>>497
exploitって言うのは脆弱性を利用するものなんだが
分類的には外部からのコードを実行させる類っぽいぞ。
そのコードを検知したからブロックされたんだと思う。
ワームとかが無差別に狙ってきたんじゃないの

502:名無しさん@お腹いっぱい。
17/10/29 08:31:32.94 0a+T6EX80.net
>>499
ブロックリスト北
URLリンク(dns-bh.sagadc.org)

503:名無しさん@お腹いっぱい。
17/10/29 23:42:11.44 lPTYBgNa0.net
未だにvvvを復号したいけど出来ん・・・
英語さっぱりダメだし、(n)inja csirt見ても何が分からんのかも分からん・・・
誰か助けて・・・orz

504:名無しさん@お腹いっぱい。
17/10/29 23:48:17.88 nsPC1ByJ0.net
パソコンに詳しいヤツに頼めよ

505:名無しさん@お腹いっぱい。
17/10/30 18:21:58.15 SeSojMOka.net
無駄な努力をするな、新しいの買えw

506:名無しさん@お腹いっぱい。
17/10/30 20:58:55.61 aMY0Fg8J0.net
>>504
いないお(´・ω・`)

507:名無しさん@お腹いっぱい。
17/10/30 21:08:45.74 e7Mznkuja.net
>>506
んじゃあ、金だして業者にやってもらうか、諦めるかだな

508:名無しさん@お腹いっぱい。
17/10/31 22:27:58.47 TqP8375b0.net
vvvのすべてが復号できるわけじゃないしな

509:名無しさん@お腹いっぱい。
17/11/01 23:49:48.99 cl3EbRe40.net
>>507
業者の価格見てみたら身代金より高い・・・
>>508
そうなの?
家族写真だからなかなか諦められないわ

510:名無しさん@お腹いっぱい。
17/11/02 00:17:27.11 dKH/Dcn50.net
>>509
ランサムウェアに感染したファイルを復号しますっていってるような業者はめちゃくちゃ高いけど、個人が営業してる町のパソコン修理屋とかあるじゃん?
ああいうところに頼んだら作業料(1~2万くらい)でやってくれると思うんだけど

511:名無しさん@お腹いっぱい。
17/11/03 16:00:14.38 p0oDxQ/M0.net
>>510
まじで?
ちょっと探してみる。ありがとう。

512:名無しさん@お腹いっぱい。
17/11/04 13:35:28.30 Cee2Fijsb
ランサム来たー!!拡張子.losers ファイルがどんどん汚染されてクー 4TBがぁー・・・

513:名無しさん@お腹いっぱい。
17/11/04 13:44:11.20 Cee2Fijsb
とりあえずセーフモードでスタートアップ調整で再起動。タスクマネージャーで変なの動いてたら停止

514:名無しさん@お腹いっぱい。
17/11/04 13:46:09.62 Cee2Fijsb
5種類ぐらいウイルス一度にくると対策ソフト無効化されて意味なかった

515:名無しさん@お腹いっぱい。
17/11/04 13:48:40.65 Cee2Fijsb
写真、動画、TXT、アプリ、dll、などなど拡張子変えても死んでる・・・

516:名無しさん@お腹いっぱい。
17/11/04 13:51:10.03 Cee2Fijsb
ネットワークのほかのPCにも・・・感染してた・・・

517:名無しさん@お腹いっぱい。
17/11/04 14:46:28.09 Cee2Fijsb
.losersについて 復号などの情報はないでしょうか?ちなみにisoファイルは無事でした。

518:名無しさん@お腹いっぱい。
17/11/04 19:39:24.86 Cee2Fijsb
「DriverMax」っていうドライバまとめ更新ソフトが便利で、youtubeからやり方をまねたのが失敗でした。クラック実行したらとたんにワラワラと湧き出てきて収拾がつかなくなりました。

519:名無しさん@お腹いっぱい。
17/11/12 10:06:09.68 5zEpPmeC0.net
>>511 おいおいw
もうパソコン辞めた方がいいな君は

520:名無しさん@お腹いっぱい。
17/11/12 18:30:46.49 P0LQ6P3s0.net
そんなに大切なものならまともな業者に依頼したほうがいいとおもうが
カスペのやつじゃダメなの?

521:名無しさん@お腹いっぱい。
17/11/12 18:39:51.44 5si9zWo80.net
安物買いの~になる未来しか見えないけどなw

522:名無しさん@お腹いっぱい。
17/11/13 00:54:17.90 NFqxQzSl0.net
Win10 FCU に標準で、アンチランサムウェア機能が付いたな。

523:名無しさん@お腹いっぱい。
17/11/16 17:03:21.53 kXkklh8v0.net
安い業者は大手からノウハウを買って商売してる単なる代理店みたいなものだよ
店で出来ないやつは大手に依頼する
流石にランサムでやられたHDDを1、2万では無理かと

524:名無しさん@お腹いっぱい。
17/11/16 20:39:10.10 KsLMjPET0.net
>>523
いや、彼のは解除ツールでてるやつだよ

525:名無しさん@お腹いっぱい。
17/11/20 18:30:30.17 jpT9U05M0.net
今日はじめてCybereasonRansomFreeがdllhost.exeやexeplorerがファイルを暗号化してるって検知した
C:とユーザーとD:に暗号化されたファイル入りのフォルダがその度にできて削除するとCybereasonRansomFreeがまた反応してフォルダを作るみたい
どうも暗号化してるのはこのソフトじゃないのかって感じがするんだけど

526:名無しさん@お腹いっぱい。
17/11/20 18:38:01.28 UQ6psvkb0.net
ちょっと何言ってるか分からない

527:名無しさん@お腹いっぱい。
17/11/20 18:38:04.98 AmCRQhYWM.net
それが普通の挙動

528:名無しさん@お腹いっぱい。
17/11/20 19:03:33.39 jpT9U05M0.net
え?じゃあこのフォルダは永遠に置かれたままなの?

529:名無しさん@お腹いっぱい。
17/11/20 21:57:05.12 pVEicmUD0.net
あのフォルダが罠って言うか囮になってるんじゃねぇの?

530:名無しさん@お腹いっぱい。
17/11/20 23:13:15.14 q0H0g+TVa.net
囮なのはそうたけと、検知するのはおかしいよね

531:名無しさん@お腹いっぱい。
17/11/24 16:21:44.11 XSDXqmUz0.net
>>528
うちもそんな感じで、消しても消しても意味不明内容のtxtやxlsx、pdfとかそこに置かれてフラグメンテーションの元に
なるから、アンインストールしちゃったよ。

532:名無しさん@お腹いっぱい。
17/11/24 21:04:44.79 OTXFjTkS0.net
>>531
だからそれは囮で仕様なんでそういうもんだっての

533:名無しさん@お腹いっぱい。
17/12/05 11:43:31.39 oIlzyDis0.net
知らないうちにウェブコンパニオンというソフトが入ってたんですが、普通に削除すれば大丈夫でしょうか?
ESETで検索しても異常は出てきませんでした

534:名無しさん@お腹いっぱい。
17/12/05 13:11:50.64 7gikrEo20.net
>>533
ここはランサムウェアスレですよ
スレチです

535:名無しさん@お腹いっぱい。
17/12/05 19:08:30.08 QvkRIoSW0.net
>>533
>ESETで検索しても異常は出てきませんでした
だったら別に削除する必要はないんじゃないの?ESET信用してんだろ?

536:名無しさん@お腹いっぱい。
17/12/27 21:52:32.42 hShhlne70.net
保守

537:名無しさん@お腹いっぱい。
17/12/28 04:50:49.26 92DYII560.net
誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。
グーグル検索⇒『加藤のセセエイウノノ』
PR30Q7ZS3X

538:名無しさん@お腹いっぱい。
17/12/28 19:24:44.76 0Mb2XK5o0.net
風呂上がりの鏡に映った俺がいつもより格好良く見える
ハンサムウェアに感染してしまったかもしれん

539:名無しさん@お腹いっぱい。
17/12/29 07:04:09.14 zZfiEgnb0.net
でこから上が輝いてるぞ

540:名無しさん@お腹いっぱい。
17/12/30 01:46:49.82 n14iLink0.net
鏡にトロイの木馬が仕込まれていることにも気付いていないのかよ

541:名無しさん@お腹いっぱい。
17/12/31 01:42:03.85 sDjLpo5X0.net
今年はもっとランサムウェアが凶悪化すると思ったがそうでもなかったな

542:名無しさん@お腹いっぱい。
18/01/03 21:08:12.41 LgceWU0Ud.net
保守

543:名無しさん@お腹いっぱい。
18/01/17 18:31:44.19 sg66UWxfM.net
捕手

544:名無しさん@お腹いっぱい。
18/01/18 08:47:30.88 Jsuet0dI0.net
テレビでやってたけどランサムウェアって北朝鮮がつくってたんだってな
嫌がらせしてそれがいったい国になんの利益をもたらすのか
目的がさっぱり理解できな

545:名無しさん@お腹いっぱい。
18/01/18 10:35:26.64 H3Jwcxn8d.net
身代金だろフツーに考えて

546:名無しさん@お腹いっぱい。
18/01/18 10:44:26.93 THZMJ2fPH.net
>>545 ランサム の意味をいまだに判ってない奴がいるんだよ >544みたいに
きっとリアルで同じようなこと言って指摘され顔真っ赤にしてる

547:名無しさん@お腹いっぱい。
18/01/19 00:42:13.62 Za7KoV3p0.net
>>546
いいことして皆をよろこばせれば評価は上がるんだぜ?
身代金だって引き出ししてたのほぼなかったらしいし

548:名無しさん@お腹いっぱい。
18/01/19 00:49:39.06 yVnv7b/O0.net
うん

549:名無しさん@お腹いっぱい。
18/01/19 01:16:15.86 vhOAvXUQ0.net
北朝鮮は底抜けのアホだからな、身代金で大儲けを企んでたけど、払う人は
そんなにいないうえにすぐに対策ソフトが出たりして思惑が大きく外れてしまった
って事なんだろうね。

550:名無しさん@お腹いっぱい。
18/01/19 15:18:02.85 WynHDf/vD.net
ウィルス対策変更したらアンチランサムフリーがやられてたみたいでウィルスだって削除されて
再インストールしてスキャンしても無反応なのよ
いつやられたんだろう?
結構気をつけてたんだけどな

551:名無しさん@お腹いっぱい。
18/01/25 17:30:14.43 wV4JJm1U0.net
アクロニス、ランサムウェア対策ソフトを無償公開、AI技術を使った「Acronis Ransomware Protection」
URLリンク(internet.watch.impress.co.jp)

552:名無しさん@お腹いっぱい。
18/01/30 13:42:17.98 K55QEWzN0.net
現在って暴露ウイルスとか流行ってないの?
win10なら感染しない?
自営業で顧客名簿扱ってるから怖いんだが

553:名無しさん@お腹いっぱい。
18/01/30 13:50:23.17 wyJ5X2lJM.net
>>552 金にならない愉快犯的なのは減ったね
でも、無くなったわけじゃない

554:名無しさん@お腹いっぱい。
18/01/31 00:05:02.66 /CAIDao/0.net
心配ならオフラインにするしかない
データ置き場にするなら安いノーパソでもいいだろ
NASは逆に危険

555:名無しさん@お腹いっぱい。
18/01/31 00:08:17.75 11hj1Y1h0.net
>>554 ルーターのNAT設定入れてないNASなら怖くもなんともないだろ・・・

556:名無しさん@お腹いっぱい。
18/01/31 01:02:18.76 PUpxsCx10.net
ウイルスにやられたらアウト

557:名無しさん@お腹いっぱい。
18/01/31 08:24:14.62 11hj1Y1h0.net
>>556 屁理屈レベルだな

558:名無しさん@お腹いっぱい。
18/01/31 08:55:53.23 8r3BhrPKd.net
>>557
やられてからでは遅いと思うよ?

559:名無しさん@お腹いっぱい。
18/01/31 09:28:42.48 fdjyvvR2a.net
安全神話でもあるんだろうな

560:名無しさん@お腹いっぱい。
18/01/31 20:47:01.53 11hj1Y1h0.net
>>558 気持ちの問題? 根拠ないじゃん このスレはそういう迷信的なのは要らないから

561:名無しさん@お腹いっぱい。
18/01/31 22:43:29.01 fdjyvvR2a.net
自己責任だから好きにしなよ

562:名無しさん@お腹いっぱい。
18/01/31 23:03:30.79 674WmdG7M.net
GandCrabってランサムウェアに感染した。
調べたら最近見つかったものらしい、注意してください。

563:名無しさん@お腹いっぱい。
18/02/01 00:09:15.21 yn1AjlQa0.net
>>562
どこで感染したの?ネット?フラッシュ?メール?

564:名無しさん@お腹いっぱい。
18/02/01 00:17:58.07 Dh6OW2vpM.net
>>563
感染源は現在のところ不明です。
会社のネットワークドライブから感染したファイルが見つかりました。

565:名無しさん@お腹いっぱい。
18/02/02 00:34:34.49 TZpZsnvC0.net
「アクロニス、無償で使用できるAIベースのランサムウェア対策機能を発表」
URLリンク(securityinsight.jp)
アクロニス・ジャパンは1月25日、独自に開発したAIベースのテクノロジーを採用したランサムウェア対策機能「Acronis Active Protection」を、「Acronis Ransomware Protection」として無償で提供することを発表した。

566:名無しさん@お腹いっぱい。
18/02/02 09:57:14.27 LWyBERddH.net
>>565 挙動監視だね
あんまり負荷はなさそう
ただ、どこまでこれで守れるのかちょっとわからない
常駐アプリの監視はしてるけど、タイマー式にどこまで対応するのかがわからない

567:名無しさん@お腹いっぱい。
18/02/02 16:09:46.42 AIeKoivia.net
ランサムウェア「GandCrab」、2種類のエクスプロイトキットで拡散--Malwarebytes
URLリンク(japan.zdnet.com)
 新種のランサムウェアが出現した。多くのランサムウェアと異なり、2つのエクスプロイトキット(うち1つは姿を消したと考えられていた)によって拡散され、やや知名度の低い暗号通貨での支払いを要求する。
 米国時間1月26日に初めて確認されたランサムウェア「GandCrab」は、2つのエクスプロイトキット「RIG EK」「GrandSoft EK」によって配布されていることがわかった。セキュリティ企業Malwarebytesの研究者が詳細を報告している。
 GandCrabは、RIG EKを通じて配布されている。このRIG EKは、「Internet Explorer」や「Flash Player」の脆弱性を突いて、JavaScriptやFlash、VBscriptをベースにした攻撃を開始し、ユーザーにマルウェアを配布する。

568:名無しさん@お腹いっぱい。
18/02/02 16:17:44.07 AIeKoivia.net
「Adobe Flash Player」にゼロデイ脆弱性 ~Adobe、修正版を5日にリリースへ
URLリンク(forest.watch.impress.co.jp)
 米Adobe Systemsは1日(現地時間)、「Adobe Flash Player」にリモートから任意のコードが実行可能な致命的な脆弱性(CVE-2018-4878)があるとして、セキュリティアドバイザリ(APSA18-01)を公開した。
本脆弱性を悪用したWindowsユーザーに対する標的型攻撃も確認されているとのことで、警戒が必要だ。

569:名無しさん@お腹いっぱい。
18/02/09 18:27:17.32 PlGczRmXa.net
ランサムウエア保管の疑い、香川 22歳の男性を書類送検【社会】- 徳島新聞社
URLリンク(www.topics.or.jp)
送検容疑は昨年8月28日、48時間以内にビットコインで1万4千円相当を支払うよう画面に英語で表示するランサムウエアを外部記録媒体に保管した疑い。
海外の掲示板を通じて購入したといい、「ランサムウエアを使って生計を立てようと思った」という趣旨の供述をしている。

570:名無しさん@お腹いっぱい。
18/02/10 04:43:36.15 +WGCx1VY0.net
Win10のランサム対策機能使ってる奴いるかな?

571:名無しさん@お腹いっぱい。
18/02/11 01:40:22.38 TaVK0uPU0.net
ランサムはウイルスだから、Win付属の対策機能なんか使わずとも、
専用のアンチウイルスで十分だわ
ただWinはいわゆる迷惑ソフト(詐欺ソフト)を駆除するようだから、そっちはありがたいかも

572:名無しさん@お腹いっぱい。
18/02/11 09:41:32.27 DfsKay3E0.net
>>571 ゼロデイ攻撃で仮想通貨が散々やられてるのに、頭湧いてんのか?

573:名無しさん@お腹いっぱい。
18/02/13 09:31:51.70 1upKqQujH.net
>>571 は無知という盾を手に入れた

574:名無しさん@お腹いっぱい。
18/02/13 22:45:16.66 ferDYVpG0.net
やりすぎ防犯パトロール、特定人物を尾行監視 2009年3月19日19時7分配信 ツカサネット新聞
URLリンク(headlines.yahoo.co.jp)
この記事で問題になった通称やりすぎ防パトは、創価学会と警察署が引き起こしていたようです
掻い摘んで説明すると
・創価学会は、町内会や老人会、PTA、商店会等の住民組織に関し、学会員が役員になるよう積極的に働きかける運動を
 90年代末から開始し、結果、多くの住民組織で役員が学会員という状況が生まれた
・防犯パトロールの担い手は地域の住民と住民組織で、防犯活動に関する会議や協議会には、住民組織の代表に役員が出席する為
 防犯活動や防パトに、創価学会が間接的に影響力を行使可能となった
・防パトは住民が行う為、住民が不審者や要注意人物にでっち上げられるトラブルが起きていたが
 創価学会はその緩さに目をつけ、住民組織を握っている状況を利用し、嫌がらせ対象者を不審者や要注意人物にでっち上げ
 防パトに尾行や監視、付き纏いをさせるようになった
・防パトは地元警察署との緊密な連携により行われる為、創価学会は警察署幹部を懐柔して取り込んでしまい
 不審者にでっち上げた住民への嫌がらせに署幹部を経由して警察署を加担させるようになった
・主に当該警察署勤務と考えられる創価学会員警察官を動かし、恐らく非番の日に、職権自体ないにもかかわらず
 私服警官を偽装させて管轄内を歩いて回らせ、防犯協力をお願いしますと住民に協力を求めて回り
 防犯とは名ばかりの、単なる嫌がらせを住民らに行わせた(防犯協力と称し依頼して回っていた警察官らの正体は恐らく所轄勤務の学会員警察官)
 ※これに加えて防犯要員が同様のお願いをして回る
・こうして防犯パトロールを悪用し、住民を欺いて嫌がらせをさせつつ、創価学会自体も会員らを動員し、組織的な嫌がらせを連動して行った
つまり警察署に勤務する学会員警察官、警察署幹部、創価学会が通称やりすぎ防犯パトロールの黒幕
詳細は下記スレをご覧下さい
やりすぎ防犯パトロールは創価学会と警察署の仕業だった
スレリンク(bouhan板)

575:名無しさん@お腹いっぱい。
18/02/15 01:10:08.19 CxvivGjh0.net
>>565のレビュー
URLリンク(forest.watch.impress.co.jp)

576:名無しさん@お腹いっぱい。
18/02/17 19:09:28.00 xILoGIul0.net
>>575
年間980円で250GBってかなり安くね?

577:名無しさん@お腹いっぱい。
18/02/18 01:00:21.00 TYhKbJuk0.net
ランサムはソフトウェアだったりアドオンのアプデとかでやられるサプライチェーン攻撃が一番怖いな
メーカー開発環境とか鯖の脆弱性が狙われて、いつ混入するか分からんしね
今のマルウェアはマルウェア本体を後からDLするタイプとかだから検知するのが困難だし

578:名無しさん@お腹いっぱい。
18/02/18 12:08:53.87 bk8MPAph0.net
学園ランサム

579:名無しさん@お腹いっぱい。
18/02/21 09:22:06.76 gCWEn9P90.net
ほとんどのウィルス対策ソフトが検出するようなこんな物怖くなんかないわ
例えネット経由でダウンロードされたとしても実行時にUACもブロックするし対策ソフトも警告するわ
そもそもが、発見当初でも感染した少数のアホな奴らは.exeファイルを叩いた奴とポート丸開けの企業サーバーだけだよ

580:名無しさん@お腹いっぱい。
18/03/02 12:09:24.46 GKKArDxaF.net
あっそ

581:名無しさん@お腹いっぱい。
18/03/11 05:51:01.82 2DPeDAXB0.net
久しぶりに来たら
前は>>2あたりにいろいろ対処法載ってたのに
今はまともな対処法が載ってないサイトへのリンクだけになってて草

582:名無しさん@お腹いっぱい。
18/03/11 21:59:15.95 kMXOVweD0.net
だって、わかりやすい感染パターンとかないし、暗号化されたら復旧できるかどうかウイルス作った当人でさえ判らないとか。
そういうまともじゃないウイルスなので、PCから切り離された場所にバックアップして被害を抑えるくらいしか対策できないじゃん。

583:名無しさん@お腹いっぱい。
18/03/13 00:36:10.43 N+GGGy0x0.net
未だに多いのは素人の脆弱性放置とメールで添付されてくるパターンだよ
チェックを掻い潜る為にpdfとかエクセルで送ってきて、それ自体に実行ファイルは入ってない

584:名無しさん@お腹いっぱい。
18/03/13 00:44:04.51 vVyP+0L70.net
YESYESYES連打は一定数いるからなぁ
どんなにガードしても

585:名無しさん@お腹いっぱい。
18/03/13 12:34:46.93 N+GGGy0x0.net
それとは別に、無意識のうちにクリックしてしまうヒューマンエラーもある
だからこそ企業は専門家を雇って様々な対策をしている
侮るとコインチェックみたいになる

586:名無しさん@お腹いっぱい。
18/03/13 21:49:24.53 N+GGGy0x0.net
これもランサムとは直接関係ないけど、このスレでも口酸っぱく言われてたことが書かれているね
URLリンク(www.itmedia.co.jp)

587:名無しさん@お腹いっぱい。
18/03/14 21:26:30.49 t5LxwVT70.net
基本的には解読ツールがない種類はデータの復元できないよな

588:名無しさん@お腹いっぱい。
18/03/17 16:18:59.19 Af/Dm9I80.net
>>586
URLリンク(www.itmedia.co.jp)
>TCP/80やTCP/443番といった、誰もが利用し、サービスに不可欠なポートはなかなか止められないことも課題です。
個人のユーザーならWAN側に対してはルーターを噛ましていれば、設定が何も出来なくてもパソコン側へのロケーションはされませんから
初心者さんであればあるほど安全という事になります
家庭内のWebカメラとか機器へスマホなどの外部環境からアクセスしたい場合には、
ルーターの設定が必要になりますので開いているポートの脆弱性について熟知している必要があります
また、企業についてはバカとしか言えませんから、セキュリティに関して脆弱なところは勝手に感染してろよですね
個人ユーザー側として被害を被らないのならば、そんなのどうでもいいですよね

589:名無しさん@お腹いっぱい。
18/03/19 02:33:20.49 U9ET9W0t0.net
これなんか>>454さんの状況と殆ど同じだな
URLリンク(news.mynavi.jp)

590:名無しさん@お腹いっぱい。
18/03/28 01:33:52.16 AK033xCt0.net
だ!

591:名無しさん@お腹いっぱい。
18/03/30 23:41:09.60 6Ooqwjtp0.net
な!

592:名無しさん@お腹いっぱい。
18/03/31 01:07:07.51 pRyhcVds0.net
ん!

593:名無しさん@お腹いっぱい。
18/04/11 00:21:34.68 yOucMQ1B0.net
ランサムウェア「GandCrab」、Flashの脆弱性で拡散開始か
URLリンク(japan.zdnet.com)

594:名無しさん@お腹いっぱい。
18/04/11 13:14:48.68 Q5kFkYci0.net
>2月にAdobeが修正したFlash Playerの脆弱性「CVE-2018-4878」
拡散しねえし、Flashのアドオンを更新しないまま仕掛けられているサイトに行くやつがアホ
ついでにセキュリティソフトもGandCrabがダウンロードされた時点で実行される前に騒ぎ出すだろ

595:名無しさん@お腹いっぱい。
18/04/11 16:42:07.73 txZdX1pD0.net
それが世の中にはセキュリティソフトの更新を手動にする馬鹿が居るんだよ
あと、7だとOSアプデが手動だったり、ノーガード状態が多数存在する
そもそも感染する奴の殆どが基本的な対策すらしてない奴ばっかりなんだし

596:名無しさん@お腹いっぱい。
18/04/12 13:47:55.91 r4VP5gAfM.net
>>595
その理屈だとそんな奴らはこんなとこも見ないし、URL貼り付けたって何の意味もねえよな
俺はその記事を見た奴らが、ちゃんとセキュリティ対策をしていれば心配するこっちゃねえんだよと言いたいだけ

597:名無しさん@お腹いっぱい。
18/04/13 19:29:55.02 yQu72TuRd.net
>>596
ランサムウェアスレだから、ランサムウェア関係のニュース貼られてるだけだろ
588は一般的なこと話してるのに急にスレ限定の話とかし出して頭大丈夫か?

598:名無しさん@お腹いっぱい。
18/05/02 04:09:24.94 3lgZWeEj0.net
ランサムウェアDMA Lockerに感染したHerrington & Companyは、1700ドル(18万円)の身代金を支払う代わりにIT企業Proven Data Recovery社に6000ドル(65万円)でデータの復元を依頼したが、
FBIの調査でProven Data Recoveryは犯人に身代金を支払ってデータを復元したことが判明
URLリンク(twitter.com)

599:名無しさん@お腹いっぱい。
18/05/02 21:43:04.68 ufaoL8u80.net
無理なものは無理だわな

600:名無しさん@お腹いっぱい。
18/05/06 01:11:26.94 s7jL9u6h0.net
日本の業者もたぶん同じことしてる

601:名無しさん@お腹いっぱい。
18/05/06 01:26:26.79 h0/s02IT0.net
18万の身代金の代わりに、65万でデータの復元を依頼する時点で気が付くだろと・・・
身代金払って駄目だったのなら分かるけど
記事は読んでないけど、業者は最初に料金を提示しなかったのかな?

602:名無しさん@お腹いっぱい。
18/05/06 01:38:06.29 u6mt/HQQ0.net
会社イメージ的に犯罪者との直接取引は避けたかったとかじゃない?
現にProven Data Recovery社は犯人に資金提供したと情報開示されてるし

603:名無しさん@お腹いっぱい。
18/05/06 01:49:44.66 h0/s02IT0.net
それはあるかも

604:名無しさん@お腹いっぱい。
18/05/18 14:02:29.02 s0ixWO0tp.net
今日初めてランサムウェアに感染したわ
仮想マシンだったから本体は無事だったけど書き込み許可してた共有フォルダは全部死んだ

605:名無しさん@お腹いっぱい。
18/05/18 16:50:45.76 1DwuHPWx0.net
何をして感染したの?

606:名無しさん@お腹いっぱい。
18/05/18 17:22:45.81 AqekkPaP0.net
>>605
多分ウェブブラウジング
必要があっていくつかヤバそうなサイト潜ってた
時だと思う
サイト特定出来なくて申し訳ない

607:名無しさん@お腹いっぱい。
18/05/18 18:33:31.72 AW3T4GDh0.net
ワナクライ以降は危ないサイトとかは行かないようになったなぁ

608:名無しさん@お腹いっぱい。
18/05/19 13:33:10.40 OlYr2ffV0.net
ブラウザやセキュリティソフトは何を使用していたのか、見たのはどこのサイトだったのか気になる

609:名無しさん@お腹いっぱい。
18/05/19 19:27:32.47 4JVEfuMH0.net
OS、ブラウザ、セキュリティソフトは気になるな

610:名無しさん@お腹いっぱい。
18/05/19 21:46:47.12 Miyvvkbna.net
OSはwin7pro、ブラウザはIE11、セキュリティソフトは切ってました

611:名無しさん@お腹いっぱい。
18/05/20 00:06:52.59 BVPqwLsV0.net
ノーガードはあんま参考にならんなw

612:名無しさん@お腹いっぱい。
18/05/20 00:27:47.27 YfI8i3Sw0.net
まぁ仮想マシンだから分かってやってたんだろうけど
参考にはしにくいなw

613:名無しさん@お腹いっぱい。
18/05/21 16:39:46.47 YD36rl/F0.net
すごくおもしろいパソコン一台でお金持ちになれるやり方
参考までに書いておきます
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
GOTQ0

614:名無しさん@お腹いっぱい。
18/05/21 19:09:36.52 JbbU9OcYa.net
で、実際、本当にバージョンが上がって検知能力がアップしてるのか?という疑問だが、セキュリティソフトの能力比較テストで、以前、ランサムウェアの検知能力を調べているのがあった
URLリンク(avlab.pl)
ここではESETのV9とV10 Betaで同じランサムウェア28種類をテストしてるが、V9の検知率は25/28、V10 Betaでは27/28となっていて、明確に差が出ている

615:名無しさん@お腹いっぱい。
18/05/21 19:10:34.03 JbbU9OcYa.net
すまん、誤爆したわ

616:名無しさん@お腹いっぱい。
18/05/25 19:00:55.47 zb/4U/do0.net
初めてランサムウェアの被害にあったのでご教授いただきたく書き込みをさせていただきます。
Windows7にてネットに転がっていたexeファイルをうっかりクリックしてしまい主にCドライブ以外のファイル名が、
[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india
となってしまい、主に2TBの2台と3TBのHDDの中身もすべて暗号化されてしまいました。
転がってるEXEをクリックなんて怖くて一度もやったことが無いのに、就寝間際でボーっとしてました。。
なんのウイルスの特定と復号をしたいのですが、 >6 の方法ではうまく動作しませんでした。
まもなく寿命を迎えるであろう2頭のワンコとの写真をはじめ、多くの思い出を健忘症によって部分的に忘れ消えてしまうのがしんどいです。
この状況をどのように脱したらよいのか、どのような情報をお伝えしたら改善するのか、お教えいただけたら嬉しいです。
どうぞよろしくお願いいたします。

617:名無しさん@お腹いっぱい。
18/05/25 19:02:52.52 zb/4U/do0.net
>616 の訂正です。
[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india
ではなく
[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india.com
です。

618:名無しさん@お腹いっぱい。
18/05/25 19:12:55.25 SgZxbJ9g0.net
>>616
そのランサムウェアはCryptONの亜種だが。。
復号出来るかの情報は持ち合わせてないな。。
ちなみに身代金はいくら?
あと参考までにセキュリティソフトは反応しなかったのか教えてほしい

619:名無しさん@お腹いっぱい。
18/05/25 19:51:03.24 qKwaa5qEa.net
>>616
URLリンク(www.bleepingcomputer.com)
これ?
URLリンク(www.bleepingcomputer.com)
メアドの、というかindiaっていうとここでは2度目かな、随分と久しぶりだ まだやってるんだな

620:名無しさん@お腹いっぱい。
18/05/25 21:23:47.31 OiDzfXyZ0.net
>>616
セキュリティソフトは入れてたの?まさかノーガード?

621:名無しさん@お腹いっぱい。
18/05/25 21:58:50.17 zb/4U/do0.net
ID:zb/4U/do0 です。
>>619 さん、英語は一切読めないので何なのですが、
> URLリンク(www.bleepingcomputer.com)
の中の
URLリンク(www.bleepstatic.com)
のhtmlファイルが各フォルダに置かれています。
>>618 さん、
CryptXXX系かなとは思っていたのですが、CryptONの亜種ですか…。
セキュリティソフトは「Microsoft Security Essentials」のみで、今回に至るまではそれなりに働いてくれていたので安心しきっていました。
今回のexeクリック直後から自動的に検疫・削除を終始繰り返していましたが、いかんせん、就寝直前でボーっとしていたのでランサムであることが表示されていたのかは覚えていません。
気が付いた直後、ああだこうだとやっているうちに履歴を削除してしまいました…。
ちなみに、原因になったウイルス入りデータの配布場所は何となく把握しています。
まさかこんなことになるとは思わず、近々全面的にバックアップをやり直すつもりだったのでバックアップのバックアップが入ったHDDもPCに繋いでおり、半日ほどPCを起動したままだったのでこれらも被害に遭ってしまいました。
身代金は1000から500にダウンしました。
以下、メールのやり取りです。(認証番号は一切伝えていません)
>2018-05-25 19:43 GMT+09:00 ransomed me <ransomed@india.com>:
>last price 500$
>At 25 May 2018 09:35:20 +0000 (+00:00) from maga mail <■■■@gmail.com>:
>そんなお金は手元にありません。
>どうか■■■家族との思い出を返してください。お願いです。
>2018-05-25 15:53 GMT+09:00 ransomed me <ransomed@india.com>:
>Hello. Price for full pc decryption is 1000$ in bitcoin or etherium
>At 24 May 2018 20:07:29 +0000 (+00:00) from maga mail <■■■@gmail.com>:
>ファイルが見れなくなりました。
>どうやったら見れるようになりますか?

622:名無しさん@お腹いっぱい。
18/05/25 22:02:30.47 zb/4U/do0.net
>>620 さん、
ID:zb/4U/do0 です。
ほぼノーガードと言わざるを得ない感じですよね。。
健忘症には逆らえないんです…思い出を取り戻したいです。
お知恵をお貸しください。

623:名無しさん@お腹いっぱい。
18/05/25 22:37:39.79 lWuuRJz4d.net
Windows 7でSecurity Essentialか
ノーガードとは言えないかな
EMSISOFTがCryptONの復号Toolを出してる見たいだけど試してはどうかな?
ランサムウェアをばらまく方も復号Toolで復号できちゃうランサムウェアを新規に作るとは思えないので可能性は低いけど
だめなら残念な言い方になるけど、どうしてもデータを復活したいなら500ドル払うしかないと思う
時が経てば、ランサムウェアの脆弱性が判明してあとで暗号化されたファイルが復号できるツール等が出る可能性もあるけど、これは運がいいケースで、永遠に復号出来ない可能性のほうが高いので

624:ID:zb/4U/do0
18/05/25 23:13:41.18 zb/4U/do0.net
ID:zb/4U/do0 です。
>>623
>ノーガードとは言えないかな
お気遣いのお言葉、ありがとうございます。
>EMSISOFTがCryptONの復号Toolを出してる見たい~
URLリンク(decrypter.emsisoft.com) の「Emsisoft Decrypter for CryptON」ですかね?
暗号化されたファイルをドロップすると
「Please drag and drop both an encrypted and unencrypted file onto the decryptor at the same time.」
アプリ翻訳によると「同時に、暗号化されたファイルと暗号化されていないファイルの両方をデクリプタにドラッグアンドドロップしてください。」と読み取れるのですが、暗号化されていないオリジナルのファイルが必要という事ですか?泣
お金払って元に戻った話し、見かけないんですよね…。不安。。

625:名無しさん@お腹いっぱい。
18/05/25 23:16:04.44 DQP2o8a50.net
写真ならスマフォに残ってねーの?
そん中に暗号化されたファイルの元ファイルあるんじゃね

626:名無しさん@お腹いっぱい。
18/05/25 23:24:37.08 xXHRcuQP0.net
ID Ransomwareで確認するとか?

627:ID:zb/4U/do0
18/05/25 23:42:17.00 zb/4U/do0.net
>>625
写真は無いのですが、過去に一部だけバックアップしていたword(.doc)とExcel(.xlsx)があったので、
・[元ファイル名].[元拡張子].[脅迫文に書かれていた9ケタの番号].ransomed@india.com
・[元ファイル名].[元拡張子]
を2個まとめてドロップしても同じメッセージが出ました。
これって、Emsisoft Decrypter for CryptON では無理という事ですよね…。(TT)

628:ID:zb/4U/do0
18/05/26 00:41:35.20 c7Nj7L4o0.net
>>626
>Cry36
>このランサムウェアは現時点では復号する方法が存在しません。
と、表示されました。。

629:名無しさん@お腹いっぱい。
18/05/26 00:48:27.49 yusr53qw0.net
じゃあ無理じゃ無いかな。
どうしても復旧したいなら
あとは一縷の望みを掛けて500ドル払うくらいしか無いかと。
勿論払い損になる可能性も有るけど、
いつか復号ツールが公開されるのを延々と待つよりはまだ希望があるかなと個人的には思う

630:名無しさん@お腹いっぱい。
18/05/26 00:52:24.68 5aZnGofx0.net
大事な思い出なら勉強代としてはまあ安いもんだろ

631:名無しさん@お腹いっぱい。
18/05/26 01:23:42.31 iFs0/dYd0.net
>>624
Emsisoft Decrypter for CryptONでだめでしたか
ページの説明に
".id-_locked", ".id-_locked_by_krec", ".id-_locked_by_perfect", ".id-_x3m", ".id-_r9oj", ".id-_garryweber@protonmail.ch", ".id-_steaveiwalker@india.com_",
".id-_julia.crown@india.com_", ".id-_tom.cruz@india.com_", ".id-_CarlosBoltehero@india.com_" and ".id-_maria.lopez1@india.com_".
とあったけど、ransomed@india.comが載ってないですね。
やはりCryptONの亜種の新型バージョンで現行の復号ツールでは対応できないみたいですね。

632:ID:zb/4U/do0
18/05/26 02:11:45.75 c7Nj7L4o0.net
>>631
そうなんですよね、最近出回りだしたものなのかGoogleで「ransomed@india.com」で検索しても変な誘導サイトばかりで…。
こんなに大規模な被害は初めてなので、ほんと、しんどすぎます。。

633:ID:zb/4U/do0
18/05/26 03:37:56.15 c7Nj7L4o0.net
ID:zb/4U/do0 です。
これまでにお金を払ってデータが戻った例ってあるのでしょうか…?
犯人はそれぞれ違うのでしょうけど。。

634:名無しさん@お腹いっぱい。
18/05/26 05:42:30.75 qFnRvJs/a.net
>>632-633
英語読めないならしかたないけど、612に
Emsisoftのdecryptorは今の亜種には効かないことも、
ID-Ransomwareのこともダメもとでできる(可能性がある)こともみんな書いてあるんだけどね
(てかgoogle翻訳も使えないの?)
最新情報が入るとすれば612のforumかemsisoftのサイトだろうし、
普通に検索したっていつものように詐欺ソフト誘導サイトばっかだろうし、
日本語で得られる情報って特にないよ

635:名無しさん@お腹いっぱい。
18/05/26 07:32:49.85 hcWseW2r0.net
そもそもバックアップもしていないし、.exeファイルを叩いた上でなおさら実行まで許可しちゃっているんだから
データを全部削除されたってしゃーないよね
危機管理能力の欠如なんだから事項自得でしょう
データサルベージ不能になって右往左往している連中と何ら変わらないように見える

636:名無しさん@お腹いっぱい。
18/05/26 13:07:22.92 yusr53qw0.net
ランサムウェアに感染したらどうする? 本音で語るランサムウェア被害の復元と対策
URLリンク(mypage.otsuka-shokai.co.jp)
>身代金を安易に支払うことを勧めるものではありませんが、
>事実から言うと、最近のランサムウェアは支払えば復元できるものが多いのです
2016年の記事だけど。
まぁ「過去の事例」なんて参考にならんよ。犯人によってスタンスが違うだろうし。
無駄金が嫌なら同一ウイルスの情報を海外のForumで収集しないと。
英語に触るのは嫌だけど無駄金も嫌なんて只の我が儘だろ

637:名無しさん@お腹いっぱい。
18/05/26 14:21:17.33 94zLA6aga.net
>>619 追加
URLリンク(support.emsisoft.com)
の主に
URLリンク(support.emsisoft.com)

638:名無しさん@お腹いっぱい。
18/05/26 17:27:48.88 RDRIZBNqd.net
>>633
ShadowExplorerを使ってボリュームシャドウコピーからファイルを復元する方法も626さんの場合、Cドライブ以外がやられているので、無理なので・・・
ということで結構厳しいっぽいですね。
ちなみにお金を払ってデータが戻った例ってあるのか?という話だけど、自分が見聞きした範囲では戻るほうの率のほうが高いです。
URLリンク(www.atmarkit.co.jp)
とかね。この被害者は知人でした。
あとは、このスレのPart2で支払ってデータ回復できた人がいた。
スレリンク(sec板:617番)-644
他にも
スレリンク(sec板:5番)-6

スレリンク(sec板:87番)
もちろん、だからあなたも大丈夫とは言えませんが。
支払いの締め切り日とか書いてませんでしたか?
ファイルを取り戻すために金払う気が少しでもあるなら、平行して仮想通貨の支払いができる環境を準備しておいたほうがいいです。
取引所との契約とかしておかないとすぐには支払えないので。
もちろん安易に金払うことをすすめてるわけじゃないですよ。
実際、最初の記事の被害者は当時、金払って解除しましたが、あとになってTeslaCryptの復号ツールができて、結果的には金払わなくても解除できたということもありました。
URLリンク(www.itmedia.co.jp)
でも後になって解除ツールができるかどうかは神のみぞ知るくらいのレベルです。
犯人と連絡が取れなくなったら金払って復号もできないですし。

639:名無しさん@お腹いっぱい。
18/05/26 18:04:35.36 Pqt469+UM.net
復旧業者も結局犯人に金払って解除してるとか聞くしなぁ...

640:名無しさん@お腹いっぱい。
18/05/26 18:36:12.67 7FaIf0w3a.net
>>638
この頃、身代金が1.25ビットコイン=6万円だったというのが驚きw
今は1ビットコインは80万円だけど、去年の12月には240万にもなってた
10ビットコインくらい買っとけば。。

641:ID:zb/4U/do0
18/05/26 18:41:31.93 c7Nj7L4o0.net
ID:zb/4U/do0 です。
>>634 さん、
理解しました。。
>>635 さん、
仰るとおり右往左往しています。申し訳ありません。
>>636 さん、
英語が読めないこともありますが、そもそも知識が無いので理解に時間がかかるようです。
特に今焦っていますので。。
幸い?、犯人とのメールのやり取りに大して時間を要しておらず、元に戻る証拠として1個ファイルを送ってみろと言われています。
正しく復号されるようならば500$払おうかと思ってます。
ただ、bitcoin・etheriumをやってないので 何をどうしてよいのやら。。
>>638 さん、
仰るとおり、ShadowExplorerでは無理でした。
お教えいただいた記事、ありがとうございます。
熟読させていただきます!
支払い期限、いまのところ明記されていないような気がします。
返信されてくるメールも焦らすような文言は一切無いですし。
後々復号ツールが出てくるのでしょうけど、その保証はありませんし班員と連絡が取れなくなる前に勉強代として$を払う方向で考えています。
でもbitcoin・etheriumの知識が皆無なので、何をどうしたらよいのか調べなくちゃ。。泣
>>639 さん、
有りえそうですね。ちょっと笑ってしまいましたw
いまのところ業者に依頼するつもりはありませんが、情報をお教えいただきありがとうございます。

みなさま、差支えが無ければ引き続き復号出来る兆しが見えるまで お付き合いいただけたらありがたいです。
どうかよろしくお願いいたします。

642:名無しさん@お腹いっぱい。
18/05/26 20:27:06.38 4k7yd7Hia.net
>>641
あり得そう、ではなく、業者もやってることは、解除ツールが出てるやつは解除ツール使って、解除ツールが無理なのは身代金払ってやってる >>598

643:名無しさん@お腹いっぱい。
18/05/27 09:11:47.15 SHL7q/gL0.net
>>623
7のMSEなんてほぼノーガードに近い
あったら助かったかもしれない機能が全くないのだから

644:名無しさん@お腹いっぱい。
18/05/27 20:34:40.94 zlkoJL4Ua.net
まぁ、2010年のSecurity Essentials 2.0以降、8年間も機能アップはされてないもんな
毎年機能強化されてる市販セキュリティソフトやクラウド機能で検知率の大幅向上を果たしてるWindows Defenderと比べると厳しいわな

645:名無しさん@お腹いっぱい。
18/05/27 20:55:43.74 2Nbi9MjZ0.net
windows7はメインストリームサポートは終わり、延長サポートもあと1年半強しかないからな

646:名無しさん@お腹いっぱい。
18/05/27 22:11:23.09 KpL2PblX0.net
総合セキュリティソフト代をケチって、バックアップ代もケチって
それ以上の出費が必要となった悪いパターンだな

647:名無しさん@お腹いっぱい。
18/05/27 23:24:14.37 Ly7X+w7ka.net
>>645
それは今回の問題とはなんの関係もないけどな

648:名無しさん@お腹いっぱい。
18/05/31 02:56:43.57 fQAtjW/H0.net
>>616
> ネットに転がっていたexeファイルをうっかりクリックしてしまい
転がっているEXEとはどういうこと(もの)でしょうか
いろんなソフトを扱っているサイトから有用そうなソフトをダウンロードしたということですか?
何かのソフト、または架空のソフトを装っていたのでしょうか?
また、ブラウザでローカルにダウンロード後実行したのでしょうか?
後学のためにもお手数ですがぜひ教えていただければと思います

649:名無しさん@お腹いっぱい。
18/05/31 06:30:39.69 1TLOqW5E0.net
私も
>>621
>ちなみに、原因になったウイルス入りデータの配布場所は何となく把握しています。
が気になってました。
一体どこからダウンロードしてしまったファイルなのでしょう?

650:名無しさん@お腹いっぱい。
18/05/31 13:33:39.26 cj8D10kO0.net
アドレスを書くのが嫌なら、何を検索して辿りついたのか、サイトのジャンルだけでも書いてくれないとね
短縮URL踏んだ先にあったとか?
悪質なエロサイトでもexe単体なんてまず置かないと思うし、そういうサイトはセーフブラウジングでブロックされる危険もあるので広告収入のサイトではメリットが無いのでやらないよね
それとも、SmartScreenやセーフブラウジングでブロックが出来ないAWS上に置かれてたとか?

651:名無しさん@お腹いっぱい。
18/05/31 17:29:38.47 cJGk39+la.net
そう思い込んでるだけで、
実際はRDP開けっ放しでそこからだと思うが
記事にもあったように

652:名無しさん@お腹いっぱい。
18/05/31 17:36:54.88 FrwuKghdH.net
RDP開けっ放しは普通だけど、ルーターがRDPを普通は通さない

653:名無しさん@お腹いっぱい。
18/06/01 03:13:45.17 R8nGIYP10.net
「ウイルス入りデータの配布場所」って言ってるから割れ系じゃないのかね?
市販ソフトかゲームのクラック済みexeのつもりで拾ってきたとかそういうオチ。
非正規と自覚してるからSmartScreenの警告を無視して実行したとかなら割と納得できる

654:ID:zb/4U/do0
18/06/03 15:55:35.53 4scDhCQJ0.net
ID:zb/4U/do0 です。
風邪ひいて全身がぎっくり腰みたいに痛くて寝込んでました。。
>>648->>652
あらかた >>653 さんの仰る通りです。
URL載せようと思ったら、DLされるファイルが違うものに置き換わってました。
以下、経過報告です。
犯人とはチャットツールではなく、暗号化されたファイル名に書かれているメールアドレス先と直接やり取りをしているのですが、
「we can decrypt 1 small file for free. for this, pack the file into a rar archive, load it on sendspace.com and send me a link」
という事で暗号化されたJPEGを送ってみたら、復号されたものが届きました。。
という事で、賛否はあるとは思いますが500$払う事にしました。
犯人からは「my bitcoin wallet [34文字の乱数字]」の送り先口座番号?の情報が届いています。
とりあえずBitcoinに関しての知識が無く、開設までに時間が掛かることもあるという事なのでとりあえずGMOコインとDMM Bitcoinの2か所に申し込んで口座開設をしました。
いま現在、たぶんBitcoinが買える状態です。…いきなり500$分を買えるのか不明ですが。
さて、これをどうしたらよいのか、 >>638 さんからの記事を読んでいます。
Bitcoinの買い方~送り方云々は専用板で聞いた方がここの皆さんにご迷惑掛からないですよね…?

655:名無しさん@お腹いっぱい。
18/06/04 00:26:52.92 3lldLzu20.net
>>654
買い方送り方は相談するならツイッターとかで接触出来る専門家に相談して、オープンでやったほうがいい
掲示板だと悪い奴が近付いてきて騙される可能性がある

656:ID:zb/4U/do0
18/06/04 23:38:31.67 ivW3JWfr0.net
>>655 さん、
なるほどです。
Twitterではあまり社交的なことをしていないのですが、相談してみます!

657:名無しさん@お腹いっぱい。
18/06/09 20:52:26.16 MmUxmcsfa.net
>>654
報告乙です
ひとつアドバイスしたいのは、払うと決めたなら、できるだけ早く支払いしたほうがいい
のんびりやってると、相手は騙すつもりがなくても、相手が警察などに逮捕されたり、または他の理由で活動を停止したりすることもあるので、ずっと連絡を取れるとは思わないほうがいい

658:ID:zb/4U/do0
18/06/10 22:33:42.81 UPrbJvnN0.net
>>657 さん、
アドバイスありがとうございます。
GMOとDMMの口座を開設したはいいけど、Bitcoinの買い方がいまいちよくわからないことと、
犯人から一言だけ「URLリンク(blockchain.info)」と送られてきたんだけど、この使い方が全く分からないんです…。
ひとりで夜な夜なサイトを回って調べていますが。。

659:名無しさん@お腹いっぱい。
18/06/11 06:52:55.57 847GiUku0.net
払うべきじゃないだろ

660:名無しさん@お腹いっぱい。
18/06/11 15:24:19.97 TQsON5na0.net
そもそも、人に言えないような実行ファイルをダウンロードしてなったんだから、次回も拾ってやらかすだろうな。

661:名無しさん@お腹いっぱい。
18/06/11 16:18:25.54 WcCD4b4W0.net
払わない方がもちろん良いのだろうけど、ほかにデータを回復する手段がない場合はやむを得ない

662:ID:zb/4U/do0
18/06/19 03:44:25.68 i+5TraGS0.net
ID:zb/4U/do0 です。
ご報告が遅くなりましたが、
13日の夕方過ぎにBitcoinを送金予約、
14日の昼過ぎに送金完了、
15日の深夜に犯人からunlock.rarのダウンロードURLと起動用ID(暗号化されたファイル名内の9桁の乱数字)とパスワード(700桁の乱数字)が記載されたメールが届きました。
RARのファイルサイズは183,156 バイト、解凍後のunlock.exeは421,376 バイト。
で、さっそく作業開始すると、どんな大容量のデータでも一瞬にして復号化されていき、数時間で全てのデータが復号化。
但し、ファイルのプロパティにある「更新時間」が復号化された時間になってしまうという少し残念な結果ではありますが。。
最終的な被害金額は、交渉開始時に$500US相当のビットコインのレートが0.066BTCで日本円で55000円くらいでしたが、6/13時点では47000円ほど(諸経費除く)。
いろいろとご教授いただきました皆様、本当にありがとうございました。
以後、いろいろと気を付けたいと思います。

663:631
18/06/19 19:51:30.85 COPHlG/Id.net
>>662
結果報告乙でした。
騙されなくてよかった。
ちゃんとデータ復元できたようでなにより。
あとは、マイクロソフト以外のセキュリティソフトに変えることをおすすめ。
AVLabというところで各種セキュリティソフトでランサムウエアに対するテスト結果が発表されていたけど、マイクロソフトのWindowsDefenderだけ成績が悪い。
Security EssentialはWindows Defenderよりも性能が劣るので論外・・・
URLリンク(avlab.pl)
URLリンク(avlab.pl)

664:名無しさん@お腹いっぱい。
18/06/19 21:53:19.03 pvbBNN6HM.net
5万で済むなら安いもんだわな
業者ならそれ以上取りそうだし

665:名無しさん@お腹いっぱい。
18/06/20 16:53:45.55 Hkf7H+2w0.net
業者は被害者から15万とって5万を犯人に払って復旧するからね

666:名無しさん@お腹いっぱい。
18/06/20 18:21:26.62 /isV7d840.net
業者がランサム流して身代金ゲット!自分が流したやつ修理頼んできたら犯人に払う分も必要なく丸々ゲット!
とかそのうちやりはじめそう

667:名無しさん@お腹いっぱい。
18/06/20 19:29:04.23 JuWLrCwK0.net
ランサムなんて作ってばら撒く奴はその業者みたいなものだろ、実質

668:ID:zb/4U/do0
18/06/20 21:56:12.60 rFun+AI/0.net
>>663 さん、
プロバイダがJcomなので、とりあえずはそこで配布してる「マカフィー for ZAQ」を久しぶりに入れました。
…時々重くなるので気が引けるのですが。
URLリンク(cs.myjcom.jp)
>>664 さん、
結果的に元に戻せた事とこの程度で済んだのはのは不幸中の幸いというか、勉強代として納得してます。。

669:ID:zb/4U/do0
18/06/21 00:25:18.80 VnBymRYP0.net
>>665 さん、
なんだかなあ…
いい人ばかりじゃない世の中、切なくなります。。
>>666 さん、
>>667 さん、
案外多いと思います、いわゆる自作自演的な。
だって、ばら撒くだけでは誰徳?ってハナシですもんねえ。。

670:名無しさん@お腹いっぱい。
18/06/21 08:10:20.93 J5TVdQpKd.net
>>668
「気が引ける」の意味を辞書で調べた方がいいと思います

671:名無しさん@お腹いっぱい。
18/06/21 11:33:33.93 SFZRbQFpM.net
博多大丸なんとかに似てる

672:名無しさん@お腹いっぱい。
18/06/21 18:14:24.94 T3ZIwQXW0.net
>>ばら撒くだけでは誰徳?ってハナシですもんねえ。。
金払った奴が言うことじゃなくねw

673:ID:zb/4U/do0
18/06/21 21:57:17.47 VnBymRYP0.net
>>672 さん、
自分への恨み節というか、嫌味ですw

674:名無しさん@お腹いっぱい。
18/06/21 23:55:52.94 kDxARUBZa.net
>>668
マカフィー重いなら、ESETおすすめ
たぶん重さを感じることはないと思うけど、とりあえず30日体験版試してるのがいいかも
1台用3年版 3980円
URLリンク(www.eset-smart-security.jp)
5台用3年版 4980円
URLリンク(www.amazon.co.jp)

675:ID:zb/4U/do0
18/06/21 23:59:44.26 VnBymRYP0.net
>>674 さん、
3年で3980とは!
メモメモφ(・ェ・o)

676:名無しさん@お腹いっぱい。
18/06/22 02:37:15.46 kSO2Az/80.net
負け惜しみにしか聞こえないw

677:ID:zb/4U/do0
18/06/22 03:02:32.70 v8NQJDNA0.net
>>676
そりゃそうですよ。
だめですか?

678:名無しさん@お腹いっぱい。
18/06/22 17:34:33.27 LLr8WLCkd.net
>>677
レス乞食はスルーしといたほうがいい

679:ID:zb/4U/do0
18/06/22 18:39:21.06 v8NQJDNA0.net
>>678 さん、
はい、そうさせていただきます
ありがとうございます

680:名無しさん@お腹いっぱい。
18/06/25 18:09:08.83 vQDlJLk2a.net
>>674 >>675
5台用3年版 3980円セール
URLリンク(nttxstore.jp)

681:名無しさん@お腹いっぱい。
18/06/29 07:45:11.18 0GMfgiwW0.net
ランサムウェア「Thanatos」の被害からファイルを復旧するツールをTalosが無償公開
URLリンク(forest.watch.impress.co.jp)

682:名無しさん@お腹いっぱい。
18/07/26 01:23:02.44 zw1cIH6Y0.net
もうずっと遊んでいるフリーゲームを久しぶりに起動したら初めてランサムウエアが検出、 復元出来ないファイルしぶしぶファイル削除したけどどっから出たんど

683:名無しさん@お腹いっぱい。
18/07/31 14:39:44.14 lYpNrMlQ0.net
いろんな企業が感染してるけど予防策ってないんだろうか

684:名無しさん@お腹いっぱい。
18/07/31 15:53:02.43 Y1QUA+GW0.net
バックアップ 隔離

685:名無しさん@お腹いっぱい。
18/07/31 16:03:44.10 uaLXMJ75H.net
>>683 今だとレンタルUTMかな NTT東日本がやってる奴

686:名無しさん@お腹いっぱい。
18/07/31 17:34:43.68 akJZBWF20.net
>>683
メール使うのをやめるw
いや、以外とマジで効くと思うよww

687:名無しさん@お腹いっぱい。
18/07/31 21:22:04.46 lYpNrMlQ0.net
>>685
箱置く奴か
結局パケット監視じゃないのかね
>>686
そりゃそうだバカが一番の原因

688:名無しさん@お腹いっぱい。
18/08/01 22:47:37.57 Lv/OVlVg0.net
>>683
管理者権限を持っているユーザーがメールの添付ファイルが.exeでも実行しちまうんだから防ぎようがない
制限付きユーザーとして使わせて、これらの実行時に要求される管理者のパスワードは絶対に教えないことだな

689:名無しさん@お腹いっぱい。
18/08/24 00:02:01.27 L9pF7uW40.net
屁の突っ張りにもならないことはないと思うので
とりあえずAcronis Ransomware Protectionを入れてみた

690:名無しさん@お腹いっぱい。
18/08/24 17:52:10.14 nuBwDz4d0.net
WebページのCMに含まれる怪しげなスクリプトとかを
完全遮断できるなら屁の突っ張り程度には役に立つかも

691:名無しさん@お腹いっぱい。
18/09/02 10:30:14.42 /fYhXkwXd.net
保守

692:名無しさん@お腹いっぱい。
18/10/06 13:06:52.14 4aYKn02CV
甥っ子がGANDCRAB V5.2に感染して泣きついてきたので記念に書き込む
画面のホップアップが煩くて英語版ノートン落としたらしくて起動したらしい
ダウンロードボタンで1発で起動してディスクトップのソフト類が.lvucdファイルに次々書き換えられ
そのままセーフティにせずバックアップしてめでたくバックアップも感染で詰んだらしい

カペルぶち込んでみたらtrojan17オーバー個仕込まれ、試しにシェアソフトで復号化、復元ためしてみたができず
650,000個以上の.lvucdにされ削除クッソ時間かかるし不安らしくクリーンアップした
画像やソフト類を壊滅させるけど起動自体は出来るのは中々すげぇなこれ思わず笑ったわ

693:名無しさん@お腹いっぱい。
18/10/06 13:31:23.23 hLkmwXAdM
甥っ子のログみてたら多分このあたりだとおもう、確かではないが
norton cracked version  fenssy で検索かけると出ると思うがクリックすんなよ手が付けられん

694:名無しさん@お腹いっぱい。
18/10/19 15:03:44.34 umbatxCv0.net
 私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。

695:名無しさん@お腹いっぱい。
18/10/20 20:25:52.44 GNUqT0oh0.net
知り合いがnmijjtbっていうのを食らったらしい
くっそめんどくさい

696:名無しさん@お腹いっぱい。
18/10/20 20:40:52.75 +araDUxO0.net
ググっても中国語か朝鮮語しか出てこないな
あっ・・・(察し)

697:名無しさん@お腹いっぱい。
18/10/26 10:57:12.72 xDWKC8/k0.net
NO MORE RANSOMで、「GandCrab」の暗号解除ツールが公開された。
URLリンク(www.nomoreransom.org)
病院のカルテが暗号化されたのも解除されたかな?

698:名無しさん@お腹いっぱい。
18/10/31 17:02:12.28 PeR2Y68V0.net
復元出来ても単なる個人の環境とは違うから大変そうだな

699:名無しさん@お腹いっぱい。
18/11/05 08:21:10.10 vChR5uL60.net
GANDCRAB 5.0.4に感染してしまいました。
動画や写真が、すべて読み込めなくなりました。
配布されているツールも試してみましたが、だめでした。

700:名無しさん@お腹いっぱい。
18/11/05 16:01:59.09 5TPetKv7d.net
ランサムウェア「GandCrab」対応復号ツール、100万ドル超の被害回避--Bitdefender報告
 ルーマニアのセキュリティ企業Bitdefenderは、先週ランサムウェア「GandCrab」に対応する復号ツールを無償公開してから、被害者がGandCrab攻撃の犯人グループに総額100万ドル(約1億1300万円)超の身代金を支払うのを防いだとしている。
 Bitdefenderによると、ツールをリリースしてから数時間で、少なくとも1700人以上の被害者がGandCrabによってロックされたファイルの復号に成功したという。
 Bitdefenderは10月25日、欧州刑事警察機構(Europol)やルーマニアの警察当局などの法執行機関と協力して、GandCrabの複数のバージョンに対応する復号ツールを無償公開した。
 このツールは、GandCrabのバージョン1(拡張子「.GDCB」)および4(拡張子「.KRAB」)、5(複数文字のランダムな拡張子、現時点の最新バージョン)に対応している。
Bitdefenderが復号ツールを公開した翌日、GandCrabの犯行グループもBitdefenderによる復号ツールに対抗できる新バージョン「v5.0.5」をリリースしたとしている。
 Bitdefenderによると、「最も被害が多いのはGandCrabのバージョン4と5」だという。
 多くのセキュリティ専門家が、ランサムウェアに暗号化されたファイルを置いておき、数カ月中に公開される無償の復号ツールを待つよう、常に被害者にアドバイスしているが、BitdefenderのGandCrab対応復号ツールはそうした理由を示す好例だ。
URLリンク(japan.zdnet.com)

701:名無しさん@お腹いっぱい。
18/11/05 16:04:05.71 5TPetKv7d.net
>>699
5.0.4なら、BitDefenderの復号ツールで復号できるようなニュアンスのことが書いてるがダメなん?

702:名無しさん@お腹いっぱい。
18/11/05 20:51:31.38 IYMQVqrax.net
感染したファイルの名前が、複合化ツールに記載されてるものは、おそらく復元できると思いますが、当方のファイル名は記載されてるものではなかったので、だめでした。

703:名無しさん@お腹いっぱい。
18/11/06 03:44:24.97 pDWExE4c0.net
感染経路はメールの偽装添付ファイル?

704:名無しさん@お腹いっぱい。
18/11/06 07:19:32.04 oRoaoZPF0.net
感染経路はグーグルクロームのブラウザに、インストールされていないフォントが
あります、とかポップが出て、何気なしにインストールクリック。
ファイルが感染して開けなくなって調べてみたら、そのフォントをインストする
ポップがランサムウェアの感染の典型でした。

705:名無しさん@お腹いっぱい。
18/11/06 07:31:45.55 pDWExE4c0.net
ohそれはまた典型的な。。。

706:名無しさん@お腹いっぱい。
18/11/06 07:37:52.54 oRoaoZPF0.net
とりあえず、USB接続のHDDにバックアップしていた動画や写真は被害無しだったのが
不幸中の幸いでした。バックアップは3つのHDDに取っていましたが、マザボにつなげて
いるものは全滅です。
なので、ネットサーフィンはノートパソコンかタブレットオンリーでやることにして
メインのディスクトップパソコンでは、ネットをしないことにしました。
ウィルスソフトは亜種などを含め、意味がないように思われるためネットは
被害が最小になるよう、端末は分けようと決めました。

707:名無しさん@お腹いっぱい。
18/11/06 07:49:50.09 iFGrn8/Ya.net
そういう考え方もそれはそれでわかるけど、
696氏もいうように、
その感染経路というかパターンってもうたぶん2年くらいは前からある方法で、
ふだんからある程度定期的に、その手のセキュリティのニュースに何らかの形で接する習慣をつけたほうがいいと思う
もう判で押したように同じパターン、で流行り廃りがあるから
範囲が狭く済むだけで、またかかるよ

708:名無しさん@お腹いっぱい。
18/11/06 08:14:27.76 oRoaoZPF0.net
今回の件で、絶望の闇の底に突き落とされたのです。
唯一の救いが、外付けのHDDが助かっただけでした。
思い出の家族の写真や動画が、危険にさらされないようにするのなら
多少の不便はしかたないと、受け入れようと思っています。

709:名無しさん@お腹いっぱい。
18/11/06 22:27:27.83 ggycN8nn0.net
>>708
で、ウイルス対策ソフトは入れないんか

710:名無しさん@お腹いっぱい。
18/11/06 22:57:39.40 myJg+MXN0.net
>>704
exe系の実行には実行許可のダイアログが表示されただろうよ
ユーザーアクセス制御を無効にしちまっているんなら自分の責任だし、
脆弱性の云々は実行ファイルにゃ通用しないよ
管理者権限で使っているんならそれくらいは自覚しとかにゃいかんよな

711:名無しさん@お腹いっぱい。
18/11/06 23:01:08.36 9R2J6TU70.net
>>704
セキュリティソフトは何も入れてなかったん?
それとも入れていたけどブロックしてくれなかったですか?

712:名無しさん@お腹いっぱい。
18/11/06 23:02:40.89 9R2J6TU70.net
>>706
将来的に、復号ツールが5.0.4にも対応できるようになる可能性があるので、ファイル自体は残しておいたほうがいいと思うよ

713:名無しさん@お腹いっぱい。
18/11/14 18:14:50.36 n8rA2K9Pd.net
>>708
絶望の闇の底、というくらいまでのダメージ受けてるなら身代金払ってデータ回復したらいいのに
このスレでもどうしてもデータが諦められないひとは金払って、データ回復してる例がある >>616-662
過去スレでもいた
もちろん100%戻るという保障はないから、最終的には自分で判断するしかないけどね

714:名無しさん@お腹いっぱい。
18/11/14 20:11:03.72 ODHLC3Zv0.net
泡立てるパワーは凄く強いです。浅いコップだと、勢いがありすぎて、こぼれます。コップに蓋をするなどして、
こぼれない工夫が必要かと思います。また、本体を立てることができるスタンドがついているのは便利でした。
星を1つにしたのは、数日で壊れたことです。棒が折れてしまい、すぐに使えなくなり残念でした。

715:名無しさん@お腹いっぱい。
18/11/15 07:51:05.92 IjOHdFuFd.net
どう誤爆したんだ?

716:名無しさん@お腹いっぱい。
18/11/15 09:27:47.20 GKTHSBApH.net
キッチン小物じゃね なんとなく

717:名無しさん@お腹いっぱい。
18/11/15 22:06:38.67 1x0/Fg1k0.net
レビューっぽいが

718:名無しさん@お腹いっぱい。
18/12/08 07:23:47.68 cnpwuNwl0.net
コップからこぼさなくなるまでグンマーの豆腐屋で修行しろ

719:名無しさん@お腹いっぱい。
18/12/11 18:46:29.45 84WiAl8Qd.net
ランサムウェアってなにかなぁ
テロリストに捕まったとき着せられる
オレンジ色のやつかなぁ

720:名無しさん@お腹いっぱい。
18/12/13 06:38:38.37 7rSBjtHS0.net
URLリンク(d2gfnym7wzulsm.cloudfront.net)
---------------------------
Web ページからのメッセージ
---------------------------
Windows Security Center: Your PC Shield Internet Security subscription has expired today. Renew now to protect your computer from the latest Ransomware viruses.
---------------------------
OK
---------------------------
これってランサムウェアです?

721:名無しさん@お腹いっぱい。
18/12/13 08:04:57.91 jQi+ilAva.net
>>720
違う
こんな簡単な英語読めないのか

722:名無しさん@お腹いっぱい。
18/12/13 09:03:47.44 AG89SarQ0.net
>>720
Windowsセキュリティセンター:PCシールドインターネットセキュリティのサブスクリプションが今日満了しました。
最新のRansomwareウイルスからコンピュータを保護するために今すぐ更新してください。

723:名無しさん@お腹いっぱい。
18/12/13 10:48:55.95 7rSBjtHS0.net
広告ということですかね
すみません

724:名無しさん@お腹いっぱい。
18/12/13 13:39:49.55 z6VJcJ4V0.net
というかランサムウェアだと思ったならそんな危険なアドレスを直接貼るなよw

725:名無しさん@お腹いっぱい。
18/12/26 11:51:28.63 1dUvScvEM.net
ネカフェのPCに繋いだ外付けHDDがランサムウェア(GANDCRAB 5.0.4)にやられたみたいで
画像ファイルとかが拡張子変更されてたんだけど、これってHDDをフォーマットすれば大丈夫なの?
なんか拡張子変わってないファイルもあるけどそれは残しておいても問題無いのかな?

726:名無しさん@お腹いっぱい。
18/12/26 13:02:17.91 neFWO919H.net
>>725 大丈夫
ただ、ネカフェにデータの入ったストレージを持ち込む時点で脇が甘いんじゃね?
普通に考えて、そういう脇の甘い奴は自宅でもやらかしてる

727:名無しさん@お腹いっぱい。
18/12/26 16:43:04.86 y15E21fvM.net
ファイルは消えるが、初期化してしまえばランサムウェアなんて関係なくなる。
勿論、バックアップは取ってあるんだよな?
無いのだとしたら脇が甘すぎるわw

728:名無しさん@お腹いっぱい。
18/12/26 17:52:29.70 1dUvScvEM.net
>>726>>727
そうなのか情報サンクス
ランサムウェア初めてだったからネカフェでいきなり背景変わった時はアレ?くらいにしか思わなかったわ
やっぱりバックアップ取るのってめんどいけど大事なんだな…(初歩的)

729:名無しさん@お腹いっぱい。
19/01/03 00:12:20.95 Wm14ujH80.net
まともなネットカフェだと電源落とす度にOSイメージが復元されてウイルスなんて気にしないでいいんだけど、そうじゃないところもあるんだな

730:名無しさん@お腹いっぱい。
19/01/03 12:02:42.65 t2a/sTnQd.net
まともなネットカフェとやらの区別がつかないしな

731:名無しさん@お腹いっぱい。
19/01/06 23:51:35.15 pAqZqQVj0.net
>>729
今どきのネットカフェって、そんなことになっているのか!
たまがったばい

732:名無しさん@お腹いっぱい。
19/01/11 18:12:24.16 w6vCXK0fd.net
>>731
今どきの、って言うけど、10年以上前からそういうシステムのネットカフェは多かったよ
こういうやつ
URLリンク(www.tbpress.jp)

733:名無しさん@お腹いっぱい。
19/01/13 16:43:40.38 HLqWt5aCa.net
以前と比べると最近はランサムウェアの感染の話、あまり聞かなくなったよね?
もちろんなくなったわけじゃないけど、一時は大騒ぎしてたのに今は全然って感じ

734:名無しさん@お腹いっぱい。
19/01/13 17:25:04.40 5iJUyMg00.net
知名度が十分に上がってきたからじゃね?
大半がメールの添付ファイルとかネットに転がっているexeとかだから
まぁ存在と危険性を知ってれば避けることは容易だし。
勿論例外もあるから感染者は今もいるんだろうけど

735:名無しさん@お腹いっぱい。
19/01/23 22:40:35.40 a3zNdntg0.net
マカフィー入れてたが
GandCrab5.1にかかってモーター

736:名無しさん@お腹いっぱい。
19/01/24 00:13:15.28 PITqsp+F0.net
>>257
チョン製なんか使うなよ

737:名無しさん@お腹いっぱい。
19/01/24 01:00:53.66 PITqsp+F0.net
RansomFreeはサポート去年終了してるんだな

738:名無しさん@お腹いっぱい。
19/01/24 01:53:53.10 aalhjlvI0.net
>>737
マジで?

739:名無しさん@お腹いっぱい。
19/01/24 01:55:15.25 aalhjlvI0.net
>>735
マジかよ
マカフィー防いでくれなかったのかよ
入れてるんだが
マジで怖いがな

740:名無しさん@お腹いっぱい。
19/01/24 01:59:04.76 aalhjlvI0.net
Ransome free マジだった。。
URLリンク(www.cybereason.co.jp)
無償版でまだ生き残ってるのはAcronisのくらい?
Malwarebytesのはずっとベータテストしてたけど有償版に機能統合されたよね

741:名無しさん@お腹いっぱい。
19/01/24 23:12:56.57 cjp8FXuE0.net
MalwarebytesのAnti-RansomwareはBeta版として提供され続けているよ。
URLリンク(forums.malwarebytes.com)
Bitdefenderのは更新はされてないけどダウンロードは今でも出来るみたいだ。
URLリンク(labs.bitdefender.com)

742:名無しさん@お腹いっぱい。
19/01/25 23:48:17.58 IKkHexSK0.net
URLリンク(detail.chiebukuro.yahoo.co.jp)
716さんの仲間かもね

743:名無しさん@お腹いっぱい。
19/01/27 00:05:25.41 a+nQerF70.net
助けて下さい
出先で外付けHDDを繋いだところGandCrab V5.1にやられました。大切なデータが多く諦められません。
質問なのですが、
1.このHDDを他のPCに繋いでも大丈夫でしょうか(感染が広がったりしないか)
2.拡張子が変更されていないファイルもあるのですが使用しても大丈夫でしょうか
3.GandCrabを駆除するおすすめの方法を知りたいです
4.データの復旧は可能でしょうか、また、その方法はどうすればいいですか?
近日に使用するデータもあり、頭を抱えています。どうかお力添えをお願いします。

744:名無しさん@お腹いっぱい。
19/01/27 00:36:29.82 E0usLfQ0H.net
まあ無料でってなら無理だね。
現状金はらうしかない

745:名無しさん@お腹いっぱい。
19/01/27 02:22:31.85 5uWIzTS10.net
>>743
1
たぶん大丈夫
でも最悪データが消えてもいいPCで体験版でもいいのでカスペルスキーかノートンの入ったPCでスキャンすることをおすすめする
2
大丈夫
3
どういう意味で「駆除」と書いてるのわからないけど、感染したのは「出先」のPCなので、外付けHDDにはウイルス(ランサムウェア)はいないはず
まぁ、万一という事もあるので、1で書いたようにチェックしたほうがいい
もし見つかればウイルス対策ソフトが駆除してくれる
4
GanCrab 5.1は現状、身代金を払う以外にデータ復旧する方法はありません
5.0.3までは復号ツールが出てるので、将来的に、5.1も5.0.3までと同じように復号できるようになる可能性もありますが、永遠に復号ツールが出ない可能性もあります。
どちらかは現時点ではわかりません。
どうしても暗号化されたデータを復旧させたいなら身代金を払えばデータが戻る可能性は高いですが、100%戻る保証があるわけではないので、おすすめするわけではないです。
このスレでも過去スレでも、身代金を払ってデータ回復した例はあります。
>>616-662

746:名無しさん@お腹いっぱい。
19/01/27 02:32:22.80 5uWIzTS10.net
>>743
> 近日に使用するデータもあり、頭を抱えています。どうかお力添えをお願いします。
近日中にどうしてもデータが必要ならいつ出るかもわからない5.1対応の復号ツールのリリースを待てないだろうから身代金を払うしかないかもしれないですね
100%の保証はないがこういう話も
URLリンク(ascii.jp)

747:名無しさん@お腹いっぱい。
19/01/27 03:00:22.93 5cKyTX+c0.net
総合セキュリティソフトとは別枠(共存可)のランサムウェア専用対策ソフトって
大分下火になってきた気がするけど2019年現在で実用性的にどうなんだろう?

748:名無しさん@お腹いっぱい。
19/01/27 05:04:25.41 oGnC1LUt0.net
私もHDDのアクセスが激しいと思ったら5.1に感染していました、打つ手はないようなのでGMOとDMMの口座開設の手続きをしました。

749:名無しさん@お腹いっぱい。
19/01/27 09:01:25.33 gB+n5ycV0.net
>>745-746
ありがとうございます。
身代金を払う以外の復旧手段は無いのですね・・・
HDDが大丈夫そうなら残っているデータを確認して対応を決めたいと思います。

750:名無しさん@お腹いっぱい。
19/01/27 10:00:23.57 si/qyJ/zH.net
>>748
セキュリティソフトは何を使ってました?

751:名無しさん@お腹いっぱい。
19/01/27 11:33:29.50 r4Xun1NE0.net
訳のわからない添付ファイル実行したとか以外で感染するんか

752:名無しさん@お腹いっぱい。
19/01/27 12:47:41.29 bvKjvSeu0.net
>>750
マカフイーでWindows7です、感染元はわかりません、復旧したらWindows10にしようと思います

753:名無しさん@お腹いっぱい。
19/01/27 13:18:08.40 0B3XpOhf0.net
>>752
マカフィー使い続けるなら738の言うランサムウェア専用対策ソフトも入れたほうがいいですね

754:731
19/01/27 15:15:30.12 8K5GfUhla.net
>>741
教えてくれてありがとう
Malwarebytesのがベータ版でも更新されてるのはありがたい
以前入れてて特に問題はなかったし、これをあらためて入れることにする

755:名無しさん@お腹いっぱい。
19/01/27 15:20:17.17 8K5GfUhla.net
>>735氏と>>752氏って同一人物?!
別人だったらめっちゃ怖いわぁ、俺もマカフィー使ってるから。。
マカフィー、GandCrabの最新版を検知出来ないのかね?!

756:名無しさん@お腹いっぱい。
19/01/27 16:19:17.92 5cKyTX+c0.net
GandCrab感染経路
 1.Webサイト閲覧(ドライブバイ・ダウンロード)
   『条件』
    (1)最新のWindows Update が実施されていない
    (2)Adobe Flash Playerが最新版ではない
 2. ウイルスメール
    (1)迷惑メールの添付ファイルを開いた
    (2)迷惑メール本文中のリンクからダウンロードしたファイルを開いた
 3.exeを拾い食い
こんなとこ?
マカフィーに限らずウイルスとセキュリティソフトは所詮イタチごっこだから
今のは検知できても次の亜種を検知出来るとは限らないよ。

757:名無しさん@お腹いっぱい。
19/02/02 20:15:57.95 3SN5zQq90.net
739です
複合までいけたので報告します
まず、作成されたtxtに書いたあったアドレスにTorでアクセスしたところ、身代金、送付アドレス、身代金倍増までの時間
が表示されました、身代金はDASHで$550US、BITCOIN(+10%)と提示されていました。
開設まで間に合いそうにないのでチャットで伸ばしてもらいました
1/30に開設できたので、DASHは取り扱いがないのでBITCOINで送金、30分後位に画面が変わりDecryptorがDLできるようになりました。
送金額は日本円で65000円ほどになりました。
DLしたDecryptorで複合中ですがコマンドプロンプトで実行されバックアップを取りながら複合しているので遅いです
24時間以上複合しているのですがまだ終わりません
高い授業料でした。

758:名無しさん@お腹いっぱい。
19/02/02 20:33:55.23 Epp3K8tta.net
貴方はそれでよかったかもしれないけれど、
そのいわゆる身代金が次のランサムウェアの開発や拡散に使われ新たな被害者が増えていく、
という現実にもキチンと向き合って欲しいね

759:名無しさん@お腹いっぱい。
19/02/02 20:41:42.98 L66DhRJN0.net
>>757
報告ありがとう
流れが参考になりました
高い授業にはなったかもしれないけど、身代金を払ったが復旧できないという最悪のケースにはならなかったようでよかった

760:名無しさん@お腹いっぱい。
19/02/03 16:41:42.72 8JdaS5b0M.net
24時間以上かかるとか復号ってそんなに時間かかるんだ
暗号化されるのはあっという間なのにね

761:名無しさん@お腹いっぱい。
19/02/03 17:14:34.42 dSa/JMP10.net
ランサムウェア「Love you」、日本を標的とした大規模なキャンペーン
URLリンク(news.mynavi.jp)

762:名無しさん@お腹いっぱい。
19/02/03 19:07:52.88 3KzUVGU10.net
今流行るなら「即位しませんかスパムメール」も
立太子ボタン押したら暗号化させるタイプなんだろうな

763:名無しさん@お腹いっぱい。
19/02/03 20:09:25.33 y1LFNqzi0.net
>>758
大事な我が子が誘拐されました
身代金を払えば返してあげるけど、払わなかったらもう返ってこないよ、と言われてやむなく身代金を払った人を非難できるでしょうか?
いや、できないでしょう
もし彼が身代金の支払いをしなかったら、今後ランサムウェアの被害は減るのでしょうか?
いや、払っても払わなくても変わらないよね
タリバーンのテロ組織とは違うんだから

764:名無しさん@お腹いっぱい。
19/02/03 21:54:10.72 Xqf1ujpYa.net
>>763
PCのデータは我が子ではない
非難してない
例えば、誰一人として身代金の支払いをしなければ経費倒れに終り次のランサムウェアの開発や拡散は不可能になる
> という現実にもキチンと向き合って欲しいね
という話
理解できない人はいちいち出てこなくていい

765:名無しさん@お腹いっぱい。
19/02/03 21:56:04.83 GjxNLm8q0.net
綺麗事ばっかw

766:名無しさん@お腹いっぱい。
19/02/03 22:30:49.93 BHYDTcYJ0.net
>>761
俺のところにもおととい、「Erika Toda」を名乗るメールが
来てたな、速攻で消したけど。

767:名無しさん@お腹いっぱい。
19/02/03 22:31:41.99 ZjX+5pr3a.net
「現実にキチンと向き合え」って具体的に何にどう向き合えって言ってるんだっつー話だよな
たぶん言ってる本人もわかんないんだろうが
自分が格好つけるつけるために言ってるだけじゃね
>例えば、誰一人として身代金の支払いをしなければ
ありもしない妄想かよ
アホくさ

768:名無しさん@お腹いっぱい。
19/02/03 23:17:38.59 dSa/JMP10.net
データをバックアップしとけばいいだけじゃね?

769:名無しさん@お腹いっぱい。
19/02/03 23:19:30.88 3KzUVGU10.net
言いたいことは分からんでも無いが
2016年時点でランサムウェア制作者が手にした金額は10億ドル以上って言われてるのに
2019年時点の6万円そこらに目くじら立てるのはなぁ
お前が海にしょんべんしたから津波の被害が増えたばりのアレだわ

770:名無しさん@お腹いっぱい。
19/02/04 02:22:10.30 0j8COts1M.net
中学生が新聞に投書するようなレベルの理想論w

771:名無しさん@お腹いっぱい。
19/02/04 07:53:24.85 zwftC88ta.net
おぉこんなことでえらいカッカするヤツ多いんだな面白い
被害者が、カネを払うことで犯罪者側に資金援助という形で加担する、
単なる被害者から被害者兼加害者になっちゃう、
という無色透明な話なのにな
ここで、テロ組織に身代金を渡すなー! とか書くと安倍がーの人が現れたりするんかな

772:名無しさん@お腹いっぱい。
19/02/04 09:01:52.94 k8E9ChBY0.net
>>757
報告乙です。

773:名無しさん@お腹いっぱい。
19/02/04 10:26:22.64 RgVCUETM0.net
>安倍がーの人が現れたりするんかな
でたw論点ずらしw
>誰一人として身代金の支払いをしなければ経費倒れに終り
>次のランサムウェアの開発や拡散は不可能になる
こういうことをのたまうのは、無色透明というより純粋無垢だよ。
無学無能と言い換えても良いレベル。

774:名無しさん@お腹いっぱい。
19/02/04 10:31:44.72 4ODvGakd0.net
ボクが考えた最強のランサムウェア撃退法ってかw

775:名無しさん@お腹いっぱい。
19/02/04 14:50:18.52 rjFHBW0D0.net
>>757はこのスレにあくまで厚意で、ランサムウェアに感染後の対応という役立つ報告をアップしてくれてるのに、何様か知らんが無関係の>>758があんなただの理想論で上から目線で諭すとか笑止千万だわ
こんなやつがおると今後、事後報告してくれる人が減るかもしれない
せっかくの生のリアルな情報がやりとりされる場なのに
ということも分からず無意味なチャチャチャ入れるようなやつだから馬鹿なんだろう

776:名無しさん@お腹いっぱい。
19/02/04 18:52:42.59 Mkmfw99k0.net
誰か研究用として検証できるような端末を持ってる人、
URLリンク(freesoft-100.com)
にあるようなランサムウェア専用の対策ツールがGandCrab 5.1でも有効なのか確認してみてくれないかい?
URLリンク(twitter.com)
(deleted an unsolicited ad)

777:名無しさん@お腹いっぱい。
19/02/06 12:20:16.03 EV0X89JGd.net
>>757
警察には被害届はだしたんですよね?

778:名無しさん@お腹いっぱい。
19/02/06 15:18:26.80 xibRbb1g0.net
>>777
ハハハ、ナイスジョーク

779:名無しさん@お腹いっぱい。
19/02/08 15:08:28.91 A8nBlsWp0.net
捜査情報の入ったCD-Rからウイルス感染、福岡県警がイントラを一時停止
URLリンク(tech.nikkeibp.co.jp)

780:名無しさん@お腹いっぱい。
19/02/09 13:50:31.63 k99BYj5L0.net
>>779
ファイルをコピーした事実が正しいのならその後に.exeを実行しているからだ
コピーなどしていなくてもCD-R内にあった.exeファイルを直接実行しているかも知れない

781:名無しさん@お腹いっぱい。
19/02/09 15:19:29.65 EGQ0N0PNa.net
>>780
そこまでアホじゃないんじゃないか
俺の妄想では、捜査情報ってのは押収した電子メールで、添付ファイルがWord形式
開いてマクロが実行されてランサムウェアを呼び込んだパターンかな、とか

782:名無しさん@お腹いっぱい。
19/02/10 05:29:53.53 XueuUh6X0.net
福岡県警に入っているセキュリティソフトはウイルスバスターらしい
URLリンク(twitter.com)
(deleted an unsolicited ad)

783:名無しさん@お腹いっぱい。
19/02/10 06:10:02.49 3T0ojNil0.net
ウイルスでPCがバスターされちまったな

784:名無しさん@お腹いっぱい。
19/02/10 06:24:54.51 7U5a5ZDd0.net
やっぱランサム対策にはそれ専用のアンチランサム入れないと
駄目か?
win10の設定が飛んじゃって、面倒臭いからしばらくほっぽって
Linuxを使ってたら、いつの間にかサイバーリーズンのアンチラ
ンサムのサポートも終わってたしなぁ、どうしよう・・・

785:名無しさん@お腹いっぱい。
19/02/11 17:10:03.93 /QT8wrc/0.net
最終的にはユーザーアカウント制御画面の警告確認画面が表示されているのに
(添付ファイルでも展開後に最終的には実行ファイルに対しては確認画面が表示されます)
どの実行ファイルに対して制御が掛かっているのかも確認しないで使用ユーザーがOKしてしまうんだからムダです

786:名無しさん@お腹いっぱい。
19/02/11 17:25:19.14 aFJg+uUo0.net
UAC回避のランサムウェアなんて数年前から出回ってるけどな

787:名無しさん@お腹いっぱい。
19/02/12 00:29:01.32 bNXrcuC50.net
特権昇格の穴と組み合わせているのに引っかかっているんなら
さっさと穴を埋めるの方が先だよな
そんなヤツらは勝手にどんなものにでも引っかかっていて下さい

788:名無しさん@お腹いっぱい。
19/02/12 00:35:36.82 IeymP5Zz0.net
何言ってんだこいつ

789:名無しさん@お腹いっぱい。
19/02/12 01:08:18.23 bNXrcuC50.net
意味不明ならもっと知識が必要だな
こんな所でアドバイスなんてしていないでもっと勉強しましょう

790:名無しさん@お腹いっぱい。
19/02/12 08:17:02.55 962eN6bt0.net
ぼくのかんがえた系の発言は無意味 だからw

791:名無しさん@お腹いっぱい。
19/02/12 19:35:46.68 nsOdCpT7d.net
ユーザーアカウント制御を回避するランサムウェアやマルウェアなんてなんて数年前から出てるのに
URLリンク(www.mbsd.jp)
URLリンク(tech.nikkeibp.co.jp)
>最終的にはユーザーアカウント制御画面の警告確認画面が表示されているのに
(添付ファイルでも展開後に最終的には実行ファイルに対しては確認画面が表示されます)
>どの実行ファイルに対して制御が掛かっているのかも確認しないで使用ユーザーがOKしてしまうんだからムダです
とかしたり顔で言う無能

792:名無しさん@お腹いっぱい。
19/02/12 20:13:10.83 ELTlLJPf0.net
Windowsの仕様ザルすぎて草

793:ID:zb/4U/do0
19/02/13 02:43:29.96 9rYQzuO00.net
>>775
仰る通り。
そもそも >>758 は何故上から目線なのか?非常に不愉快。

794:名無しさん@お腹いっぱい。
19/02/13 04:13:11.39 HqOOINJT0.net
ユーザーアカウントの制御画面をパスするって事はsysytem権限で実行されるって事だぞ
管理者権限で実行されていたら確認画面は表示されます
その最初の画面でOKしてしまっているから感染しているのですよ
それらのサイトの内容は全く信用なりませんw

795:名無しさん@お腹いっぱい。
19/02/13 04:25:04.02 HqOOINJT0.net
脆弱性の穴を突いて実行して権限昇格ってのは管理者権限で実行すると
勝手にウィルスなどの実行プログラムがsystem権限に昇格されて実行されちまうって事だぞ
だから、ユーザーアクセス制御画面をスルーする
嘘っぱちな記事なんて信用しているんじゃないよ
まあ、今の所サイト閲覧だけで実行されるようなものはここのところずっと発生していないようだから
問題なさそうだけどoffice製品の穴辺りは放って置くとヤバいかも知れないけどさ・・・

796:名無しさん@お腹いっぱい。
19/02/13 04:26:12.77 HqOOINJT0.net
>ユーザーアカウントの制御画面をパスするって事はsystem権限で実行されるって事だぞ

797:名無しさん@お腹いっぱい。
19/02/13 23:26:14.37 t7Hg+FB60.net
>>791
URLリンク(tech.nikkeibp.co.jp)
> 1)Dridexが、アプリケーション互換性データベース($$$.sdb)、バッチファイル($$$.bat)、Dridexのコピー(edg3FAC.exe)を作成する。
> 2)アプリケーション互換性データベースのインストール・アンインストール用コマンド「sdbinst」を使用して、$$$.sdbをインストールする。
> 3)iSCSIイニシエータのコマンドラインツール「iscsicli」をDridexが起動。$$$.sdbの設定に従って、iscsicli.exeが$$$.batを管理者権限で実行する。
> 4)$$$.batがedg3FAC.exeを管理者権限で実行する。
>
> 以上が可能になるのは、sdinst.exeやiscsicli.exeのような自動昇格プログラムは、プログラム起動時にUACの警告を表示することなく管理者権限に自動的に昇格するためだという。
>
> JPCERT/CCでは、今回紹介した新手法は従来の手法によりもシンプルなので、今後Windowsの仕様が変更されたとしても、継続して用いられる可能性があるとしている。
> また、Dridexだけでなく、別のウイルスで使われていることも確認しているという。

シンプルに悪質な手口で草生える
ユーザーアカウントの制御画面はいつも使っているアプリケーションでも毎回表示される設定なせいで
そもそも動作が習慣化しやすい人間が毎日継続して使うことを前提にした設計になってないし
いつか自分も被害に遭う可能性を考えると頼りないな

798:名無しさん@お腹いっぱい。
19/02/16 11:42:55.06 PTwGyVpx0.net
>信頼できる企業・組織にデジタル署名されているプログラムと、
>sysprep.exeのような自動昇格プログラムを組み合わせて、ウイルスを管理者権限で実行させるという。
これは、いつも問題になっているバッファオーバーフローなどの脆弱性を利用しているものと推測される
こいつはいつもsystem権限に特権昇格して実行されてしまうので、決して管理者権限としての実行ではない
管理者権限で実行されたものはUACアカウント制御の画面が必ず表示されます
でも、マイクロソフトのOSなので確実ではない可能性は十分にありますよ

799:名無しさん@お腹いっぱい。
19/02/17 12:49:56.90 zRjxT2I20.net
GANDCRAB v5.1用の複合ツールはまだか!?

800:名無しさん@お腹いっぱい。
19/02/18 17:29:05.43 lr59pHYU0.net
UAC回避機能を複数搭載したランサムウェア「HkCrypt」
URLリンク(www.mbsd.jp)
たったのこれだけでUAC回避って・・・

801:名無しさん@お腹いっぱい。
19/02/18 17:44:54.33 lr59pHYU0.net
まあ、UACなんて80%くらいの人が無効にしてるだろう

802:名無しさん@お腹いっぱい。
19/02/18 18:13:25.89 QhAjX/dnM.net
検索したんだけど「HkCrypt」の実態がわからん
これは自体は実行ファイルですよね?
普通にクリックしたのでは、最初に一度だけUAC制御画面が表示されると思いますよね
脆弱性を利用して普通の実行ファイル以外のものが走った際に主にやられてしまうものなんでしょうかね?
実行しちまうとUAC制御画面をスルーするだけですか?
この説明を見る限りは各ベンダーがリアルタイムスキャンで対応していて当たり前の挙動だと思いますが
未対応なんですかね?

803:名無しさん@お腹いっぱい。
19/02/18 20:26:20.96 VpRVR3Ey0.net
『「HkCrypt」が実装していたUACバイパスの手法は、今年になり海外のウイルス対策ソフトウェアベンダーの
 セキュリティ情報サイトで言及(※)されたUACバイパスの手法と同一であることが判明しました。』
Fileless UAC Bypass Uses Windows Backup and Restore Utility
URLリンク(threatpost.com)
>>This attack, similar to a UAC bypass using the Event Viewer feature disclosed
>>by Nelson last summer, is fileless
>> “From an attackers perspective, this reduces the risk of their malware/payload getting detected
>>and quarantined by different security products.”

804:名無しさん@お腹いっぱい。
19/02/18 20:48:10.25 WNZcE86c0.net
読む限りrootにsetuidされたプログラムが走らせるスクリプトのパーミッションが777に設定されてるようなもんだと思うんだけど
修正されずに放置されてんの?

805:名無しさん@お腹いっぱい。
19/02/18 20:56:31.91 5lDc55r30.net
お前のセキュリティーソフトは新種・亜種すべてに対応してる、完璧なものなのか?
実行ファイル???
お笑いものだな

806:名無しさん@お腹いっぱい。
19/02/18 21:02:18.61 5lDc55r30.net
totalvirusってあるよね
あれのハッカー版があるんだよ
作ったウイルス検知されないか調べるHPがある

807:名無しさん@お腹いっぱい。
19/02/18 21:14:14.03 5lDc55r30.net
URLリンク(www.mbsd.jp)
ランサムウェア対策の難しさ
ここ読めばいい

808:名無しさん@お腹いっぱい。
19/02/18 22:30:55.25 axy8JlTo0.net
>>805
>脆弱性を利用して普通の実行ファイル以外のものが走った際に主にやられてしまうものなんでしょうかね?
この言ってる意味がわかるか?
トリガーになる「HkCrypt」になる実体ファイルは実行ファイルなのか?あんたにはわかっているのか?
それならば説明が欲しい
私が >>800 の最初にexplorer.exeの配下で起動されているものを見る限りは
実行ファイルだと思われる
てことは、一般的な感染ルートとして何らかの脆弱性の基でこの実行ファイルが起動されていると考えます

809:名無しさん@お腹いっぱい。
19/02/24 11:45:54.65 VS23RV160.net
ランサムウェア「GandCrab」の復号ツールが機能強化 - 最新版にも対応
URLリンク(www.security-next.com)

810:名無しさん@お腹いっぱい。
19/02/24 12:02:23.52 VS23RV160.net
なお、5.1までの復号ツールがリリースされたため、2/19に復号ツールが効かない5.2がリリースされた模様

811:名無しさん@お腹いっぱい。
19/02/24 14:30:21.49 LhK5+Wn00.net
おー 5.1対応してるみたいだね。

812:名無しさん@お腹いっぱい。
19/02/24 15:06:15.54 +FPZjn0w0.net
RSA-2048の鍵をどうやって生成するのかよく分からんけど
1ファイルは無料で復号できるってのが穴になってるんだろうか?

813:名無しさん@お腹いっぱい。
19/02/24 15:29:54.57 sS/Hd8nI0.net
GandCrab 5.1の複合ツールで早速復号させて頂きました。
ありがたやありがたや。

814:名無しさん@お腹いっぱい。
19/02/24 15:57:03.49 VS23RV160.net
>>812
それは関係ないんじゃないかな
一時猛威をふるったLockyも1ファイル無料で復元サービスあったけど、結局、復号ツール出なかったし
GandCrabも流行ってるけど、復号ツールと新バージョンのいたちごっこになっている
脆弱性が見つかりやすいのかな

815:名無しさん@お腹いっぱい。
19/02/24 15:58:12.73 VS23RV160.net
>>813
ホントによかった
復号にはそれなりに時間かかるの?

816:名無しさん@お腹いっぱい。
19/02/24 16:18:10.43 PIClsbWf0.net
>>813
ワロタ
感染する人いるんだな

817:名無しさん@お腹いっぱい。
19/02/24 17:22:48.96 sS/Hd8nI0.net
>>815
物凄く速かったよ。バックアップ有り(オプション)でも。
ただ、セーフモード(+ネットワーク)で実行しないと、途中で進まなくなる事があった。

818:名無しさん@お腹いっぱい。
19/02/24 17:35:24.15 +FPZjn0w0.net
GandCrab 4/5はファイルの先頭1MBしか暗号化しないと書いてあるね


次ページ
最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch