18/11/06 07:19:32.04 oRoaoZPF0.net
感染経路はグーグルクロームのブラウザに、インストールされていないフォントが
あります、とかポップが出て、何気なしにインストールクリック。
ファイルが感染して開けなくなって調べてみたら、そのフォントをインストする
ポップがランサムウェアの感染の典型でした。
705:名無しさん@お腹いっぱい。
18/11/06 07:31:45.55 pDWExE4c0.net
ohそれはまた典型的な。。。
706:名無しさん@お腹いっぱい。
18/11/06 07:37:52.54 oRoaoZPF0.net
とりあえず、USB接続のHDDにバックアップしていた動画や写真は被害無しだったのが
不幸中の幸いでした。バックアップは3つのHDDに取っていましたが、マザボにつなげて
いるものは全滅です。
なので、ネットサーフィンはノートパソコンかタブレットオンリーでやることにして
メインのディスクトップパソコンでは、ネットをしないことにしました。
ウィルスソフトは亜種などを含め、意味がないように思われるためネットは
被害が最小になるよう、端末は分けようと決めました。
707:名無しさん@お腹いっぱい。
18/11/06 07:49:50.09 iFGrn8/Ya.net
そういう考え方もそれはそれでわかるけど、
696氏もいうように、
その感染経路というかパターンってもうたぶん2年くらいは前からある方法で、
ふだんからある程度定期的に、その手のセキュリティのニュースに何らかの形で接する習慣をつけたほうがいいと思う
もう判で押したように同じパターン、で流行り廃りがあるから
範囲が狭く済むだけで、またかかるよ
708:名無しさん@お腹いっぱい。
18/11/06 08:14:27.76 oRoaoZPF0.net
今回の件で、絶望の闇の底に突き落とされたのです。
唯一の救いが、外付けのHDDが助かっただけでした。
思い出の家族の写真や動画が、危険にさらされないようにするのなら
多少の不便はしかたないと、受け入れようと思っています。
709:名無しさん@お腹いっぱい。
18/11/06 22:27:27.83 ggycN8nn0.net
>>708
で、ウイルス対策ソフトは入れないんか
710:名無しさん@お腹いっぱい。
18/11/06 22:57:39.40 myJg+MXN0.net
>>704
exe系の実行には実行許可のダイアログが表示されただろうよ
ユーザーアクセス制御を無効にしちまっているんなら自分の責任だし、
脆弱性の云々は実行ファイルにゃ通用しないよ
管理者権限で使っているんならそれくらいは自覚しとかにゃいかんよな
711:名無しさん@お腹いっぱい。
18/11/06 23:01:08.36 9R2J6TU70.net
>>704
セキュリティソフトは何も入れてなかったん?
それとも入れていたけどブロックしてくれなかったですか?
712:名無しさん@お腹いっぱい。
18/11/06 23:02:40.89 9R2J6TU70.net
>>706
将来的に、復号ツールが5.0.4にも対応できるようになる可能性があるので、ファイル自体は残しておいたほうがいいと思うよ
713:名無しさん@お腹いっぱい。
18/11/14 18:14:50.36 n8rA2K9Pd.net
>>708
絶望の闇の底、というくらいまでのダメージ受けてるなら身代金払ってデータ回復したらいいのに
このスレでもどうしてもデータが諦められないひとは金払って、データ回復してる例がある >>616-662
過去スレでもいた
もちろん100%戻るという保障はないから、最終的には自分で判断するしかないけどね
714:名無しさん@お腹いっぱい。
18/11/14 20:11:03.72 ODHLC3Zv0.net
泡立てるパワーは凄く強いです。浅いコップだと、勢いがありすぎて、こぼれます。コップに蓋をするなどして、
こぼれない工夫が必要かと思います。また、本体を立てることができるスタンドがついているのは便利でした。
星を1つにしたのは、数日で壊れたことです。棒が折れてしまい、すぐに使えなくなり残念でした。
715:名無しさん@お腹いっぱい。
18/11/15 07:51:05.92 IjOHdFuFd.net
どう誤爆したんだ?
716:名無しさん@お腹いっぱい。
18/11/15 09:27:47.20 GKTHSBApH.net
キッチン小物じゃね なんとなく
717:名無しさん@お腹いっぱい。
18/11/15 22:06:38.67 1x0/Fg1k0.net
レビューっぽいが
718:名無しさん@お腹いっぱい。
18/12/08 07:23:47.68 cnpwuNwl0.net
コップからこぼさなくなるまでグンマーの豆腐屋で修行しろ
719:名無しさん@お腹いっぱい。
18/12/11 18:46:29.45 84WiAl8Qd.net
ランサムウェアってなにかなぁ
テロリストに捕まったとき着せられる
オレンジ色のやつかなぁ
720:名無しさん@お腹いっぱい。
18/12/13 06:38:38.37 7rSBjtHS0.net
URLリンク(d2gfnym7wzulsm.cloudfront.net)
---------------------------
Web ページからのメッセージ
---------------------------
Windows Security Center: Your PC Shield Internet Security subscription has expired today. Renew now to protect your computer from the latest Ransomware viruses.
---------------------------
OK
---------------------------
これってランサムウェアです?
721:名無しさん@お腹いっぱい。
18/12/13 08:04:57.91 jQi+ilAva.net
>>720
違う
こんな簡単な英語読めないのか
722:名無しさん@お腹いっぱい。
18/12/13 09:03:47.44 AG89SarQ0.net
>>720
Windowsセキュリティセンター:PCシールドインターネットセキュリティのサブスクリプションが今日満了しました。
最新のRansomwareウイルスからコンピュータを保護するために今すぐ更新してください。
723:名無しさん@お腹いっぱい。
18/12/13 10:48:55.95 7rSBjtHS0.net
広告ということですかね
すみません
724:名無しさん@お腹いっぱい。
18/12/13 13:39:49.55 z6VJcJ4V0.net
というかランサムウェアだと思ったならそんな危険なアドレスを直接貼るなよw
725:名無しさん@お腹いっぱい。
18/12/26 11:51:28.63 1dUvScvEM.net
ネカフェのPCに繋いだ外付けHDDがランサムウェア(GANDCRAB 5.0.4)にやられたみたいで
画像ファイルとかが拡張子変更されてたんだけど、これってHDDをフォーマットすれば大丈夫なの?
なんか拡張子変わってないファイルもあるけどそれは残しておいても問題無いのかな?
726:名無しさん@お腹いっぱい。
18/12/26 13:02:17.91 neFWO919H.net
>>725 大丈夫
ただ、ネカフェにデータの入ったストレージを持ち込む時点で脇が甘いんじゃね?
普通に考えて、そういう脇の甘い奴は自宅でもやらかしてる
727:名無しさん@お腹いっぱい。
18/12/26 16:43:04.86 y15E21fvM.net
ファイルは消えるが、初期化してしまえばランサムウェアなんて関係なくなる。
勿論、バックアップは取ってあるんだよな?
無いのだとしたら脇が甘すぎるわw
728:名無しさん@お腹いっぱい。
18/12/26 17:52:29.70 1dUvScvEM.net
>>726、>>727
そうなのか情報サンクス
ランサムウェア初めてだったからネカフェでいきなり背景変わった時はアレ?くらいにしか思わなかったわ
やっぱりバックアップ取るのってめんどいけど大事なんだな…(初歩的)
729:名無しさん@お腹いっぱい。
19/01/03 00:12:20.95 Wm14ujH80.net
まともなネットカフェだと電源落とす度にOSイメージが復元されてウイルスなんて気にしないでいいんだけど、そうじゃないところもあるんだな
730:名無しさん@お腹いっぱい。
19/01/03 12:02:42.65 t2a/sTnQd.net
まともなネットカフェとやらの区別がつかないしな
731:名無しさん@お腹いっぱい。
19/01/06 23:51:35.15 pAqZqQVj0.net
>>729
今どきのネットカフェって、そんなことになっているのか!
たまがったばい
732:名無しさん@お腹いっぱい。
19/01/11 18:12:24.16 w6vCXK0fd.net
>>731
今どきの、って言うけど、10年以上前からそういうシステムのネットカフェは多かったよ
こういうやつ
URLリンク(www.tbpress.jp)
733:名無しさん@お腹いっぱい。
19/01/13 16:43:40.38 HLqWt5aCa.net
以前と比べると最近はランサムウェアの感染の話、あまり聞かなくなったよね?
もちろんなくなったわけじゃないけど、一時は大騒ぎしてたのに今は全然って感じ
734:名無しさん@お腹いっぱい。
19/01/13 17:25:04.40 5iJUyMg00.net
知名度が十分に上がってきたからじゃね?
大半がメールの添付ファイルとかネットに転がっているexeとかだから
まぁ存在と危険性を知ってれば避けることは容易だし。
勿論例外もあるから感染者は今もいるんだろうけど
735:名無しさん@お腹いっぱい。
19/01/23 22:40:35.40 a3zNdntg0.net
マカフィー入れてたが
GandCrab5.1にかかってモーター
736:名無しさん@お腹いっぱい。
19/01/24 00:13:15.28 PITqsp+F0.net
>>257
チョン製なんか使うなよ
737:名無しさん@お腹いっぱい。
19/01/24 01:00:53.66 PITqsp+F0.net
RansomFreeはサポート去年終了してるんだな
738:名無しさん@お腹いっぱい。
19/01/24 01:53:53.10 aalhjlvI0.net
>>737
マジで?
739:名無しさん@お腹いっぱい。
19/01/24 01:55:15.25 aalhjlvI0.net
>>735
マジかよ
マカフィー防いでくれなかったのかよ
入れてるんだが
マジで怖いがな
740:名無しさん@お腹いっぱい。
19/01/24 01:59:04.76 aalhjlvI0.net
Ransome free マジだった。。
URLリンク(www.cybereason.co.jp)
無償版でまだ生き残ってるのはAcronisのくらい?
Malwarebytesのはずっとベータテストしてたけど有償版に機能統合されたよね
741:名無しさん@お腹いっぱい。
19/01/24 23:12:56.57 cjp8FXuE0.net
MalwarebytesのAnti-RansomwareはBeta版として提供され続けているよ。
URLリンク(forums.malwarebytes.com)
Bitdefenderのは更新はされてないけどダウンロードは今でも出来るみたいだ。
URLリンク(labs.bitdefender.com)
742:名無しさん@お腹いっぱい。
19/01/25 23:48:17.58 IKkHexSK0.net
URLリンク(detail.chiebukuro.yahoo.co.jp)
716さんの仲間かもね
743:名無しさん@お腹いっぱい。
19/01/27 00:05:25.41 a+nQerF70.net
助けて下さい
出先で外付けHDDを繋いだところGandCrab V5.1にやられました。大切なデータが多く諦められません。
質問なのですが、
1.このHDDを他のPCに繋いでも大丈夫でしょうか(感染が広がったりしないか)
2.拡張子が変更されていないファイルもあるのですが使用しても大丈夫でしょうか
3.GandCrabを駆除するおすすめの方法を知りたいです
4.データの復旧は可能でしょうか、また、その方法はどうすればいいですか?
近日に使用するデータもあり、頭を抱えています。どうかお力添えをお願いします。
744:名無しさん@お腹いっぱい。
19/01/27 00:36:29.82 E0usLfQ0H.net
まあ無料でってなら無理だね。
現状金はらうしかない
745:名無しさん@お腹いっぱい。
19/01/27 02:22:31.85 5uWIzTS10.net
>>743
1
たぶん大丈夫
でも最悪データが消えてもいいPCで体験版でもいいのでカスペルスキーかノートンの入ったPCでスキャンすることをおすすめする
2
大丈夫
3
どういう意味で「駆除」と書いてるのわからないけど、感染したのは「出先」のPCなので、外付けHDDにはウイルス(ランサムウェア)はいないはず
まぁ、万一という事もあるので、1で書いたようにチェックしたほうがいい
もし見つかればウイルス対策ソフトが駆除してくれる
4
GanCrab 5.1は現状、身代金を払う以外にデータ復旧する方法はありません
5.0.3までは復号ツールが出てるので、将来的に、5.1も5.0.3までと同じように復号できるようになる可能性もありますが、永遠に復号ツールが出ない可能性もあります。
どちらかは現時点ではわかりません。
どうしても暗号化されたデータを復旧させたいなら身代金を払えばデータが戻る可能性は高いですが、100%戻る保証があるわけではないので、おすすめするわけではないです。
このスレでも過去スレでも、身代金を払ってデータ回復した例はあります。
>>616-662
746:名無しさん@お腹いっぱい。
19/01/27 02:32:22.80 5uWIzTS10.net
>>743
> 近日に使用するデータもあり、頭を抱えています。どうかお力添えをお願いします。
近日中にどうしてもデータが必要ならいつ出るかもわからない5.1対応の復号ツールのリリースを待てないだろうから身代金を払うしかないかもしれないですね
100%の保証はないがこういう話も
URLリンク(ascii.jp)
747:名無しさん@お腹いっぱい。
19/01/27 03:00:22.93 5cKyTX+c0.net
総合セキュリティソフトとは別枠(共存可)のランサムウェア専用対策ソフトって
大分下火になってきた気がするけど2019年現在で実用性的にどうなんだろう?
748:名無しさん@お腹いっぱい。
19/01/27 05:04:25.41 oGnC1LUt0.net
私もHDDのアクセスが激しいと思ったら5.1に感染していました、打つ手はないようなのでGMOとDMMの口座開設の手続きをしました。
749:名無しさん@お腹いっぱい。
19/01/27 09:01:25.33 gB+n5ycV0.net
>>745-746
ありがとうございます。
身代金を払う以外の復旧手段は無いのですね・・・
HDDが大丈夫そうなら残っているデータを確認して対応を決めたいと思います。
750:名無しさん@お腹いっぱい。
19/01/27 10:00:23.57 si/qyJ/zH.net
>>748
セキュリティソフトは何を使ってました?
751:名無しさん@お腹いっぱい。
19/01/27 11:33:29.50 r4Xun1NE0.net
訳のわからない添付ファイル実行したとか以外で感染するんか
752:名無しさん@お腹いっぱい。
19/01/27 12:47:41.29 bvKjvSeu0.net
>>750
マカフイーでWindows7です、感染元はわかりません、復旧したらWindows10にしようと思います
753:名無しさん@お腹いっぱい。
19/01/27 13:18:08.40 0B3XpOhf0.net
>>752
マカフィー使い続けるなら738の言うランサムウェア専用対策ソフトも入れたほうがいいですね
754:731
19/01/27 15:15:30.12 8K5GfUhla.net
>>741
教えてくれてありがとう
Malwarebytesのがベータ版でも更新されてるのはありがたい
以前入れてて特に問題はなかったし、これをあらためて入れることにする
755:名無しさん@お腹いっぱい。
19/01/27 15:20:17.17 8K5GfUhla.net
>>735氏と>>752氏って同一人物?!
別人だったらめっちゃ怖いわぁ、俺もマカフィー使ってるから。。
マカフィー、GandCrabの最新版を検知出来ないのかね?!
756:名無しさん@お腹いっぱい。
19/01/27 16:19:17.92 5cKyTX+c0.net
GandCrab感染経路
1.Webサイト閲覧(ドライブバイ・ダウンロード)
『条件』
(1)最新のWindows Update が実施されていない
(2)Adobe Flash Playerが最新版ではない
2. ウイルスメール
(1)迷惑メールの添付ファイルを開いた
(2)迷惑メール本文中のリンクからダウンロードしたファイルを開いた
3.exeを拾い食い
こんなとこ?
マカフィーに限らずウイルスとセキュリティソフトは所詮イタチごっこだから
今のは検知できても次の亜種を検知出来るとは限らないよ。
757:名無しさん@お腹いっぱい。
19/02/02 20:15:57.95 3SN5zQq90.net
739です
複合までいけたので報告します
まず、作成されたtxtに書いたあったアドレスにTorでアクセスしたところ、身代金、送付アドレス、身代金倍増までの時間
が表示されました、身代金はDASHで$550US、BITCOIN(+10%)と提示されていました。
開設まで間に合いそうにないのでチャットで伸ばしてもらいました
1/30に開設できたので、DASHは取り扱いがないのでBITCOINで送金、30分後位に画面が変わりDecryptorがDLできるようになりました。
送金額は日本円で65000円ほどになりました。
DLしたDecryptorで複合中ですがコマンドプロンプトで実行されバックアップを取りながら複合しているので遅いです
24時間以上複合しているのですがまだ終わりません
高い授業料でした。
758:名無しさん@お腹いっぱい。
19/02/02 20:33:55.23 Epp3K8tta.net
貴方はそれでよかったかもしれないけれど、
そのいわゆる身代金が次のランサムウェアの開発や拡散に使われ新たな被害者が増えていく、
という現実にもキチンと向き合って欲しいね
759:名無しさん@お腹いっぱい。
19/02/02 20:41:42.98 L66DhRJN0.net
>>757
報告ありがとう
流れが参考になりました
高い授業にはなったかもしれないけど、身代金を払ったが復旧できないという最悪のケースにはならなかったようでよかった
760:名無しさん@お腹いっぱい。
19/02/03 16:41:42.72 8JdaS5b0M.net
24時間以上かかるとか復号ってそんなに時間かかるんだ
暗号化されるのはあっという間なのにね
761:名無しさん@お腹いっぱい。
19/02/03 17:14:34.42 dSa/JMP10.net
ランサムウェア「Love you」、日本を標的とした大規模なキャンペーン
URLリンク(news.mynavi.jp)
762:名無しさん@お腹いっぱい。
19/02/03 19:07:52.88 3KzUVGU10.net
今流行るなら「即位しませんかスパムメール」も
立太子ボタン押したら暗号化させるタイプなんだろうな
763:名無しさん@お腹いっぱい。
19/02/03 20:09:25.33 y1LFNqzi0.net
>>758
大事な我が子が誘拐されました
身代金を払えば返してあげるけど、払わなかったらもう返ってこないよ、と言われてやむなく身代金を払った人を非難できるでしょうか?
いや、できないでしょう
もし彼が身代金の支払いをしなかったら、今後ランサムウェアの被害は減るのでしょうか?
いや、払っても払わなくても変わらないよね
タリバーンのテロ組織とは違うんだから
764:名無しさん@お腹いっぱい。
19/02/03 21:54:10.72 Xqf1ujpYa.net
>>763
PCのデータは我が子ではない
非難してない
例えば、誰一人として身代金の支払いをしなければ経費倒れに終り次のランサムウェアの開発や拡散は不可能になる
> という現実にもキチンと向き合って欲しいね
という話
理解できない人はいちいち出てこなくていい
765:名無しさん@お腹いっぱい。
19/02/03 21:56:04.83 GjxNLm8q0.net
綺麗事ばっかw
766:名無しさん@お腹いっぱい。
19/02/03 22:30:49.93 BHYDTcYJ0.net
>>761
俺のところにもおととい、「Erika Toda」を名乗るメールが
来てたな、速攻で消したけど。
767:名無しさん@お腹いっぱい。
19/02/03 22:31:41.99 ZjX+5pr3a.net
「現実にキチンと向き合え」って具体的に何にどう向き合えって言ってるんだっつー話だよな
たぶん言ってる本人もわかんないんだろうが
自分が格好つけるつけるために言ってるだけじゃね
>例えば、誰一人として身代金の支払いをしなければ
ありもしない妄想かよ
アホくさ
768:名無しさん@お腹いっぱい。
19/02/03 23:17:38.59 dSa/JMP10.net
データをバックアップしとけばいいだけじゃね?
769:名無しさん@お腹いっぱい。
19/02/03 23:19:30.88 3KzUVGU10.net
言いたいことは分からんでも無いが
2016年時点でランサムウェア制作者が手にした金額は10億ドル以上って言われてるのに
2019年時点の6万円そこらに目くじら立てるのはなぁ
お前が海にしょんべんしたから津波の被害が増えたばりのアレだわ
770:名無しさん@お腹いっぱい。
19/02/04 02:22:10.30 0j8COts1M.net
中学生が新聞に投書するようなレベルの理想論w
771:名無しさん@お腹いっぱい。
19/02/04 07:53:24.85 zwftC88ta.net
おぉこんなことでえらいカッカするヤツ多いんだな面白い
被害者が、カネを払うことで犯罪者側に資金援助という形で加担する、
単なる被害者から被害者兼加害者になっちゃう、
という無色透明な話なのにな
ここで、テロ組織に身代金を渡すなー! とか書くと安倍がーの人が現れたりするんかな
772:名無しさん@お腹いっぱい。
19/02/04 09:01:52.94 k8E9ChBY0.net
>>757
報告乙です。
773:名無しさん@お腹いっぱい。
19/02/04 10:26:22.64 RgVCUETM0.net
>安倍がーの人が現れたりするんかな
でたw論点ずらしw
>誰一人として身代金の支払いをしなければ経費倒れに終り
>次のランサムウェアの開発や拡散は不可能になる
こういうことをのたまうのは、無色透明というより純粋無垢だよ。
無学無能と言い換えても良いレベル。
774:名無しさん@お腹いっぱい。
19/02/04 10:31:44.72 4ODvGakd0.net
ボクが考えた最強のランサムウェア撃退法ってかw
775:名無しさん@お腹いっぱい。
19/02/04 14:50:18.52 rjFHBW0D0.net
>>757はこのスレにあくまで厚意で、ランサムウェアに感染後の対応という役立つ報告をアップしてくれてるのに、何様か知らんが無関係の>>758があんなただの理想論で上から目線で諭すとか笑止千万だわ
こんなやつがおると今後、事後報告してくれる人が減るかもしれない
せっかくの生のリアルな情報がやりとりされる場なのに
ということも分からず無意味なチャチャチャ入れるようなやつだから馬鹿なんだろう
776:名無しさん@お腹いっぱい。
19/02/04 18:52:42.59 Mkmfw99k0.net
誰か研究用として検証できるような端末を持ってる人、
URLリンク(freesoft-100.com)
にあるようなランサムウェア専用の対策ツールがGandCrab 5.1でも有効なのか確認してみてくれないかい?
URLリンク(twitter.com)
(deleted an unsolicited ad)
777:名無しさん@お腹いっぱい。
19/02/06 12:20:16.03 EV0X89JGd.net
>>757
警察には被害届はだしたんですよね?
778:名無しさん@お腹いっぱい。
19/02/06 15:18:26.80 xibRbb1g0.net
>>777
ハハハ、ナイスジョーク
779:名無しさん@お腹いっぱい。
19/02/08 15:08:28.91 A8nBlsWp0.net
捜査情報の入ったCD-Rからウイルス感染、福岡県警がイントラを一時停止
URLリンク(tech.nikkeibp.co.jp)
780:名無しさん@お腹いっぱい。
19/02/09 13:50:31.63 k99BYj5L0.net
>>779
ファイルをコピーした事実が正しいのならその後に.exeを実行しているからだ
コピーなどしていなくてもCD-R内にあった.exeファイルを直接実行しているかも知れない
781:名無しさん@お腹いっぱい。
19/02/09 15:19:29.65 EGQ0N0PNa.net
>>780
そこまでアホじゃないんじゃないか
俺の妄想では、捜査情報ってのは押収した電子メールで、添付ファイルがWord形式
開いてマクロが実行されてランサムウェアを呼び込んだパターンかな、とか
782:名無しさん@お腹いっぱい。
19/02/10 05:29:53.53 XueuUh6X0.net
福岡県警に入っているセキュリティソフトはウイルスバスターらしい
URLリンク(twitter.com)
(deleted an unsolicited ad)
783:名無しさん@お腹いっぱい。
19/02/10 06:10:02.49 3T0ojNil0.net
ウイルスでPCがバスターされちまったな
784:名無しさん@お腹いっぱい。
19/02/10 06:24:54.51 7U5a5ZDd0.net
やっぱランサム対策にはそれ専用のアンチランサム入れないと
駄目か?
win10の設定が飛んじゃって、面倒臭いからしばらくほっぽって
Linuxを使ってたら、いつの間にかサイバーリーズンのアンチラ
ンサムのサポートも終わってたしなぁ、どうしよう・・・
785:名無しさん@お腹いっぱい。
19/02/11 17:10:03.93 /QT8wrc/0.net
最終的にはユーザーアカウント制御画面の警告確認画面が表示されているのに
(添付ファイルでも展開後に最終的には実行ファイルに対しては確認画面が表示されます)
どの実行ファイルに対して制御が掛かっているのかも確認しないで使用ユーザーがOKしてしまうんだからムダです
786:名無しさん@お腹いっぱい。
19/02/11 17:25:19.14 aFJg+uUo0.net
UAC回避のランサムウェアなんて数年前から出回ってるけどな
787:名無しさん@お腹いっぱい。
19/02/12 00:29:01.32 bNXrcuC50.net
特権昇格の穴と組み合わせているのに引っかかっているんなら
さっさと穴を埋めるの方が先だよな
そんなヤツらは勝手にどんなものにでも引っかかっていて下さい
788:名無しさん@お腹いっぱい。
19/02/12 00:35:36.82 IeymP5Zz0.net
何言ってんだこいつ
789:名無しさん@お腹いっぱい。
19/02/12 01:08:18.23 bNXrcuC50.net
意味不明ならもっと知識が必要だな
こんな所でアドバイスなんてしていないでもっと勉強しましょう
790:名無しさん@お腹いっぱい。
19/02/12 08:17:02.55 962eN6bt0.net
ぼくのかんがえた系の発言は無意味 だからw
791:名無しさん@お腹いっぱい。
19/02/12 19:35:46.68 nsOdCpT7d.net
ユーザーアカウント制御を回避するランサムウェアやマルウェアなんてなんて数年前から出てるのに
URLリンク(www.mbsd.jp)
URLリンク(tech.nikkeibp.co.jp)
>最終的にはユーザーアカウント制御画面の警告確認画面が表示されているのに
(添付ファイルでも展開後に最終的には実行ファイルに対しては確認画面が表示されます)
>どの実行ファイルに対して制御が掛かっているのかも確認しないで使用ユーザーがOKしてしまうんだからムダです
とかしたり顔で言う無能
792:名無しさん@お腹いっぱい。
19/02/12 20:13:10.83 ELTlLJPf0.net
Windowsの仕様ザルすぎて草
793:ID:zb/4U/do0
19/02/13 02:43:29.96 9rYQzuO00.net
>>775
仰る通り。
そもそも >>758 は何故上から目線なのか?非常に不愉快。
794:名無しさん@お腹いっぱい。
19/02/13 04:13:11.39 HqOOINJT0.net
ユーザーアカウントの制御画面をパスするって事はsysytem権限で実行されるって事だぞ
管理者権限で実行されていたら確認画面は表示されます
その最初の画面でOKしてしまっているから感染しているのですよ
それらのサイトの内容は全く信用なりませんw
795:名無しさん@お腹いっぱい。
19/02/13 04:25:04.02 HqOOINJT0.net
脆弱性の穴を突いて実行して権限昇格ってのは管理者権限で実行すると
勝手にウィルスなどの実行プログラムがsystem権限に昇格されて実行されちまうって事だぞ
だから、ユーザーアクセス制御画面をスルーする
嘘っぱちな記事なんて信用しているんじゃないよ
まあ、今の所サイト閲覧だけで実行されるようなものはここのところずっと発生していないようだから
問題なさそうだけどoffice製品の穴辺りは放って置くとヤバいかも知れないけどさ・・・
796:名無しさん@お腹いっぱい。
19/02/13 04:26:12.77 HqOOINJT0.net
>ユーザーアカウントの制御画面をパスするって事はsystem権限で実行されるって事だぞ
797:名無しさん@お腹いっぱい。
19/02/13 23:26:14.37 t7Hg+FB60.net
>>791
URLリンク(tech.nikkeibp.co.jp)
> 1)Dridexが、アプリケーション互換性データベース($$$.sdb)、バッチファイル($$$.bat)、Dridexのコピー(edg3FAC.exe)を作成する。
> 2)アプリケーション互換性データベースのインストール・アンインストール用コマンド「sdbinst」を使用して、$$$.sdbをインストールする。
> 3)iSCSIイニシエータのコマンドラインツール「iscsicli」をDridexが起動。$$$.sdbの設定に従って、iscsicli.exeが$$$.batを管理者権限で実行する。
> 4)$$$.batがedg3FAC.exeを管理者権限で実行する。
>
> 以上が可能になるのは、sdinst.exeやiscsicli.exeのような自動昇格プログラムは、プログラム起動時にUACの警告を表示することなく管理者権限に自動的に昇格するためだという。
>
> JPCERT/CCでは、今回紹介した新手法は従来の手法によりもシンプルなので、今後Windowsの仕様が変更されたとしても、継続して用いられる可能性があるとしている。
> また、Dridexだけでなく、別のウイルスで使われていることも確認しているという。
シンプルに悪質な手口で草生える
ユーザーアカウントの制御画面はいつも使っているアプリケーションでも毎回表示される設定なせいで
そもそも動作が習慣化しやすい人間が毎日継続して使うことを前提にした設計になってないし
いつか自分も被害に遭う可能性を考えると頼りないな
798:名無しさん@お腹いっぱい。
19/02/16 11:42:55.06 PTwGyVpx0.net
>信頼できる企業・組織にデジタル署名されているプログラムと、
>sysprep.exeのような自動昇格プログラムを組み合わせて、ウイルスを管理者権限で実行させるという。
これは、いつも問題になっているバッファオーバーフローなどの脆弱性を利用しているものと推測される
こいつはいつもsystem権限に特権昇格して実行されてしまうので、決して管理者権限としての実行ではない
管理者権限で実行されたものはUACアカウント制御の画面が必ず表示されます
でも、マイクロソフトのOSなので確実ではない可能性は十分にありますよ
799:名無しさん@お腹いっぱい。
19/02/17 12:49:56.90 zRjxT2I20.net
GANDCRAB v5.1用の複合ツールはまだか!?
800:名無しさん@お腹いっぱい。
19/02/18 17:29:05.43 lr59pHYU0.net
UAC回避機能を複数搭載したランサムウェア「HkCrypt」
URLリンク(www.mbsd.jp)
たったのこれだけでUAC回避って・・・
801:名無しさん@お腹いっぱい。
19/02/18 17:44:54.33 lr59pHYU0.net
まあ、UACなんて80%くらいの人が無効にしてるだろう
802:名無しさん@お腹いっぱい。
19/02/18 18:13:25.89 QhAjX/dnM.net
検索したんだけど「HkCrypt」の実態がわからん
これは自体は実行ファイルですよね?
普通にクリックしたのでは、最初に一度だけUAC制御画面が表示されると思いますよね
脆弱性を利用して普通の実行ファイル以外のものが走った際に主にやられてしまうものなんでしょうかね?
実行しちまうとUAC制御画面をスルーするだけですか?
この説明を見る限りは各ベンダーがリアルタイムスキャンで対応していて当たり前の挙動だと思いますが
未対応なんですかね?
803:名無しさん@お腹いっぱい。
19/02/18 20:26:20.96 VpRVR3Ey0.net
『「HkCrypt」が実装していたUACバイパスの手法は、今年になり海外のウイルス対策ソフトウェアベンダーの
セキュリティ情報サイトで言及(※)されたUACバイパスの手法と同一であることが判明しました。』
Fileless UAC Bypass Uses Windows Backup and Restore Utility
URLリンク(threatpost.com)
>>This attack, similar to a UAC bypass using the Event Viewer feature disclosed
>>by Nelson last summer, is fileless
>> “From an attackers perspective, this reduces the risk of their malware/payload getting detected
>>and quarantined by different security products.”
804:名無しさん@お腹いっぱい。
19/02/18 20:48:10.25 WNZcE86c0.net
読む限りrootにsetuidされたプログラムが走らせるスクリプトのパーミッションが777に設定されてるようなもんだと思うんだけど
修正されずに放置されてんの?
805:名無しさん@お腹いっぱい。
19/02/18 20:56:31.91 5lDc55r30.net
お前のセキュリティーソフトは新種・亜種すべてに対応してる、完璧なものなのか?
実行ファイル???
お笑いものだな
806:名無しさん@お腹いっぱい。
19/02/18 21:02:18.61 5lDc55r30.net
totalvirusってあるよね
あれのハッカー版があるんだよ
作ったウイルス検知されないか調べるHPがある
807:名無しさん@お腹いっぱい。
19/02/18 21:14:14.03 5lDc55r30.net
URLリンク(www.mbsd.jp)
ランサムウェア対策の難しさ
ここ読めばいい
808:名無しさん@お腹いっぱい。
19/02/18 22:30:55.25 axy8JlTo0.net
>>805
>脆弱性を利用して普通の実行ファイル以外のものが走った際に主にやられてしまうものなんでしょうかね?
この言ってる意味がわかるか?
トリガーになる「HkCrypt」になる実体ファイルは実行ファイルなのか?あんたにはわかっているのか?
それならば説明が欲しい
私が >>800 の最初にexplorer.exeの配下で起動されているものを見る限りは
実行ファイルだと思われる
てことは、一般的な感染ルートとして何らかの脆弱性の基でこの実行ファイルが起動されていると考えます
809:名無しさん@お腹いっぱい。
19/02/24 11:45:54.65 VS23RV160.net
ランサムウェア「GandCrab」の復号ツールが機能強化 - 最新版にも対応
URLリンク(www.security-next.com)
810:名無しさん@お腹いっぱい。
19/02/24 12:02:23.52 VS23RV160.net
なお、5.1までの復号ツールがリリースされたため、2/19に復号ツールが効かない5.2がリリースされた模様
811:名無しさん@お腹いっぱい。
19/02/24 14:30:21.49 LhK5+Wn00.net
おー 5.1対応してるみたいだね。
812:名無しさん@お腹いっぱい。
19/02/24 15:06:15.54 +FPZjn0w0.net
RSA-2048の鍵をどうやって生成するのかよく分からんけど
1ファイルは無料で復号できるってのが穴になってるんだろうか?
813:名無しさん@お腹いっぱい。
19/02/24 15:29:54.57 sS/Hd8nI0.net
GandCrab 5.1の複合ツールで早速復号させて頂きました。
ありがたやありがたや。
814:名無しさん@お腹いっぱい。
19/02/24 15:57:03.49 VS23RV160.net
>>812
それは関係ないんじゃないかな
一時猛威をふるったLockyも1ファイル無料で復元サービスあったけど、結局、復号ツール出なかったし
GandCrabも流行ってるけど、復号ツールと新バージョンのいたちごっこになっている
脆弱性が見つかりやすいのかな
815:名無しさん@お腹いっぱい。
19/02/24 15:58:12.73 VS23RV160.net
>>813
ホントによかった
復号にはそれなりに時間かかるの?
816:名無しさん@お腹いっぱい。
19/02/24 16:18:10.43 PIClsbWf0.net
>>813
ワロタ
感染する人いるんだな
817:名無しさん@お腹いっぱい。
19/02/24 17:22:48.96 sS/Hd8nI0.net
>>815
物凄く速かったよ。バックアップ有り(オプション)でも。
ただ、セーフモード(+ネットワーク)で実行しないと、途中で進まなくなる事があった。
818:名無しさん@お腹いっぱい。
19/02/24 17:35:24.15 +FPZjn0w0.net
GandCrab 4/5はファイルの先頭1MBしか暗号化しないと書いてあるね
819:名無しさん@お腹いっぱい。
19/02/24 18:44:10.98 VS23RV160.net
>>817-818
なるほど、そうなのね
ありがと
820:名無しさん@お腹いっぱい。
19/02/25 13:16:59.22 NL+Zoam70.net
>>813
改善報告有り難い
よければURL載せていただけると助かります
821:名無しさん@お腹いっぱい。
19/02/25 13:20:46.94 oWwMW3l30.net
本当にこれ国内で相当数の感染あるのかな?
どうもマッチポンプの気がするな
822:名無しさん@お腹いっぱい。
19/02/25 13:49:36.87 ZUwfGoSXa.net
>>820
君は何を言ってるんだね?
823:名無しさん@お腹いっぱい。
19/02/25 13:53:06.22 HElD2DMA0.net
The No More Ransom Project
URLリンク(www.nomoreransom.org)
824:名無しさん@お腹いっぱい。
19/02/25 14:39:18.61 Eqr7vVgj0.net
最近、芸能人の名をカタり、圧縮ファイルを添付した変なメールが
くるもんなぁ。
いつも速攻で削除してるが、先週は「戸田恵梨香」、今朝も「金城武」
からメールが来てたw
825:名無しさん@お腹いっぱい。
19/02/25 17:46:33.58 FvCCaJDb0.net
>>820
>>809の記事にリンクはってあるだろが
826:名無しさん@お腹いっぱい。
19/02/25 18:00:28.56 FvCCaJDb0.net
>>824
日本語の壁は大きいよね
完璧な日本語で巧みに添付のマクロ入りWord文書を開かせるような文面だったらもっと感染者はもっと増えると思うわ
827:名無しさん@お腹いっぱい。
19/02/25 19:16:16.01 Qtzczmoi0.net
>>823のサイト右下部にある「GandCrab (V1, V4 and V5 up to V5.1 versions)」で5.1の復号化できた
貴重なエロDVDのデータだから助かったわ
828:名無しさん@お腹いっぱい。
19/02/25 19:35:08.70 hV+jN02Ud.net
「Takayuki Yamada!」など、日本の芸能人(男女を問わず)の件名の不審メール、午後もバラ撒かれています。
添付されたファイルは、GandCrabランサムウェアに感染させるマルウェア(広義にはウイルス)ですので、絶対に開かないよう、お気を付け下さい。
URLリンク(twitter.com)
これ、GandCrab 5.2を落としてくるマルウェアらしいが、新種(亜種)が出たばかりではセキュリティソフトの定義ファイルではほとんど検知できないな
URLリンク(www.virustotal.com)
ヒューリスティック検知とかで見つけてくれるのかしら
併用可能なランサムウェア専用のセキュリティソフトもいくつかあるけど効果があるのかいまいちよく分からない
(deleted an unsolicited ad)
829:名無しさん@お腹いっぱい。
19/02/25 20:00:43.14 Eqr7vVgj0.net
さっきチェックしたら、また来てたわ~
今度は、「阿部寛」と「クリスタル・ケイ」w
830:名無しさん@お腹いっぱい。
19/02/25 21:32:27.87 j7KKRvG6d.net
天然痘のようにいつか根絶する日が来るんだろうか?
831:名無しさん@お腹いっぱい。
19/02/25 22:08:28.51 Qtzczmoi0.net
挙動自体はファイルの暗号化&元ファイルの削除一括処理.batだから
OSの機能として暗号化が行われる際はバックアップを取るようにして
削除含めた複数の処理が行われた場合はユーザーに確認を促して続行するか中止して復元するかを選ばせるだけでも止まるんだけどな
832:名無しさん@お腹いっぱい。
19/02/25 22:15:45.47 4X9uQqPQa.net
ランサムウェアに感染するようなレベルのやつの言うことなんて説得力ゼロだわ
833:名無しさん@お腹いっぱい。
19/02/25 22:22:34.36 P/orWXdl0.net
元ファイルが生のまま別途保存される暗号化処理って何の意味があるん?
834:名無しさん@お腹いっぱい。
19/02/25 22:27:56.58 R8bOExJI0.net
暗号化処理するのはランサムウェアの挙動で
その暗号化処理が行われる前にOSがバックアップを作っておくってことじゃね
835:名無しさん@お腹いっぱい。
19/02/25 22:33:56.00 AwCDXmp80.net
普通に考えて暗号化したブロック毎に逐一元ファイルに上書きだろうに
836:名無しさん@お腹いっぱい。
19/02/25 22:37:15.95 AwCDXmp80.net
別にOSに暗号化をお願いするわけでもないから
ファイルを読んで読み込んだ内容を何か処理して上書きするってプログラムにしか見えないよ
もちろん誤爆を恐れないならそういう挙動をヒューリスティックに検出するってのはありうるけど
837:名無しさん@お腹いっぱい。
19/02/25 22:38:57.21 DvT2eTBDa.net
>>834
暗号化処理がランサムウェア由来か判断できないから
OS側で暗号化処理を察知したら毎回元データのバックアップを取るようにしろって話やぞ
838:名無しさん@お腹いっぱい。
19/02/25 22:45:19.95 hXmPISfA0.net
ファイル上書きの場合はユーザーに確認獲れるまで別途バックアップ領域に一時保管しておくってのは良い線行ってるかもな
OneDrive/GoogleDrive/iCloud普及させたい思惑とも一致するだろうし
839:名無しさん@お腹いっぱい。
19/02/25 23:07:20.50 XyZt6AIT0.net
そもそもアプリのアップデートでファイル更新される事との違いすらOSにはわからんだろう
一体何Gのバックアップが必要になるんだよと
840:名無しさん@お腹いっぱい。
19/02/25 23:17:02.47 l7WGQGsR0.net
GB程度で済むなら設定する人多そう
アプリケーションのアップデートの時もどの領域が書き換えられているのか明示されたら
偽のアップデーターとかアドウェア混入の判別も付きやすいだろうし
841:名無しさん@お腹いっぱい。
19/02/25 23:55:52.01 P/orWXdl0.net
GBオーダーの上書きと削除を毎回ユーザーに続行するか中止するか確認せるのか
842:名無しさん@お腹いっぱい。
19/02/28 11:18:19.48 NpGefovmM.net
スナップショット系のバックアップで5分ごとにバックアップをとる製品はあるから無謀ではないよね
843:名無しさん@お腹いっぱい。
19/02/28 14:01:20.98 ejiWxO6M0.net
今朝もいろんなやつからメール来てたな、「中森明菜」や「新垣結衣」
既に故人の「藤圭子」からも来てた (^^;
844:名無しさん@お腹いっぱい。
19/03/23 23:31:43.07 ALkvn05m0.net
拡張子がqweuirtksdに代わってしまった。それとビットコインで支払えというtxtが貼られている
845:名無しさん@お腹いっぱい。
19/03/23 23:36:14.47 j7uqtH+u0.net
バックアップから復元して犯人たちをあざ笑ってやればいいだけ
846:名無しさん@お腹いっぱい。
19/03/24 01:08:14.72 d3UP6WR0a.net
NASでpassなしor簡易なpass?
モスクワの子がまたヒマになったか
847:名無しさん@お腹いっぱい。
19/03/24 01:34:06.02 ViGkslJN0.net
>>846
はい、これはNASでPASSなしでした。
qweuirtksdはNASを狙ってくるんですか?
848:名無しさん@お腹いっぱい。
19/03/24 02:44:00.41 d3UP6WR0a.net
yes
URLリンク(www.bleepingcomputer.com)
849:名無しさん@お腹いっぱい。
19/03/24 11:21:15.91 ViGkslJN0.net
>>848
情報ありがとうございます。
NASの中にできたexeファイルを何回も削除しても生成されちゃって困ってましたが、
PASSを掛けたら 止まりました。
ということは外部からずっと入ってきたんでしょうか。。
とりあえず復元できる情報がなかったので
qweuirtksdの拡張子を消してそのまま使えるか試しました。
結果 mp3ファイルは 出だしの数秒が消えていましたが他は再生できました。
850:名無しさん@お腹いっぱい。
19/04/09 14:07:32.03 Ievsk4360.net
日本の芸能人の名前を件名にした悪質メールが拡散、ダウンロードされるのはランサムウェア「GandCrab」やスパムボット「Phorpiex」など
URLリンク(internet.watch.impress.co.jp)
851:名無しさん@お腹いっぱい。
19/04/17 01:49:24.21 mvBOJw9P0.net
cryptotesterがkasumiとかmistyにも対応してくれてたらなぁ