マルウェアなんでも雑談掲示板
全世界でランサムウェアWannaCry感染? - 管理人です
2017/05/15 (Mon) 00:07:45
https://headlines.yahoo.co.jp/hl?a=20170514-00000007-jij-n_ame&pos=1
ウイルスは、コンピューターを停止させて「身代金」を要求する「ランサムウエア」。MSが2014年にサポートを終えたウィンドウズXPが主な標的とされる。これを受けてMSは13日、ウェブサイト上にXPなどのアップデート情報を出した上で、利用者に更新を呼び掛けた(引用)
http://www.jiji.com/jc/article?k=2017051300426&g=int
*
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
*
http://ascii.jp/elem/000/001/482/1482839/
引用
フィッシングメールを通じてPCに感染したあと、上述したSMBサーバーの脆弱性を悪用してネットワーク内に感染を拡大し、感染したPCやサーバー上の重要ファイル(オフィス文書や画像、ビデオ、音声、圧縮ファイルなど多種)を暗号化して開けなくしたうえで、300ドルの“身代金”支払いを要求するメッセージを表示するという。
↓
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/
Re: 全世界でランサムウェア感染? - 管理人です
2017/05/15 (Mon) 01:42:18
http://blog.goo.ne.jp/psyna_hone/e/35a797bc90e30ab56caad022e6bffdc9
面白いですよ。
今、大流行中のランサムウェアに関して「Windows10」は不思議なことに感染せず「XPであれば危険だ」とマイクロソフトが「それ言わんこっちゃない」的ニュアンスでアナウンスしまくっているからですよ。
ほんとにXPが「危険」なのか?
本件はマイクロソフトの自作自演じゃないか?と疑う人が世の中には「いる」ってことですよ。つまり「それほど」にマイクロソフトは嫌われているってことですな。
身から出た錆ってやつだよマイクロソフト。
Re: 全世界でランサムウェア感染? - 管理人です
2017/05/15 (Mon) 01:46:16
ランサムウェア対策ですが
Reboot Restore RXを使う
Sandboxieを使う
http://freesoft-100.com/review/easeus-todo-backup.php
https://www.japan-secure.com/entry/blog-entry-295.html
(追記)
sandboxieを使えば本件ランサムウェアを阻止できるという意味ではありません。WannaCryが相手の場合、WannaCry攻撃者たちは、まずポート445などをscanし、開いているか?を探っています。ポートが開いており「弱点がある」と判断した場合に攻撃者らは「BackDoor」を仕掛け、このBackDoorを悪用して様々な攻撃を展開するわけです。その一連の攻撃に関してはsandboxieは無力であり、またsandboxieの本来的業務範囲には含まれておりませんから、sandboxieが本件ランサムウェア攻撃をブロックできるわけがないのです。誤解されませんように。
Re: 全世界でランサムウェア感染? - 管理人です
2017/05/15 (Mon) 09:35:31
RollBack Rx Home
http://www.gigafree.net/system/SystemBackup/RollBackRxHome.html
これも便利ですが、しかし。
HDD(SSD)をpartition分割していた場合
↓
C drive
D drive
OSがC driveにインストールされている場合は「システムドライブ=C」のみがRestore対象となるので、仮にD driveをデータ保管庫ドライブとして活用しているとD driveはRestore対象にはなりません。
↓
そこが困った点になっちまったんですねランサムウェアの登場によって。
↓
ランサムウェアに感染した場合、C driveはRestoreできますからランサムウェア感染したとしても「無かったこと」にしてもらえます。でも?D driveはランサムウェアに感染した「まんま」の状態に陥りデータは暗号化されてしまいます。
↓
もちろんReboot Restore RXを使った場合も初期設定の段階でパーティション分割しているHDDの場合はパーティション「全部」を復元対象にします設定をしておかないと、データ保管庫ドライブはランサムウェア感染したまんまになってしまいますが。
↓
意味、わかりますかね?
↓
RollBack Rx Homeを使う場合はHDD(SSD)のパーティション分割は行わず、OSインストールドライブとしてのみ使い(かつデータも全部保存する)というHDDの使い方とすればRollBack Rx Homeであってもランサムウェア感染しても大丈夫だということには、なりますけどね。
(↑ 補足するとHDDあるいはSSDをパーティション分割せずそのままで使う。データ類も全部C driveで保存されることになるためRollBack Rx Homeでrestoreされるたびにデータ類も「Timeマシーン的」にある時点まで巻き戻されてしまうような状態になる。よってデータ類は都度「外付けHDD」などにバックアップしてほしい。意味、わかりますかねえ?)
↓
データはDropbox上に保管すればランサムウェア感染してもデータ復元できる、というテクもあります。
詳細は各自検索してほしい。
http://nor-asu.work/contents/other/ransomware-zepto-fukugen-dropbox
しかし、しかし。
Dropboxはランサムウェア感染には強いですが、別の「恐怖」も併せ持っているんですねえ。
↓
スノーデンのプライバシーに関する助言:Dropboxは捨てろ、FacebookとGoogleには近づくな
http://jp.techcrunch.com/2014/10/13/20141011edward-snowden-new-yorker-festival/
Re: 全世界でランサムウェア感染? - 管理人です
2017/05/15 (Mon) 09:41:54
http://www.itmedia.co.jp/enterprise/articles/1701/13/news054.html
Shadow Brokersが活動停止宣言、Windowsハッキングツール58本を無料公開
米国家安全保障局(NSA)が監視活動に使ったとされるハッキングツールを流出させた集団が活動停止を宣言し、Windowsハッキングツール58本を無料で公開すると発表した。
(引用)
Re: 全世界でランサムウェア感染? - 管理人です
2017/05/15 (Mon) 10:10:56
https://www.is702.jp/news/2144/
(引用)
Windows SMB のリモートでコードが実行される脆弱性「CVE-2017-0144」は、Microsoftの3月のセキュリティ情報により既に更新プログラムが公開されています。また、今回の事例を受けて、同社は「WannaCry/Wcry」の影響を受ける「MS17-010」に対する更新プログラムも公開しています。企業や組織は、今回の脅威の影響を受けないためにも、更新プログラムの適用を怠らず、SMBサーバへの適切な環境設定を実施することを強く推奨します。
Re: 全世界でランサムウェア感染? - 管理人です
2017/05/15 (Mon) 10:12:27
https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html
(引用)
2017年3月15日(日本時間)にMicrosoft製品に関する脆弱性の修正プログラム MS17-010が公表されました。
この脆弱性がランサムウェアの感染に悪用され国内を含め世界各国で被害が確認され、英国では医療機関において業務に支障が出るなどの深刻な影響が発生しています。
ランサムウェアに感染するとコンピュータのファイルが暗号化され、コンピュータが使用できない被害が発生する可能性があります。
今回観測されているランサムウェアはWanna Cryptor と呼ばれるマルウェア (WannaCrypt, WannaCry, WannaCryptor, Wcry 等とも呼ばれる) の亜種であると考えられます。
※ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求する挙動から、このような不正プログラムをランサムウェアと呼んでいます。
Re: 全世界でランサムウェア感染? - 管理人です
2017/05/15 (Mon) 10:21:32
http://blog.trendmicro.co.jp/archives/14873
大規模な暗号化型ランサムウェア「WannaCry/Wcry」の攻撃、世界各国で影響
*
これら2つのリスクの内 1つは、Windows SMB のリモートでコードが実行される脆弱性「CVE-2017-0144」で Microsoft の3月のセキュリティ情報により明らかになり、同社は問題の脆弱性に対する更新プログラムを公開しました
---------------------------------
もう1つは、暗号化型ランサムウェア「WannaCry/Wcry」で、同年4月に DropboxのURLを悪用して拡散する暗号化型ランサムウェアとして確認されました。
Re: 全世界でランサムウェア感染? - 管理人です
2017/05/15 (Mon) 10:26:35
http://d.hatena.ne.jp/Kango/20170513/1494700355
まとめサイト
日本国内においてもPCだけでなく「防犯カメラ」上にランサムウェア感染画像が表示されている可能性がある。
IoT感染
Re: 全世界でランサムウェア感染? - とら
2017/05/15 (Mon) 19:25:57
/articles/2017/05/15/ipa/
>不審なメールの添付ファイルの開封やリンクへのアクセスをしない
IPAアホか。不審メールだとわかっていながら開けるバカなどいない。
まめなシステムアップデートとプロアクティブなウイルス対策ソフトの導入。これに尽きる。国の情報推進組織が「XPでしか動かない基幹システムもあり対策は難しい」などとのたまっていたら、いつまで経っても何も変わらん。
Re: 全世界でランサムウェア感染? - M.G
2017/05/15 (Mon) 20:29:53
因みに「問題のセキュリティホール」ですが「3月のアップデート(=MS17-010)を適用していた」のであれば閉じられているようではありますな。
…ということはVistaでも公式の最後(確か4月のアップデート)まで真面目にアップデートを行っていれば問題のセキュリティホールが閉じられていたわけですから…問題は確かに「それさえできなかったであろうXP」ですよ。
まあ今回は「まだまだ使用している人や会社が多いから」ということでMSも「特例措置」でXP及びVistaの特例セキュリティパッチを出したという形ではありますね。
Re: 全世界でランサムウェア感染? - 若竹亭おにぎり
2017/05/15 (Mon) 20:38:15
https://twitter.com/ColtSsr/status/863705211696668672/photo/1?ref_src=twsrc%5Etfw&ref_url=http%3A%2F%2Fblog.livedoor.jp%2Fkinisoku%2Farchives%2F4786638.html
おそ松。報道はツイッターばかり見てネタ探しかいな。
直接イオンの店舗行けばいいのに。ジャーナリズムってこんなもんなんだな。
Re: 全世界でランサムウェア感染? - 牛野乳太郎
2017/05/15 (Mon) 22:17:40
>https://www.virustotal.com/ja/file/1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830/analysis/1494853801/
Wana Decryptのcore DLLをダウンロードしたのですが、すでに多くのセキュリティベンダーが対応している中、キングソフトが検出できていません。
これから実際にソフトをインストールして試してみますが
Re: 全世界でランサムウェア感染? - とら
2017/05/15 (Mon) 22:31:31
最近の情報番組ってネットがソースの情報を単に遅れて拡散するだけだよね。だからTVからどんどん人が遠ざかっていくというのに...。
>まあ今回は「まだまだ使用している人や会社が多いから」ということでMSも「特例措置」でXP及びVistaの特例セキュリティパッチを出したという形ではありますね。
イギリスじゃ病院のシステムがネットワークごと感染されて阿鼻叫喚の地獄と化したそうです。人の生命に関わるインフラなどの基幹システムにも、いまだにXPやら、ろくにアップデートも受けられていないOSで運用されていることは本当に深刻な問題。
北朝鮮のミサイルやらが国防上の問題によく上がりますが、これからの時代「第6の戦場」として真っ先にこうした民間のインフラが狙われるというリスクがもっと議論されてもいいような気がするが。
Re: 全世界でランサムウェア感染? - とら
2017/05/15 (Mon) 22:41:55
>ミルク王子さん
>Wana Decryptのcore DLLをダウンロードしたのですが、すでに多くのセキュリティベンダーが対応している中、キングソフトが検出できていません。
キングソフトはやっぱりか...という感じですが、あのInvinceaとEndgameが検知漏れとは。後者はランサムウェア対策を主要サービスとしているのですぞ。
Re: 全世界でランサムウェア感染? - 牛野乳太郎
2017/05/15 (Mon) 23:33:48
>トライデントさん
検出できませんでした・・・。だめですね、この製品。
>あのInvinceaとEndgameが検知漏れとは。後者はランサムウェア対策を主要サービスとしているのですぞ。
これから複数の亜種が出てくると思いますが、どうするのだろう・・・
Re: 全世界でランサムウェア感染? - 若竹亭おにぎり
2017/05/16 (Tue) 15:09:20
"日本マイクロソフトでは、緩和策として「SMB v1」を無効化することや、TCPポート135/137/138/139/445番の受信を停止することも推奨している。"
でも445番閉じちゃったらLAN組んでいるところは困っちゃうんじゃないのかな?
Re: 全世界でランサムウェア感染? - とら
2017/05/16 (Tue) 18:52:30
いつの間にか検体をたくさん頂いておりましたので。遅ればせながら。SymantecのJamis Mirror氏に感謝。
http://www106.zippyshare.com/v/kGzY8dKp/file.html
crara6にはあげないよ.rarの解凍パスワードは
crara6original@sute.jp までご連絡を。
WannaCry.rarの解凍パスワードは infected
Re: 全世界でランサムウェア感染? - 管理人です
2017/05/16 (Tue) 23:42:56
みなさ~ん
メッセありがとうございます。
重要なメッセばかりですね。
管理人、今、熊本です。
経営のコンサルティングを精力的に行っているところです。
本件、よろしくお願いします。
➋管理人は「Kin愚soft Internet Securityは【壁紙】だ」と知恵袋上で指摘の上、使わないよう呼びかけていました。Aviraエンジンを搭載している頃のKin愚soft internet securityであれば「まだマシでした」という声もありましたがMilk王子さんの投稿を読めば「やっぱり壁紙じゃないか」と思います。
知恵袋の「自慢話王」は「Kin愚soft internet securityを壁紙と酷評するのはいかがなものか?」とシタリ顔で、偉そうな批判を繰り返していますが、ほんのちょっと検証すればKin愚soft internet securityなど「使い物にならない」製品だと気がつくはずだ。
何度でもいうがKin愚soft internet securityは「壁紙」だ。使ってはいけない。
日本郵政Rovnixが爆発感染した時もKin愚soft internet securityは「壁紙」として役に立つだけの惨状だった。Kin愚soft internet securityはRovnixを検知できず、マイクロソフト謹製Firewallとの組み合わせuserさんは例外なく100%の確率でRovnix感染していた。Virustotalの結果を見た時、各社が対応を開始して以降もKin愚soft internet securityはRovnixを検知できないまま。比較して「同じ無料」のComodo ISの場合、Anti-virusはRovnixを全く検知できなかったけれど、Defence+(HIPS相当)が瞬時にRovnixを検知してプロセスを次々と遮断するためRovnix感染の可能性は「0」だった。その時期「ウイルスバスタークラウド」についても調べてみるとウイルスバスタークラウドのuserさんはFirewall設定に関しては「デフォルト」のままというuserさんが圧倒的であり、ウイルスバスタークラウド+マイクロソフト謹製Firewallが製品の実態。管理人が調べた範囲ではウイルスバスタークラウドのuserさんでRovnix感染を阻止できていたuserさんは皆無だった。例外なく感染していた。各社がRovnix対応を開始していた時期でさえパターンファイル更新に遅れを取っていた。管理人は、それを見て「有償のウイルス対策ソフトが、この惨状では如何なものか?」と正直、思ったものです。
ウイルス対策ソフトは「どれでも皆おなじ」なんてことは、絶対ありませんね。
あ”っ!!!
勿論マイクロソフトのWindows DefenderもRovnixが猛威をふるっていた頃、かすりもしませんでしたけどね(苦笑)。
Re: 全世界でランサムウェア感染? - 管理人です
2017/05/17 (Wed) 01:15:58
https://www.businessinsider.jp/post-33641
(引用)
WannaCryは、パソコンやサーバーに残っていセキュリティホール=脆弱性を突き、自動的に拡散していくしくみだ。具体的にはWindowsのMS17-010という脆弱性があるサーバー・パソコンで感染を広げる。この脆弱性は、ファイル共有のしくみ(SMBv1と呼ばれる通信プロトコル)にあり、プリンターの共有やファイル共有で使われている。これが残った状態で、かつインターネットに特定の条件の下で接続したままでいると、外部からの攻撃で侵入されてWannaCryに感染してしまう。同時に社内などのネットワークでも感染を広げる。
*
筆者の推測では、ファイル共有などのために外部に開放していたパソコンがやられた可能性があると考えている。
------------------------------------
Re: 全世界でランサムウェア感染? - 管理人です
2017/05/17 (Wed) 20:00:01
http://www.newsweekjapan.jp/stories/technology/2017/05/wannacry-nsams_2.php
マイクロソフトは「いいわけ」を開始している。
↓
【XPサポートはすでに終了しているから緊急パッチを配布しません】がマイクロソフトのいいわけ。でもそれを言うなら世界中から非難されようと本件緊急パッチの配布をするべきじゃないね。だって「XPサポートは終わった」んだから。
↓
実は本件地球規模での爆発的感染の「前」に、すでにマイクロソフトは本件脆弱性とNSAハックツール流出を知っていたはずだ。事態の深刻さに気がついていたのならたとえXPが相手であっても緊急パッチを配布するべきだったのだ。しかしマイクロソフトは「いかなる理由があろうともサポート終了したXPにはパッチ配布は行わない」を持論とし、事実、本件脆弱性パッチは配布しなかった。
↓
で、どうなった?
地球規模で感染爆発し、あまりの爆発感染に腰が抜けたマイクロソフトは「企業防衛」のためにXPに関しても緊急セキュリティパッチの配布を開始した=「今回は特例だ」。
↓
世界中からの非難が殺到することを恐れてパッチを配布するくらいなら「最初からパッチを配布」すればよかったのだ。逆に「いかなる理由があれどサポートが終了したOSのパッチは配布しない」を宣言するのなら、本件だって配布するべきではない。
***
まあマイクロソフトのいいわけなど、真正面から聞く趣味は管理人には無いけれど、本件で思うのは2020年にサポートが終了する「Windows7」についてだ。XPのuserの数は全世界で8%~10%規模なんだと推計されている。この程度のサポート終了OSを巡って「本件」の大騒動に発展したわけだね。では多分「50%シェア」を超えている鴨しれないWindows7を巡って2020年のサポート終了後に本件類似の攻撃が発生した場合、一体「どんな」騒動に発展するんだろうか?
マイクロソフト「ごみ」ニュティの怪答者であれば「サポート終了後のWindows7を使っている奴が悪い」で終わる(単細胞だからね、連中は)。まあでも、それは「回答」にはなっていない。
➊Windows7のサポート期間は「延長」されるんじゃないか?user数の大きさを考えれば2020年でサポート終了を口実にバッサリと切り捨てることが可能だとも思えない。
➋しかしWindows7のサポート期間の延長は根本的解決にはならないだろう。Windows10を「無償」で配布すればいいんだよ。無償アップグレードを再開する。本件XPの大騒動をマイクロソフトが学習しておればWindows7のuserさんにWindows10を無償アップグレード提供するは、暴論でもないはずだ。
といっても「器のちっちゃい」マイクロソフトだから、さて、どうなることやら。
Re: 全世界でランサムウェア感染? - 管理人です
2017/05/18 (Thu) 21:21:37
ところでMilk王子さん。
Kin愚soft internet securityは、検知できるようになりましたか?
Re: 全世界でランサムウェア感染? - 牛野乳太郎
2017/05/19 (Fri) 01:13:32
こんばんは。
5月17日に確認した時点では、検出できていなかったですね。
ところでWannaCryに絶対に感染しない方法を見つけました!
パソコンをこのように使用すればよいのですね!!
Re: 全世界でランサムウェア感染? - 管理人です
2017/05/27 (Sat) 02:20:51
Milk王子さん
↓
https://forum.avast.com/index.php?topic=202977.0
avastが水際でブロックしたようですね。しかもuserはWindows Updateをサボっていた状態だったという。OSはWindows7なんだろうか?
危なかったねえ。
*
ところで「壁紙」Kin愚soft Internet Securityは、検知できるようになったのかな?
Re: 全世界でランサムウェア感染? - 管理人です
2017/05/27 (Sat) 11:41:59
当掲示板のベテラン回答者さんであればウイルス対策ソフト「で」PCを保護しようなんて甘い考えはないのです。様々な対策を立てているわけで、簡単に感染するものでもありませんし。
でも?
https://forum.avast.com/index.php?topic=202977.0 ←これを見れば、一般的なuserさんは、こんなものだと思うわけです。Windows Updateはサボり放置。脆弱性対策をしているわけでもなく、安全対策はといえばavastのFree版をインストールしている程度(多分Firewallはマイクロソフト謹製Firewallでしょう)。こんなものでしょうね。セキュリティ意識が云々というレベルにはなく、ウイルス対策ソフトでも入れておけば「なんとかなる」程度の意識。これが一般的なんだろうと思うわけです。
本件相談は「水際」でブロックできた際どい事例だったはず。重要なのはセキュリティ意識が高いとはけっして言えない一般的userのPC環境において、水際でavastがブロックしてくれたという事。ウイルス対策ソフトの存在理由はまさに本件事案のように「水際でブロックしてくれた」という部分に存在している。相談者のbemuさんは、己のPC環境で「何が進行しているのか?」さえ理解できていなかった。一歩間違っていたらデータは暗号化されていたわけだから。
勿論、今回avastがブロックできたからといって「次回」もブロックできるとは限らない。それは他社ウイルス対策ソフトにも当てはまること。しかし「ウイルス対策ソフトは、どれも似たような性能だ」というわけじゃない。vendorの力量差は確実に存在している。一般的userというのはセキュリティを意識することはないのが普通だし、Windows Updateを含む脆弱性対策など関心さえ持ち合わせていないのも普通だろうし、対策と呼べるものは「おそらく」ウイルス対策ソフトをインストールすることくらいでしょう。ということは、一般的userこそ「どんなウイルス対策ソフトをインストールするか」が重要になってくるはず(皮肉なことにセキュリティなど殆ど考えていない一般的userだからこそ、ウイルス対策ソフトを吟味する必要があるという意味)。
その文脈においてKin愚soft Internet Securityを選択するは「あり得ない」と管理人は考えている。日本郵政Rovnixの時もKin愚soft Internet Securityは全く反応できなかった。その後も継続的に観察してきたけれどランサムウェアの亜種、新種が誕生する度に管理人はKin愚soft Internet Securityで検知できるか?観察してきたが、さっぱりだった。日本郵政Rovnixの時は「たまたま」Kin愚soft Internet Securityが検知できなかったのだ、というレベルの話ではないのだ。とてもじゃないけど現状のKin愚soft Internet Securityは使えないと思う。Kin愚soft Internet Securityの関係者に望むことは、基本性能を上げてもらいたいなという一点。
それからFreeのウイルス対策ソフトを使う場合、基本的性能も重要だけれど、それ以上に重要なものは「万が一」の時、誰に相談するのか?という点。当掲示板は再三指摘していることだけれど、AVGやらWindows Defender(MSE)などを使うのはuserの好みだけれど、相談先が確保されていて回答を信頼できるのは「ほとんど」無い。それを考えればavast一択になるのではないか?と説明をしてきたわけで、Free版を使用しトラブル発生時は「自力で解決できます」と自信満々なuserさんであれば、Kin愚soft Internet Securityを使うのも、それぞれの自由というものでしょう。しかし現実は、セキュリティを深く考えることもなく「無料で使えるから」という程度でインストールしているuserが大多数のはずであり、トラブル発生時に「慌てふためく」が一般的反応のはず。Free版のウイルス対策ソフトを使いトラブル発生時に「日本語で」相談できるってのは、「地獄で蜘蛛の糸」のようなものだと管理人は考えているわけです。その意味で、avastをおすすめしているわけで。
*
ズボラな性格で面倒なことは嫌だというuserさんの場合、Reboot Restore Rxが一番簡単な防御策だと管理人は思いますけどね。Reboot Restore Rxを使うとトラブル発生すると苦情を訴えるuserさんもおりますが、それはどんなsoftwareを使っても「ありえる」トラブルですのでね。バックアップ自作、リカバリDisc自作など「自衛策」をしてから、お使いください(こんなことまで言わねばならぬのか、とうんざりしますけど)。
Re: 全世界でランサムウェア感染? - 牛野乳太郎
2017/05/28 (Sun) 07:30:04
おはようございます。
kingsoftに関しては5月20日に検査したのが最後ですね。
もちろん検出はできていませんでした・・・。
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/05/31 (Wed) 01:07:04
Milk王子さん、ありがとうございます。Kin愚soft internet security、哀れですなあ。管理人の元には日本郵政Rovnixのとき、中小企業を含め様々な相談が寄せられて実際対処しました。ウイルスバスタークラウドの実力の無さにも驚きましたが、Kin愚soft internet securityが使い物になっていない惨状を目の当たりにし、以後、Kin愚soft internet securityを監視してきましたけどAviraエンジン搭載を終了させるなど製品向上は期待できない状況での、今回のランサムウェア拡大事案となりましたね。まあKin愚soft internet securityの場合「Anti-virus」機能で対処できるわけがなく、あとはHIPS機能を併有しているFirewallと組み合わせて使っているか?で運命は決まりますが、99%Kin愚soft internet securityと組み合わせするFirewallはマイクロソフトのFirewall。対処できなくて、当たり前なんですね。せめてKin愚soft internet security+comodo FW(HIPS有効設定)という組み合わせであれば、水際でブロックできたかもしれませんけれど。
フィッシング詐欺検知機能も、悲惨なレベルにとどまるKin愚soft internet securityを「わざわざ」使う必要もないでしょう。Freeのウイルス対策ソフトと、FreeのFirewall(HIPS機能を実装しているFirewallの意味)は、他に選択肢が「ある」んだから、わざわざKin愚soft internet securityを使うべき意味も理由もない。
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/05/31 (Wed) 01:07:59
さて、本題に戻し。
https://jp.sputniknews.com/science/201705303688937/
(引用)
暗号化型ランサムウェア「WannaCry」の作成者は、恐らく、中国南部、台湾、香港、シンガポールに住んでいた。ウイルスコードの言語分析によって明らかになった。
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/06/01 (Thu) 09:23:22
わ、、、、笑える
http://gigazine.net/news/20170531-windows-xp-wannacry-immune/
(引用)
Windows XPに思っていた以上のWannaCryへの「免疫」があったことがわかりました。
Re: 全世界でランサムウェアWannaCry感染? - 若竹亭おにぎり
2017/06/02 (Fri) 18:20:51
これでまたxp最強説を唱えるのが出てくるんだろうな。
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/06/02 (Fri) 18:58:02
https://japan.zdnet.com/article/35102131/
ホントですかね?
(引用)
WannaCryに暗号化されたファイル、大半は復元ソフトで回復可能--カスペルスキー
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/06/02 (Fri) 19:14:50
非常に興味深い。
結論から言えばMalwareとしての完成度は低く作成者は「未熟者」だった可能性が高いとセキュリティvendorは指摘する。しかし、しかし。皮肉なことに未熟者が作成した未熟なMalwareだったはずが、感染規模は甚大だった。「OSの脆弱性」を狙えば、これほどの被害が発生するという逆説的証明といえるのではないか?今回Windows10は無傷に近かったとマイクロソフトは自慢話を開始しているが、たとえWindows10だろうがOSの脆弱性という条件さえ整えば、Windows10であっても本件被害のように地球規模で大きな事故を発生させるのは明らか。ウイルス対策ソフトといっても様々だけれど、OSの脆弱性対策は、基本「アップデート」で対処しなければいけない、と是非とも肝に銘じてほしいものです。知恵袋等では「XPのサポートは切れたがウイルス対策ソフトで保護しています」という趣旨の怪答が投下されるが、ウイルス対策ソフトではOS脆弱性はカバーしきれない。Windows Updateが適用されて、そのうえでウイルス対策ソフトで保護して「感染回避できるか?」というレベルだと理解してほしいと願う。
https://japan.zdnet.com/article/35101728/?tag=mcol;relArticles
現行のKin愚soft internet security+マイクロソフトFirewallの組み合わせでは、とてもじゃないけど今日的攻撃をブロックすることは不可能だと思ってほしい。管理人は中小企業のPC相談にも乗ることも増えてきたけれど、昨今の不況が原因でKin愚soft internet securityを使っている企業がすごく多いことに正直、びっくりしていた。予想していたとおり、日本郵政Rovnixレベルの攻撃になるとKin愚soft internet security+マイクロソフトFirewallでは手も足も出ず、すべて感染していた。企業だからサーバーの存在があり管理人にとっては鬱病?になりかねない相談の山、山、山であり、こんなものを無償で相談に乗るもんじゃないなと深く反省した。企業や、組織、団体にとって「企業規模」には関係なく「護るべきデータ」が存在しているのなら、Kin愚soft internet security+マイクロソフトFirewallは「あり得ない」選択肢だと思う。せめてAivraのスキャンエンジンを再搭載するべきじゃないか?と。
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/06/03 (Sat) 20:05:14
http://gihyo.jp/admin/serial/01/infrasec/0034
(引用)
Windowsファイアウォールは,インストール直後に「パブリックネットワーク」を選択(図1)していた場合は,初期状態ではTCP445番を開けません(図2)。しかし,何らかのファイル共有サービス等を有効にした場合は,TCP445番を開放します(図3)。
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/06/03 (Sat) 20:24:29
http://ore-sama123.bbs.fc2.com/?act=reply&tid=5647129
参考に
Re: 全世界でランサムウェアWannaCry感染? - 牛野乳太郎
2017/06/04 (Sun) 03:11:01
母親のような無償の愛でということです。
https://www.youtube.com/watch?v=IrkKez6I-vQ
セキュリティソフトのCMに見えません
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/06/04 (Sun) 20:54:55
母親のような無償の愛でということです。
↑
それは要らんから、とにかく「基本的な性能」を今すぐにupさせてほしいものです。
(それにしても王子、よく動画を見つけてきましたね?)
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/06/20 (Tue) 15:48:17
http://blog.trendmicro.co.jp/archives/15154
その後の解析状況
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/06/20 (Tue) 15:50:02
https://japan.zdnet.com/article/35102907/
ホントなのかな?
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/06/20 (Tue) 16:10:21
http://www.mbsd.jp/blog/20170607.html
WannaCryのキルスイッチに見えた2次攻撃者の影
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/06/25 (Sun) 21:57:24
http://blogs.mcafee.jp/mcafeeblog/2017/06/annacry-eternal-0411.html
2017年6月16日 更新
WannaCry 、流出したNSA(米国家安全保障局)のハッキングツールへの警戒、そして今後の対策(後編)
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/06/28 (Wed) 14:09:46
https://www.weeklybcn.com/journal/feature/detail/20170628_156610.html
(引用)
こうした経緯から、モバイル用途のPCが最初の1台として感染の疑いがかけられる。ほかに考えられるのは、工場などに置いてあって、グローバルIPアドレスを使用する特殊用途のPC。また、海外ではグローバルIPアドレスを使用するケースが多い地域もあるため、海外拠点経由で感染が広がることも考えられる。
インターネットとは接続していない閉鎖型ネットワークでも安心できない。「閉鎖型ネットワークのはずが、利便性を上げるためにサーバーを経由して、インターネットに接続していたというケースはありがち。例えば、韓国軍が昨年、軍内部専用ネットワークがサイバー攻撃を受けて、軍事情報が流出するということがあった。閉鎖型ネットワークのはずが、外部に接続しているネットワークと軍内部専用ネットワークの両方に接続しているサーバーがあったのが原因。同様のケースは、企業でもあると思われる」と、ラックの川口洋・サイバー・グリッド・ジャパン サイバー・グリッド研究所長 チーフエバンジェリストは指摘する。地方自治体でもネットワーク分離によるセキュリティ強化が行われたが、どこまで維持できるかが今後の課題となるかもしれない。
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/06/28 (Wed) 14:33:42
Windowsのポート445(ダイレクト・ホスティングSMBサービス)に注意
http://www.atmarkit.co.jp/ait/articles/0010/07/news002.html
❷Windows 10/7/XPでTCPポート445をブロックする3つの簡単な方法
http://www.backup-utility.com/jp/anti-ransomware/how-to-block-port-445-in-windows.html
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/06/29 (Thu) 08:34:55
Hondaは、可能な限りは感染した経緯、原因を公表するべきだと思う。
http://business.nikkeibp.co.jp/atcl/report/15/110879/062800705/
(引用)
新教授が推測する今回の感染ルートの1つは、通信ポートの管理ミスだ。「XP以前のOSは通信ポートをむやみやたらに開けてしまう。プリンターの接続などで使っていたポートを見落とす事例は多い」
しかし、より可能性が大きいのは、メンテナンスに伴う外部機器の持ち込みによる感染だ。通常、こうした機器は持ち込み時に感染がないか検査をしなければならないが、「工場が保有しているウイルスチェックリストが最新のものに更新されていないなど、落とし穴があることは多い」(新教授)という。
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/06/29 (Thu) 10:07:54
どんなパソコンが感染したのか、WannaCryを再検証
http://itpro.nikkeibp.co.jp/atcl/column/16/012900025/062300042/
(引用)
WannaCryの感染は、ネットワーク経由でパソコンにアクセスするところから始まります。アクセスするのは、TCP▼ 445番ポートです(図2)。TCP 445番は、SMB▼というプロトコルでファイル共有するときに使います。
特にネットワーク経由の感染では、UAC▼の警告が表示されません。ランサムウエアによくある、メールに添付されたウイルスを実行したときはユーザー権限で実行されるため、UACの警告が表示されます。ネットワーク経由で今回の脆弱性を利用された場合は、SYSTEM権限▼で処理されるため表示されないのです。
--------------
(引用)
キルスイッチの目的が謎
1)一つめは、「サンドボックスよけ」
2)二つめは、「自爆防止」
3)三つめは、「感染活動の制御」
筆者は、どれも正しくないように思います。前述したように、WannaCryはネットワーク感染なので、サンドボックス型機器の検査対象になりません。また自爆防止や感染活動の制御に使うなら、攻撃者がドメイン名を取得しておく必要があります。しかしどのドメイン名も未取得であったことから、可能性は低いと思っています(と辻伸行氏は推測している)。
(フローチャート図が非常にわかりやすいので引用させていただきます)。
Re: 全世界でランサムウェアWannaCry感染? - 若竹亭おにぎり
2017/06/29 (Thu) 10:15:37
メンテナンスに伴う外部機器の持ち込みによる感染
正直なところ、これは十分に有り得る話だ。
自分が昔いた大手IT企業ですらこの管理はずさん。むしろ大手だからこそずさんだったといえる。自分が知るだけでも3回はセキュリティ事故を起こしている。
ノートン信者のせいで現場技術員はそうとうわりをくっているからね。それ以外の対策をしないとならないのに、それをやるとペナルティを食らう始末。
そのくせP2P検出ソフトなどという無駄なセキュリティを追加して低いスペックのPCを余計に低くするだけ。
国内大手のデータセンターは入館時にセキュリティソフトの有無と最新版更新してあるかを申告するようになっているが、実際の検査などはしていない。感染したUSBメモリでも指して検出可能かどうかくらいはやるべきなんだろうけどね。技術員が持ち込んだUSBメモリからウイルス検出されたことも一度や二度じゃないのに。
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/06/29 (Thu) 10:43:25
自診くん
https://www.lac.co.jp/lacwatch/people/20170621_001315.html
Re: 全世界でランサムウェアWannaCry感染? - 管理人です
2017/07/05 (Wed) 06:49:18
http://twilog.org/ntsuji
辻さん
*
日立のWannaCry感染源が、驚きの
↓
電子顕微鏡?
https://this.kiji.is/254561376570949639