マルウェアなんでも雑談掲示板
ここまで来ると苦笑ですなWannaCry - 管理人です
2017/05/17 (Wed) 13:19:15
http://pc.watch.impress.co.jp/docs/news/1060013.html
(引用)
「Data Dump of the Month」に含まれるのは、「ブラウザ、ルーター、スマートフォンのエクスプロイトとツール」、「Windows 10の新しいエクスプロイトを含むオプスディスク」、「SWIFTプロバイダや中央銀行から盗んだデータ」、「ロシア、中国、イラン、北朝鮮から盗んだ核やミサイルのデータ」が挙げられている。これらの情報をどのように利用するかは、メンバーに任せるとした。
Re: ここまで来ると苦笑ですなWannaCry - 管理人です
2017/05/17 (Wed) 13:35:11
爆発的感染には理由があったわけですね。
https://gblogs.cisco.com/jp/2017/05/wannacry/
(引用)
WannaCry は TCP ポート 445 番(Server Message Block/SMB)を広範囲でスキャンする能力を備えており、ワームと同様の仕組みで拡散します。ホストを侵害してファイルを暗号化すると、Bitcoin による身代金の支払いを要求します。注意が必要なのは、ネットワーク内部を限定的にスキャンして拡散場所を特定する以上の能力を WannaCry が備えていることです。つまり、他の外部ホストで検出された脆弱性を突き、インターネット上で拡散する能力も備えています。
*
以前も注意喚起をしましたが、ランサムウェア感染した場合、可能なら「リカバリ」をしてください。理由は「BackDoor」が仕込まれるからです。海外のホテルがランサムウェア感染し身代金を支払いデータを回復しましたが、再度ランサムウェア感染。ホテル側はセキュリティ専門家に相談し「BackDoorが構築されていた」ことを知りました。BackDoor構築に気がつくまでは、ホテル側は身代金を支払いデータを取り戻し、かつ「一般的」なマルウエア駆除をし「これで十分だろう」と思っていたわけです。しかし再度のランサムウェア感染したことで「これは何かが隠されている」と考えたホテル側が対処した結果、BackDoor構築に気が付き、今度は気合を入れ直して総点検したというわけでした。
一般的userさんレベルであればランサムウェア感染した場合は「あれこれ」と考えずリカバリをしたほうが復旧は速いし、BackDoorに怯える必要もないはずです。勿論Wire Sharkなどを使い通信監視をしてBackDoorを調べることも可能かもしれませんが、そんな暇があるなら「一般的userさん」はリカバリしたほうが確実に処理できますよ。
ただし暗号化されちまったデータに関しては暗号化されたままで保存しておけば、将来「復号」鍵を入手でき復旧できる「鴨」しれませんね。
あくまでmaybeですけど。
*身代金支払いに関して
それは「あなた」次第ですよ。身代金支払いに関して「支払えば犯罪者を増長させる」だのなんだのとしたり顔でお説教する阿呆もおりますが、そんなことを「他人」から、ああ駄こう駄と言われる筋合いはありませんよ。金に変えられない価値のあるデータなら身代金を支払ってでも取り戻すしか方法はないでしょう。
それを無責任な第三者が、あれこれと批判することは不可能なはず。
しかし身代金を支払ったからといってデータが復号してもらえる保証も一切ありません。
身代金ビジネスは「信頼関係?」も必要なので、復号してもらえる確率は高いはずです(金を払っても復号してもらえないと口コミ広まれば、誰も支払わなくなるからですよ)。ここで問題は犯人側は復号させる意図だったとしても、犯人側skill的に未熟、粗末が原因で復号失敗したという場合もあるということです。
バックアップしておきたいですね。
管理人も「年下」のかわゆい彼女の「マル秘♥写真」のバックアップに関してのみ余念が無いですけど(爆)。
Re: ここまで来ると苦笑ですなWannaCry - 管理人です
2017/05/17 (Wed) 13:37:53
書き忘れ
ランサムウェア感染した場合、一般的userさんの場合は
➊リカバリ(手っ取り早い復旧できるから)
➋しかし重要は「ルーター」も初期化すること。初期化後、ファームウェアアップデートを完了し、パスフレーズの複雑化、セキュリティ構築を行うこと。
Re: ここまで来ると苦笑ですなWannaCry - 管理人です
2017/05/17 (Wed) 13:46:26
http://www.atmarkit.co.jp/ait/articles/1705/17/news043.html
*
改めてWindows10 home版の「うんこ」仕様に関して。Windows10の実態は「未だ」ベータ版。こんなうんこなOSを公式OSとして配布しては駄目なのだ。Windows10を「史上最高OS」などと絶賛している阿呆は
➊ママ姐女史=crara「6」
➋マイクロソフト「ごみ」ニュティ
程度
*
本件ランサムウェアは3月のアップデートを経ておれば回避できたという声も多いがWindows10にかぎらず「OSのアップデート」による自爆的ブルースクリーンエラーで苦労してきたuserさんは、アップデート自体を様子見して自己防衛していたという経緯もあるんだ。以前と異なりWindows10の場合home版はアプデを拒否することもできなければKBを選択的に適用するという手法も封じられている。こんな「糞」仕様をWindows10のhomeuserさんに強制しておいて、本件のような重大事案が発生した場合に「アプデを経ないと、こうなるぞ」的言動は、如何なものか?
Windows10homeのアプデに関する「うんこ」仕様を改めよマイクロソフト。
Re: ここまで来ると苦笑ですなWannaCry - 管理人です
2017/05/17 (Wed) 14:18:01
https://blog.kaspersky.co.jp/wannacry-ransomware/15524/
(引用)
一般的に、WannaCryは2段階でやってきます。第1段階は、感染と感染拡大を意図したエクスプロイトの侵入。第2段階として、暗号化型ランサムウェアが感染先コンピューターにダウンロードされます。
WannaCryには、他の暗号化型ランサムウェアとは異なる特徴があります。一般的な暗号化型ランサムウェアがコンピューターに感染するには、コンピューターを使う利用者の側で何らかのアクションが必要です。たとえば、不審なリンクをクリックする、Wordファイルを開いて悪意あるマクロを実行させる、メールに添付された添付ファイルをダウンロードする、などです。しかしWannaCryの場合、一切の操作を必要としません。
Re: ここまで来ると苦笑ですなWannaCry - 牛野乳太郎
2017/05/17 (Wed) 20:14:07
マイクロソフトが今回の脆弱性についてSMBv1を無効に設定する方法を公開していました。
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
英語なので手順を説明しますと、まずはコマンドプロンプトを管理者権限で実行します。
次に以下の文字列を入力してEnterを押す。
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "SMB1" /d "0" /t REG_DWORD /f
これで無効化できます。
Re: ここまで来ると苦笑ですなWannaCry - 管理人です
2017/05/17 (Wed) 22:57:21
ありがとうございます^^)
Re: ここまで来ると苦笑ですなWannaCry - 管理人です
2017/05/17 (Wed) 22:58:17
ロシア、中国、イラン、北朝鮮から盗んだ核やミサイルのデータ
↑
トランプ大統領が購入するはず(爆)