Re: ここまで来ると苦笑ですなWannaCry - 管理人です

2017/05/17 (Wed) 13:35:11

爆発的感染には理由があったわけですね。

https://gblogs.cisco.com/jp/2017/05/wannacry/

（引用）

WannaCry は TCP ポート 445 番（Server Message Block/SMB）を広範囲でスキャンする能力を備えており、ワームと同様の仕組みで拡散します。ホストを侵害してファイルを暗号化すると、Bitcoin による身代金の支払いを要求します。注意が必要なのは、ネットワーク内部を限定的にスキャンして拡散場所を特定する以上の能力を WannaCry が備えていることです。つまり、他の外部ホストで検出された脆弱性を突き、インターネット上で拡散する能力も備えています。

＊
以前も注意喚起をしましたが、ランサムウェア感染した場合、可能なら「リカバリ」をしてください。理由は「BackDoor」が仕込まれるからです。海外のホテルがランサムウェア感染し身代金を支払いデータを回復しましたが、再度ランサムウェア感染。ホテル側はセキュリティ専門家に相談し「BackDoorが構築されていた」ことを知りました。BackDoor構築に気がつくまでは、ホテル側は身代金を支払いデータを取り戻し、かつ「一般的」なマルウエア駆除をし「これで十分だろう」と思っていたわけです。しかし再度のランサムウェア感染したことで「これは何かが隠されている」と考えたホテル側が対処した結果、BackDoor構築に気が付き、今度は気合を入れ直して総点検したというわけでした。

一般的userさんレベルであればランサムウェア感染した場合は「あれこれ」と考えずリカバリをしたほうが復旧は速いし、BackDoorに怯える必要もないはずです。勿論Wire Sharkなどを使い通信監視をしてBackDoorを調べることも可能かもしれませんが、そんな暇があるなら「一般的userさん」はリカバリしたほうが確実に処理できますよ。

ただし暗号化されちまったデータに関しては暗号化されたままで保存しておけば、将来「復号」鍵を入手でき復旧できる「鴨」しれませんね。


あくまでmaybeですけど。

＊身代金支払いに関して

それは「あなた」次第ですよ。身代金支払いに関して「支払えば犯罪者を増長させる」だのなんだのとしたり顔でお説教する阿呆もおりますが、そんなことを「他人」から、ああ駄こう駄と言われる筋合いはありませんよ。金に変えられない価値のあるデータなら身代金を支払ってでも取り戻すしか方法はないでしょう。


それを無責任な第三者が、あれこれと批判することは不可能なはず。

しかし身代金を支払ったからといってデータが復号してもらえる保証も一切ありません。

身代金ビジネスは「信頼関係？」も必要なので、復号してもらえる確率は高いはずです（金を払っても復号してもらえないと口コミ広まれば、誰も支払わなくなるからですよ）。ここで問題は犯人側は復号させる意図だったとしても、犯人側skill的に未熟、粗末が原因で復号失敗したという場合もあるということです。

バックアップしておきたいですね。

管理人も「年下」のかわゆい彼女の「マル秘♥写真」のバックアップに関してのみ余念が無いですけど（爆）。

Re: ここまで来ると苦笑ですなWannaCry - 管理人です

2017/05/17 (Wed) 13:37:53

書き忘れ

ランサムウェア感染した場合、一般的userさんの場合は

➊リカバリ（手っ取り早い復旧できるから）

➋しかし重要は「ルーター」も初期化すること。初期化後、ファームウェアアップデートを完了し、パスフレーズの複雑化、セキュリティ構築を行うこと。

Re: ここまで来ると苦笑ですなWannaCry - 管理人です

2017/05/17 (Wed) 13:46:26

http://www.atmarkit.co.jp/ait/articles/1705/17/news043.html

*

改めてWindows10　home版の「うんこ」仕様に関して。Windows10の実態は「未だ」ベータ版。こんなうんこなOSを公式OSとして配布しては駄目なのだ。Windows10を「史上最高OS」などと絶賛している阿呆は

➊ママ姐女史＝crara「6」
➋マイクロソフト「ごみ」ニュティ

程度

＊
本件ランサムウェアは3月のアップデートを経ておれば回避できたという声も多いがWindows10にかぎらず「OSのアップデート」による自爆的ブルースクリーンエラーで苦労してきたuserさんは、アップデート自体を様子見して自己防衛していたという経緯もあるんだ。以前と異なりWindows10の場合home版はアプデを拒否することもできなければKBを選択的に適用するという手法も封じられている。こんな「糞」仕様をWindows10のhomeuserさんに強制しておいて、本件のような重大事案が発生した場合に「アプデを経ないと、こうなるぞ」的言動は、如何なものか？

Windows10homeのアプデに関する「うんこ」仕様を改めよマイクロソフト。

Re: ここまで来ると苦笑ですなWannaCry - 管理人です

2017/05/17 (Wed) 14:18:01

https://blog.kaspersky.co.jp/wannacry-ransomware/15524/
（引用）

一般的に、WannaCryは2段階でやってきます。第1段階は、感染と感染拡大を意図したエクスプロイトの侵入。第2段階として、暗号化型ランサムウェアが感染先コンピューターにダウンロードされます。

WannaCryには、他の暗号化型ランサムウェアとは異なる特徴があります。一般的な暗号化型ランサムウェアがコンピューターに感染するには、コンピューターを使う利用者の側で何らかのアクションが必要です。たとえば、不審なリンクをクリックする、Wordファイルを開いて悪意あるマクロを実行させる、メールに添付された添付ファイルをダウンロードする、などです。しかしWannaCryの場合、一切の操作を必要としません。

Re: ここまで来ると苦笑ですなWannaCry - 牛野乳太郎

2017/05/17 (Wed) 20:14:07

マイクロソフトが今回の脆弱性についてSMBv1を無効に設定する方法を公開していました。

https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

英語なので手順を説明しますと、まずはコマンドプロンプトを管理者権限で実行します。

次に以下の文字列を入力してEnterを押す。

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "SMB1" /d "0" /t REG_DWORD /f

これで無効化できます。

Re: ここまで来ると苦笑ですなWannaCry - 管理人です

2017/05/17 (Wed) 22:57:21

ありがとうございます＾＾）

Re: ここまで来ると苦笑ですなWannaCry - 管理人です

2017/05/17 (Wed) 22:58:17

ロシア、中国、イラン、北朝鮮から盗んだ核やミサイルのデータ

↑

トランプ大統領が購入するはず（爆）