マルウェアなんでも雑談掲示板 842778


ランサムウェア

1:管理人です :

2020/10/19 (Mon) 04:51:10

https://www.pref.ibaraki.jp/kenkei/a01_safety/cyber/topics/05_virustaisaku.html

引用)



「システムの復元」機能の利用
WindowsVista以降のWindowsOSでは「システムの復元」機能が実装されており、これを利用して復旧できる可能性があります。


----------------



期待しないほうが、良いと思いますけどね。

というのも管理人が掴まえたランサムウェアに関していうと、Windows OSの機能であるシステムの復元機能で作成された『復元ポイント』そのものが、見事に木っ端微塵に破壊されていたからです。



あくまでも『ダメ元』でシステムの復元をしてみるのは、良いことかもしれませんが確実性は0です。
2:管理人です :

2020/10/19 (Mon) 04:51:45

https://www.nomoreransom.org/ja/index.html

ご参考まで

3:管理人です :

2020/10/19 (Mon) 04:55:28

https://freesoft-100.com/review/sandboxie.html

webを覗き見する場合は、仮想化してから。

メールを開封する場合も仮想化して開封などすれば、万が一の場合でもリスクを大きく回避できます。メールが送られてきてURLが貼り付けられており、つい『うっかり』クリックして飛ばされてしまうことも有り得るでしょう。

4:管理人です :

2020/10/19 (Mon) 04:59:24

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて

https://www.ipa.go.jp/security/announce/20191202.html



悪意のあるOffice文書ファイル(WordやExcel等)



「編集を有効にする」「コンテンツの有効化」というボタンはクリックしないよう注意してください(図3)。
5:管理人です :

2020/10/19 (Mon) 05:33:38

メールの添付ファイルを通じて感染するマルウェア「Emotet」の被害が止まらない。手口を変えて人をだまし、形を変えてセキュリティ対策をかわし続ける。「不審なメールは要注意」という従来の常識だけではもはや通用しない。怪しく見えないメールにも警戒が必要になったと専門家は指摘する。

https://www.itmedia.co.jp/news/articles/2010/15/news058.html

6:管理人です :

2020/10/19 (Mon) 05:39:32

https://japan.zdnet.com/article/35161046/

当然ながら、そのためには「編集を有効にする」ボタンをクリックしなければならないとしているが、決してクリックしてはならない。
7:管理人です :

2020/10/19 (Mon) 05:41:28

パスワード付きzip添付ファイル



これをバラ撒いてますよ

要注意


https://www.security-next.com/119360
8:管理人です :

2020/10/19 (Mon) 08:01:12

https://kakaku.com/item/K0000357665/



3.5インチのHDDを組み合わせて、バックアップしてください。これがもっとも効果的な対策です。



ランサムウェアに感染したら、四の五の言わずにPC自体に関しては「OSを新規入れ直し」。

問題はデータがランサムウェアに破壊され失ってしまったことでしょう?

でもバックアップを取っておけば、バックアップからデータを復元できるんですから。

https://gigazine.net/news/20200212-backblaze-hard-drive-stats-2019/
9:管理人です :

2020/10/19 (Mon) 20:59:27

https://www.lac.co.jp/service/securitysolution/falconnest.html

無料解析サービス

10:管理人です :

2020/10/19 (Mon) 22:13:19

https://www.cybereason.co.jp/blog/cyberattack/3613/

引用)




Ryukのバイナリでプロセスのインジェクションに使用される関数

このケースでは、インジェクションされたプロセス、taskhost.exeは、マルウェアが投下したバッチファイル(C:\users\Public\window.bat)を実行します。このファイルでは、vssadminを複数回使用し、いくつかのコマンドを削除します。

その目的は、構成を変更しその後にVirtual Shadow Copyを削除することにあります。vssadmin.exeはコマンドラインのツールで、Volume Shadow Copy Service(VSS)を管理します。VSSは、実行されているシステムのバックアップをするために、安定したイメージをキャプチャおよびコピーします。

ランサムウェアは通常、ファイル本体を暗号化する前に、vssadmin.exeを使用して、シャドウコピーなどのファイルのバックアップを削除します。重要なファイルを暗号化されてしまい、その暗号を解除することも、VSSからファイルを復元することもできなくなったユーザーは、暗号を解除するために身代金を支払わざるを得なくなるのです。
11:名無し :

2020/10/28 (Wed) 11:50:42

emotetに自社のPCが感染し、メールが数百件くるようになってしまったのですが、とめる手立てはないでしょうか。取引先にもくるようになり困り果てています。
12:管理人です :

2020/10/28 (Wed) 13:07:48

名無し様


お気の毒です。現状ですが

1)自社PCが感染しているという現状と
2)取引先にも害が拡大していると。



------------------------
結論からいうと、Securityの専門企業に解決を依頼するべきだと考えています。その理由なのですが、小手先のEmotet退治を企業レベルでやってしまうと、【どうして感染したのか?】【感染ルートは?】【現在の感染の汚染の拡がり具合】の【全て】の証拠を消してしまうことになるのです。


感染したルート、状況をウイルス対策ソフトなどで退治してしまった後でSecurity専門企業に相談しても、感染源、感染ルートを追跡できない+分析できないという【最悪】の事態を招きます。


名無し様

自社PC感染といいますが、サーバー、クラウドを含め【ネットワークのすべての領域】に汚染が拡大したはずです。ウイルス対策ソフトなどで退治しても、なんの意味もありません。


費用は掛かります。お気の毒だと思いますが、小手先の解決策は【結局、さらに高いコストを払うことになる】ことを、ご理解ください。企業活動における感染ですから、Security専門企業に速やかに連絡し、助けを求めてください。





いま、すぐできること。


名無し様の企業規模が分かりませんので、なんとも言えませんが。業務で使っているPCが【例えば】10台程度というのであれば?


そのPCを【全部】ネットから切り離して、ネットに繋がないでください。今すぐ、ネットから切り離してしまえば効果はあります。


その上で【中古】で構いませんから、新しいPCを用意し【暫定】的にネットに繋ぐ。外部とのやり取りは、この感染後に【新しく調達】してきたPCでやり取りしてください。

新しく調達してきたPCに関しては、この検査ツールでEmotet感染有無をチェック

https://github.com/JPCERTCC/EmoCheck/releases

64ビットなのか、32ビットなのかに注意してダウンロードし検査を。


新しく調達したPCに関しては、マイクロソフトOfficeのマクロ機能自動実行をOff設定にすることが必須です。


***

さて、感染したPCに関して


https://www.lac.co.jp/service/securitysolution/falconnest.html

検査自体は【無料】です。


PCのすべてに関して無料検査を受けてみて、感染が確認できた段階でlacに問題解決を依頼する。

名無し様の企業規模が不明ですが、【取引相手】からの信用を失う深刻な状況ですから(すでに相手企業に害が及びつつある現場)、費用は掛かりますがlacなど実績あるSecurity企業に速やかに相談を。








13:管理人です :

2020/10/28 (Wed) 13:12:21

Emotetですが、現時点では【名無し様】の会社のPCから、情報を盗み出し(メルアド、パスワード、ブラウザ情報などなど)、取引相手にも攻撃メールをバラ撒いている段階でしょう。


しかし、攻撃はその程度では収まりません。速やかに対処しないと【次は」ランサムウェアを送り込んでくる可能性があります。ランサムウェアに感染すれば、企業の重要なデータはすべて暗号化されすべての情報を失う危険が高まります。


さらに言えば、名無し様が使うメールアドレスが盗まれており、名無し様に【なりすまして】取引相手にも攻撃メールをバラ撒いている状況ですね?相手企業にまでランサムウェアなどが送りつけられることになれば、相手企業も情報を暗号化されて、一切の価値ある情報を失うことになります。


取引相手からの信用を失ってしまいます。


費用は掛かってしまいますが失ってはいけない取引相手からの信用を維持するためには、Security専門企業にすぐに相談を。


急いでください。
14:管理人です :

2020/10/28 (Wed) 13:21:02

名無し様


とりあえず。


感染時にネットに繋がっていて業務で使っていたPCは【全部】ネットから一旦、切り離してください。



2)

感染していない新しいPCを急いで調達(暫定的に、中古PCでも構いません。感染していなければ)。

その新しい(感染していない)PCで、悪用されているメールアドレスの【パスワード】を急いで書き換えてみてください。


いいですか?

感染したPCでパスワードを書き換えるのではなくて、【感染していない】新しいPCでパスワードを書き換えるのです。





名無し様のメールアドレスが悪用されて取引相手に、攻撃メールが送りつけられている場合もあります。しかし、実は、もう一つ【名無し様のメールアドレスによく似た】メールアドレスを作って偽装して送りつけている場合【も】あるんです。



見分け方などもありますが、今、そんなことをやっている場合じゃない。

まず、新しいPCを1台でOKですから調達し、メールアドレスのパスワードを【書き換え】。


15:管理人です :

2020/10/28 (Wed) 13:24:40

感染時、ネットに繋がっていたPCは【全部】初期化せねばなりません(それ以外に、安心できる解決策はないからです。



でも、本件はそれだけでは解決しません。企業ですから【サーバー】などを含め関係ネットワークの領域に【すでに汚染は拡大した】と考えるべき。そうなると、末端端末に過ぎないPCを全部【初期化】したところで、なんの意味もないのです。


サーバーなども含めて安全を確保するには、Security専門企業に解決を依頼する以外、安心できる解決策はありません。


16:管理人です :

2020/10/29 (Thu) 11:47:12

名無し様


誤解があるといけないので補足致しますが、新しく調達する中古PCってのは【1台】で十分なんです。


必要台数すべて揃えるという意味ではありません。今、緊急事態ゆえ既存PCはネットから切り離し攻撃者から【これ以上の】命令指示を既存PCが受けないように、物理的にPCを稼働させないようにするという意味です。既存PCはネットを経由して、攻撃者の攻撃サーバーに直結させられており、攻撃サーバーから命令を受けて動くように変質してしまったわけですね。



ですから、既存PCをすべてネットから物理的に切り離してしまえば、攻撃サーバーからの指示を受けることができなくなるんです。意味、分かりますか?


2)その上で、中古で構いませんから1台、無感染であることを確認の上でネットに繋ぎ【メールアドレス】のパスワードを書き換えてみるのです。メールのバラマキが一旦消えるようであれば、パスワード書き換えには効果があったことになりますね。


とりあえず、できることは【それ】なんです。



それ以上はSecurityの専門対策企業に解決してもらってください。サーバーを利用しているようであれば、サーバーを含め全領域に汚染は拡大しており【素人】では解決はできません。

17:管理人です :

2020/11/03 (Tue) 13:57:12

さて、その後、どなったんでしょうね?


悪戦苦闘されているかと思いますが。




企業規模が不明ですからなんともいえませんが。例えば個人商店規模であり、端末PCが2台程度+サーバー不使用+クラウドも不使用、というような利用環境であれば。

PCは完全に初期化(中途半端は不可)

モデムルーターの類はSecurity更新し、パスワードを書き換え


悪用されているメールアドレスに関しては無感染PCからパスワードを書き換え、SPAMが停止するか?を見極める。




しかしPCの台数が10台を越え+サーバーを立てている、なんてことになると話は逆転します。末端PCを初期化しても、全く意味がない。サーバーに汚染は拡大したと考えるべきであり、こうなるとSecurity対策企業に相談し抜本的な解決を図らねばなりません。


『被害に遭った相手企業』への損害賠償も視野に入れると、迂闊にPCを初期化したりできません。どのように感染したのか?を含め、『検証結果』を相手企業から求められる場合があるからです。感染はしたけれど、これまで十分な対策(考えうる限りにおいての)を講じてきたのだということを証明できれば、賠償不問、または減額されるなどなど、大きな意味が発生するからです。


だから企業PC、企業サーバーが汚染した場合に『ウイルス対策ソフトなどで迂闊にマルウェアを退治してはいけない』ということになるのです。



-------------------
ところで『感染した場合に』

emotet攻撃を100%ブロックできるウイルス対策ソフトはありませんが『でもね?』

今、使っているウイルス対策ソフトは対処できなかったんだから『他の』ウイルス対策ソフトに切り替える、って考え方には一定の説得力があるんです。





  • 名前: E-mail(省略可):
  • 画像:

Copyright © 1999- FC2, inc All Rights Reserved.