ランサムウェア総合スレ Part3

1 ：名無しさん＠お腹いっぱい。(ﾜｯﾁｮｲ feb7-JU9D)：2016/05/10(火) 15:22:13.30 ID:+SrYW1HI0.net

話題のランサムウェアの情報を共有しましょう。

ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。

残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。

攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)

■前スレ
ランサムウェア総合スレ Part2
http://tamae.2ch.net/test/read.cgi/sec/1457785786/

■テンプレ
スレ立て時には本文の文頭に｢!extend:checked:vvvvv｣を入れて立てて下さい｡
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。
IPはID変更時に一緒に変わって自演防止効果がないのでIP表示スレはスルーしましょう。

---

VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured

2 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ feb7-JU9D)：2016/05/10(火) 15:22:57.75 ID:+SrYW1HI0.net

感染を防ぐ方法 (重要)
1.サポート切れのOSは使わない、サポートが継続しているOSに乗り換える。
2.アプリを常に最新版に更新しておき、WindowsUpdateもしておく。
(特に攻撃されやすいFlash・Java・Silverlight・ブラウザは要注意)

感染を防ぐ方法 (その他)
1.不審なメールの添付ファイルは開かない。
2.Flashはクリックしてから実行するように設定を変える。
4.ublock origin等で広告自体をブロック。豆腐フィルタ等の日本向けフィルタも入れる。
5.Malwarebytes Anti-Exploit等の脆弱性攻撃対策用のセキュリティソフトを追加で入れる。
6.不安ならMalwarebytes Anti-RansomwareやBitdefender Anti-Ransomwareなどランサムウェア対策用のセキュリティソフトを追加で入れる。
7.更に不安ならレピュテーション技術に対応してるセキュリティソフトに入れ替える。

3 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ feb7-JU9D)：2016/05/10(火) 15:23:24.10 ID:+SrYW1HI0.net

ランサムウェアについては海外の大手セキュリティサイトが一番情報が多いと思われる
ただし当然英語
http://www.bleepingcomputer.com/

4 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ ad17-fQUW)：2016/05/11(水) 10:12:05.82 ID:NcpsT0Zd0.net

詳しい人お願いします。
迷惑メールに添付されていた圧縮ファイルを解凍したものです。
念のため元の拡張子は.jsですが.txtに変えています。
やはり新手のウイルスでしょうか？（最初、中盤、最後に命令が書いてある）

どっとうｐろだにtxt形式で
http://www.dotup.org/uploda/www.dotup.org857510.txt.html

5 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ ad17-fQUW)：2016/05/11(水) 10:12:52.25 ID:NcpsT0Zd0.net

すいません、パスは　1　です

6 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ ad17-fQUW)：2016/05/11(水) 10:16:14.90 ID:NcpsT0Zd0.net

最近多いようなので検体として、、。

書き込み失礼しました。

7 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ dfd9-Wsqh)：2016/05/12(木) 05:19:03.73 ID:g+KMD1xf0.net

ファイル開いたらAviraに検出されてワロタ
たぶんLockyってランサムウェアをDLしてくるウイルスやね
たしかLockyは日本でも流行ってた

8 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ d317-1veL)：2016/05/12(木) 07:23:08.45 ID:IdmUj5iQ0.net

ありがとうございます。
やはりですか…。
しかしpcのメールに送るならまだしもスマホのメールに送る業者ェ、、、

9 ：名無しさん＠お腹いっぱい。 (ｻｻｸｯﾃﾛ Sp2f-XzP0)：2016/05/12(木) 11:12:02.51 ID:HXGBaY2Cp.net

>>4
検体はありがたい
まだ消さないでねー
家に帰ったら見てみたい！

10 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ d317-1veL)：2016/05/12(木) 14:25:51.02 ID:IdmUj5iQ0.net

>>9
了解です。 1MB程度、しかもカモフラージュがほとんど(だと思う)ですが…

11 ：DR120DMC10UE (ﾜｯﾁｮｲ 93f2-kZmz)：2016/05/13(金) 04:03:22.78 ID:i7H6wQYa0.net

https://www.virustotal.com/ja/file/432bc903a2894b5e96d22ffc7766f6a2c1d785c500a9cc78cebed7bed7557ff9/analysis/1463078418/
検出率: 32 / 56

三菱 VHR12JC10V1 4991348068790 と全く同じ

TDK
DR120DMC10UE
4906933604369

Pre-recorded Information:
Manufacturer ID: CMC MAG. AM3

12 ：名無しさん＠お腹いっぱい。 (ｻｻｸｯﾃﾛ Sp2f-XzP0)：2016/05/13(金) 11:40:34.94 ID:oizLTRy1p.net

>>4
これってソースだよね？
こんなソースでも.jsにして動かすとウイルスダウンロードしてくるんかな？

13 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ dfd9-Wsqh)：2016/05/13(金) 12:27:10.72 ID:oI1lTPKA0.net

>>12
LockyそのものじゃなくてJavascriptでLockyをダウンロードしてくるファイルだからな
こういう形式のほうがtxtちょっと変更するだけで検知されづらくなる
Officeのマクロウイルスが張り付けられるのも同じ理由でウイルス単体をそのまま送り付けるのは滅多に無い

14 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saaf-1veL)：2016/05/13(金) 12:28:14.02 ID:aZ4xnN4Aa.net

>>12
あ、そうですね。 カスペだとトロイとして検出されました。

15 ：名無しさん＠お腹いっぱい。 (ｻｻｸｯﾃﾛ Sp2f-XzP0)：2016/05/13(金) 13:47:42.23 ID:oizLTRy1p.net

なるほど！
詳しくありがとうございます

16 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 23a9-XzP0)：2016/05/13(金) 22:18:55.92 ID:+Zikhajn0.net

textファイルでもダウンロードすると検出されますねー
このbbbbcってのが不気味だｗｗｗ

17 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 7fec-Gh1g)：2016/05/14(土) 01:28:53.51 ID:jPLcypo60.net

今日までビッグサイトで情報セキュリティEXPOが開かれてたけど行った人いるかな？
FireEyeっていうセキュリティ業界では知らない人はいない会社の社長の講演があったけど、ランサムウェアはほとんどの場合、支払えばファイルは復号できるとの話があったようだね
ちなみに、別に支払いを薦めているわけでは全くなく、事実としてそういうことだ、という話ね


本日はマンディアおじさんの話を聴いてきましたが
https://www.ist-expo.jp/haru/seminar/#IST-S
途中「クレジットカードのセキュリティ強化により金銭目的のサイバー犯罪者たちは一昔前のカーダープラネットのようなところからランサムウェアとビットコインへとシフトしている」みたいな話があって、ああそうだなぁと思いました
ちなみにランサムウェアの身代金支払いについては「支払えばファイルは復号できる、諸々の損害額よりその方が安い」のようなことだけを仰っていて、「支払ってはならない」とは一言も仰っていなかったのが印象的でした

https://twitter.com/0x009AD6_810/status/730338622671441920
https://twitter.com/0x009AD6_810/status/730338751746973696
https://twitter.com/0x009AD6_810/status/730341191561043968

18 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 23c9-a45h)：2016/05/15(日) 17:46:03.82 ID:Uz9cgVAG0.net

>>17
三上洋も先日、同じようなこと言ってたね

「ランサムウェアがビジネス化して、信用を重視しはじめてきた」
http://ascii.jp/elem/000/001/159/1159153/index-2.html

セキュリティ業界で論点になっているのが、“ランサムウェアの被害を受けたときに、お金を支払うべきか否か？“という問題です。
（中略）
つまり、テロ行為ではなく金銭目的の犯罪なので、被害者のデータを本当に壊してしまっては意味がないんです。
先ほど解説したように、すでに仲介ビジネスと化しているので、信用が必要なのです。
ランサムウェアを作成した仲介業者からすると『お金を支払ったらちゃんと元に戻る』という風評が広まってくれたほうが都合良いわけです。
現状は変な話、ランサムウェアは信用第一になっておりまして（笑）、ほとんどの場合、お金を支払うことで元に戻っちゃいます。というわけで、このへんは論点になっていますね。
（中略）
それでもどうにもならないときは、支払うことも選択肢の1つかもしれません、ということです。
しかしながら100％元に戻る保証はありませんし、そのお金が犯罪者に渡ってしまうということも考慮に入れるべきですね。

19 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 6ba5-XzP0)：2016/05/15(日) 18:21:01.93 ID:6E9d0S0x0.net

ランサムウェアの意外な歴史といま猛威を振るう理由
http://www.itmedia.co.jp/enterprise/articles/1605/12/news006.html

20 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 6ba5-XzP0)：2016/05/15(日) 18:22:06.31 ID:6E9d0S0x0.net

ランサムウェアはなぜ流行るのか - ローリスク・ハイリターンの「儲かる」攻撃
http://news.mynavi.jp/articles/2016/04/29/ransomware/

21 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saff-O1wh)：2016/05/15(日) 18:34:58.68 ID:1wNMi06qa.net

>>前スレ999
横からだが
teslacryptの旧ver.のころはshadow explorerや、recuva+その手のを使って復旧という実例はよく見かけたが、
最近のランサムウェアでそれがうまくいったという人は、海外のforum等でもしばらくみていない
できれば実例を明示してくれないかな
それがないから前スレで何度も中途半端にリピートされてる

22 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 6fbd-2R03)：2016/05/15(日) 18:38:12.15 ID:FdF5j19p0.net

>>1
乙です
テンプレも更によくなってると思う

ただ、セキュリティスレなのにIPアドレスのことをIPなんて書いてしまってるのだけ玉に瑕だけど

23 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 6fbd-2R03)：2016/05/15(日) 18:51:32.16 ID:FdF5j19p0.net

>>21に同意
(金払うのではなく)ファイル復元ソフトを使えば元のファルが復元できると前スレで何回も書いてたが、BleepingComputerとか見てもそれでうまくいったって例を最近は(少なくともここ3ヶ月で流行ってるランサムウェアでは)、全然見ない。
そういう手でうまくいってるって例があると何度も言うなら英語でもいいからそういう例を提示してほしい。

24 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saff-O1wh)：2016/05/15(日) 19:11:34.42 ID:1wNMi06qa.net

>>21
自己レス
あったわ、それもcryptXXX
http://www.bleepingcomputer.com/forums/t/609690/cryptxxx-ransomware-support-and-help-topic-crypt-ext-de-crypt-readmehtml/page-16#entry3999723
shadow explorerはなおもまず最初に試す価値がある、ってことだな

25 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 6f2f-jzFy)：2016/05/15(日) 19:22:42.52 ID:Tg40FGZw0.net

取り敢えずデータディスクのケーブルぶっこぬいて駆除を始めようと思うんだけど
前スレで教えてもらったesetのホームページから体験版ダウンロードしようとしたら
ダウンロードも出来ないんだけどウイルスに事前に対策されたとか有るのかな?

26 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 6fbd-2R03)：2016/05/15(日) 19:55:07.79 ID:FdF5j19p0.net

>>24乙です。
とても参考になった。

が、ShadowExplorerを使ってのボリュームシャドウコピーからのデータ復元という方法は、前スレ>>999が説明してる

> 書き換えるという動作は、HDD上 AからA’ への移動＋Aのインデックスの削除
で元のファイルAはHDD上残ったままなんだよ
> だから、HDD復元ソフトを使えば、削除前つまりランサムの場合は暗号化される前ファイルが取り出せる
> 当然、あくまでHDDが空いていればの話でHDDの使用率が高いと消されたファイルの場所はどんどん上書きされていくので
復元は出来ないので、使用率の低いHDDの場合には復元できる確率が高まる

とは手法が違うよね。
999の説明は明らかにRecuvaとか(他にもいろいろあるけど)そういう復元ソフトを使ってのファイル復元のやり方を書いているから。

ボリュームシャドウコピーの方法はそれ自体が削除されてた訳じゃないので。
まぁ、新種でもXPはダメだけどVista以降ならこれをまず試して価値はあるはあるということか。

しかしcryptXXX Ver.2って時限式なのかよ。。

27 ：名無しさん＠お腹いっぱい。 (ｽﾌﾟｰ Sd1f-/3cR)：2016/05/15(日) 20:16:33.97 ID:SlJbTHvzd.net

なんのランサムウェアに感染したのかは知らないけど、そういうことをするウイルスはあるし、技術的にも簡単にできる

ほかのノートンとか試すとか、それでもだめなら他のPCでインストーラーをダウンロードするか、他のPCでLiveCDを作ってやるとかの方法かな

28 ：27 (ｽﾌﾟｰ Sd1f-/3cR)：2016/05/15(日) 20:18:33.83 ID:SlJbTHvzd.net

>>27は>>25あてだった

しかし、ケーブル抜いてるからダウンロードできないとか、そういうオチじゃないよな？w

29 ：前スレ984 (ﾜｯﾁｮｲ 6b05-8JhS)：2016/05/15(日) 20:51:12.47 ID:9EnvKaJD0.net

昼頃ノートンのLiveCDで診察、それは割りと早く終わったけど
その後のカスペルスキーのLiveCDが全然終わらん
あと5時間かかるって表示される
どうにか復旧しますように…10年以上かけて集めたデータが死ぬとか俺も死ねるわ

30 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ cbd8-Wsqh)：2016/05/15(日) 21:10:01.43 ID:5/qKCoP10.net

〜paycryptの復元はできますか？

31 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 93ec-Wsqh)：2016/05/15(日) 21:35:06.92 ID:22QJmxTy0.net

マルチになりますがクリーンインストール前に質問したいです
Trojan-Ransom.Win32.Blockerというランサムウェアに感染したファイルを除去したんですが
この感染ファイルが改竄されたとするならそれを改竄した大本フィルスのほかの実害や破壊活動は
どのような動きになるかご存知の方はいますか？実感できるのが感染ファイル書き換えしかなくて（汗
OS入れなおした後の参考にしたいと思いますのでどうかよろしくです

32 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saff-O1wh)：2016/05/15(日) 22:08:43.01 ID:1wNMi06qa.net

>>26
異なることはもちろん了解してる
でもここで必要なのは役に立つ情報だろうから
HDD/ファイル復元ソフトでいけた（いけることがあった）のは随分昔の話のはず、もし最近の例があるなら更新しときたかったが、たぶん脳内だな

33 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 6f2f-jzFy)：2016/05/16(月) 00:12:17.69 ID:82DvJDu/0.net

前スレ>>982です
途中経過を
ウイルス対策ソフトが起動すらしないと困ってましたが>>989のツールで駆除出来ました
駆除後は今まで起動すら出来なかったウイルス対策ソフトが起動できるようになったので
現在追加でスキャン中です
後はファイル復元さえ出来れば万々歳なのですが
被害が落ち着いたんでじっくりやっていきたいと思います

レスくれた方ありがとうございました

34 ：名無しさん＠お腹いっぱい。 (ｵｲｺﾗﾐﾈｵ MMdf-a45h)：2016/05/16(月) 00:35:07.34 ID:Ui4TrI5gM.net

>>31
＞Trojan-Ransom.Win32.Blockerというランサムウェアに感染したファイルを除去したんですが

これはカスペルスキーで？
検出名が汎用的な名称のように見える

＞どのような動きになるかご存知の方はいますか？実感できるのが感染ファイル書き換えしかなくて（汗

ファイルを書き換えられたのなら、ほとんどのランサムウェアの場合、拡張子が変わってと思う。（ごく一部例外はあるが）
拡張子は何に変わってる？

35 ：名無しさん＠お腹いっぱい。 (ｵｲｺﾗﾐﾈｵ MMdf-a45h)：2016/05/16(月) 00:39:53.66 ID:Ui4TrI5gM.net

>>33
>>25の人か
いまのcryptXXXなら復号ツールである程度は復号できるようなので、またうまくいったら報告してほしいな

36 ：名無しさん＠お腹いっぱい。 (ｵｲｺﾗﾐﾈｵ MMdf-a45h)：2016/05/16(月) 00:43:42.85 ID:Ui4TrI5gM.net

前スレの989は多くの人に取って有用だと思われる書き込みだったけど、前スレの最後のほうで書かれて、すぐ過去スレとなってしまって非常にもったいないので、貼り付けておく

37 ：名無しさん＠お腹いっぱい。 (ｵｲｺﾗﾐﾈｵ MMdf-a45h)：2016/05/16(月) 00:47:01.10 ID:Ui4TrI5gM.net

駆除について

・ランサムウェアは、他のタイプのマルウェアと比べて感染の事実に気付きやすくセキュリティソフトの対応も早い
　2~3日もすれば一般的なセキュリティソフトで検知できる

・cryptXXXについてはdelayをかけてる、暗号化中に気づく人が結構多いのは多分そのせい（↓にrandamly delayedとあり、62分後にstart）
https://www.proofpoint.com/jp/threat-insight/post/cryptxxx-new-ransomware-actors-behind-reveton-dropping-angler

・非常駐タイプのセキュリティソフトは、そもそもウィルス定義ファイルがリアルタイム検知用に作られてないものがかなり多くて対応は遅い
　（利用者数からしても一般的な常駐セキュリティソフトより少なく、感染者がいなかったりいても報告が遅れがち、かつメーカー側が即時対応になってないモノが多い）
　過去に使ったこともない、慣れてもいない、何に強いかも理解してない非常駐セキュリティソフトをあれこれ試して暗号化を進行させる（PCを稼動して時間を浪費する）のはバカげている
⇒速やかに電源を切って、3日後あたりに、普段使いのセキュリティソフトの定義ファイルを最新に更新して検知、が、
　駆動時間が最短（新規にセキュリティソフトを導入する時間が不要、定義ファイルも差分のみの更新で済む）で、かつラクに、ほぼ確実に検知できる方法

＊状況によりどうしても待てない人は、dr.web cureitを使え↓
　（DLは右、少し下の「個人のお客様（無料）」の『フリーダウンロード』から、xpsp2~可）
　ttp://free.drweb.co.jp/cureit/
　*個人情報云々が気になる人はオフラインで使え、というかcryptXXXはbedepと共にC2サーバーと通信する可能性があるので必ずオフラインで

（ほんとはスタートアップ回りや稼動中のプロセスでおかしいのはkill、とか書いてもいいけど初心者には通じんし調べる時間がもったいないだろうしタスクマネージャー立上げ阻害とか普通だし書いてない）
過去に書いてきたことが大部分だけど目立つので

38 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 93ec-Wsqh)：2016/05/16(月) 02:09:45.16 ID:hsid7xb20.net

>>34
返信ありがとうです
詳細は初心者スレの723で書かせていただきました(URL貼れずすいません)
検出はカスペルスキーです、検出名が汎用的というのはランサムウェアだけではないということですか？

emUninst.exe オブジェクト名:Trojan-Ransom.Win32.Blocker.hyqv オブジェクト種別: トロイの木馬
上記emUninnst.exeは5年前のエロゲのアンインストーラーなので誤検知か？と思ったのですが
3つのアンチウイルスソフトが反応しているので改竄の可能性もあるのかなと思いました

拡張子の改変は自分では見つけられませんでした

39 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 23d8-n0YN)：2016/05/16(月) 02:14:57.33 ID:MQXueIHV0.net

前スレ>>934です
現在カスペルスキーで最後のドライブを復元中です、画像やrar等の圧縮ファイルは無事元に戻っています。
動画とかも復元してほしいですが、カスペルスキーの公開された日も浅いし今後のバージョンアップか、
新しいツールが出てくるのを期待して待つしかなさそうですね。

40 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saff-O1wh)：2016/05/16(月) 09:45:17.52 ID:8oO/x0n0a.net

>>33
989だけど、おつかれ
いろいろ不明なので推測に推測を重ねることになるが、
3日~1週間程度は毎日、最新のdr.webも継続して使ったほうがいい
理由は、（何がどの程度検出駆除されたかわからんが）状況的にランサムウェアだけでなく他のマルウェアも入っていたっぽいから
最近のcryptXXXの撒き方は単独が多いようだが以前はbedepとセットだったようだし、dridex222その他本物のマルウェアの可能性も
その手のマルウェアなら、DL機能を持つファイルと本体と場合によってあと1つくらいの計2~3を検出するのが普通
全部検出駆除できていればいいが、できてなくてあとから芋づる式に追加検知することもあるから
bedepはネットバンキングマルウェアとして恐らく一番有名なzbotに分類する人がいるくらい各種passwordその他洗いざらい外部送信するし、権限の昇格など自由自在かと思うほどのpotentialがある
（先のproofpointの記事でFigure11以降がcryptXXXの機能のように書いてるが、たぶんbedepのほうのはず
もし仮に、記事になってない項目も含め全部cryptXXX側でやってるとすると、zbotがransomware機能を実装した、というくらいとんでもないことだがいずれにしろ）
まぁ基本的に一段落したらリカバリ+各種pass等変更を推奨、もしネットバンキングをしてるなら即時リカバリ+各所連絡+各種pass等変更を強く推奨
杞憂だといいけどね、正直あんな面倒なものには二度と関わりたくないし

41 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 1356-Gh1g)：2016/05/16(月) 10:38:13.14 ID:LWwuVcUP0.net

【ランサムウェアによる暗号化されたファイルを普及させる方法】

1.バックアップから復旧させる。
2.Windowsのデータ復元機能を試す。
3.データ復旧ソフトを使い、削除済みデータから復旧を試みる。
4.セキュリティ会社が出している復号化ソフトを試す。

・
・
・

最終手段. 身代金を支払う

いまのところ、考えられる復旧方法はこれくらい？

42 ：名無しさん＠お腹いっぱい。 (JP 0H2f-/3cR)：2016/05/16(月) 11:16:12.29 ID:dLFd8BU6H.net

あーぼくの2TBのエロ動画がー(´;ω;｀)

43 ：名無しさん＠お腹いっぱい。 (ｽﾌﾟｰ Sd1f-a45h)：2016/05/16(月) 12:59:49.36 ID:PlrbN/JTd.net

>>41
一番アホなのは、復号化しますって会社に金を払う事だなw

44 ：名無しさん＠お腹いっぱい。 (JP 0Hff-ZZWg)：2016/05/16(月) 13:01:06.38 ID:+8LIZvrhH.net

>>43 選択肢の一つとして間違いは無いけど、オススメは出来ないよな

45 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 4b80-etuE)：2016/05/16(月) 13:12:35.57 ID:aLG353RY0.net

https://support.kaspersky.co.jp/viruses/disinfection/8547?_ga=1.89198547.978631317.1444734495#block1
Trojan-Ransom.Win32.Rannoh の感染により影響を受けたファイルを復号化するユーティリティの新しいのが出てたよって既出？
16/05/12 21:22バージョン。

46 ：名無しさん＠お腹いっぱい。 (ｽﾌﾟｰ Sd1f-/3cR)：2016/05/16(月) 13:59:03.03 ID:ttIslHxHd.net

>>45
前スレから既出

47 ：959 (ﾌﾞｰｲﾓ MM1f-/3cR)：2016/05/16(月) 19:14:38.86 ID:Glw+5P7VM.net

>>46
1.9.1は前スレ報告しましたが
txt html mp3 動画は復元できず
ただ、今後のverアップで対応されるかも。。。つーかしてください。

48 ：前スレ984 (ﾜｯﾁｮｲ 6b05-8JhS)：2016/05/16(月) 20:05:02.09 ID:3WunQfIV0.net

スキャンが終わらない…
復元できないファイルに当たると物凄い時間がかかる
CPUもフル回転でファンがうるさいわ
カスペルスキーさんどうにかツールにのバージョンアップを…

49 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 233a-Wsqh)：2016/05/16(月) 20:23:48.99 ID:QuHMXPIk0.net

>>48
そのツールは一時停止出来ないの？
FAN回転速度指定するツール導入したらどうかな
FANフル回転とか五月蝿過ぎて辛いっしょｗ

50 ：名無しさん＠お腹いっぱい。 (ｽﾌﾟｰ Sd1f-UGpq)：2016/05/16(月) 20:36:20.17 ID:BbqOYrRCd.net

ランサムウェアの復号ツールが出ただけでも奇跡みたいなもんなのに、時間がかかりすぎるとかCPUがフル回転するからうるさいとか、何様なんだよ・・・

51 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ cbbd-Wsqh)：2016/05/17(火) 00:26:48.76 ID:UGFNszS70.net

>>48
お前みたいなのにTeslaCrypt4.0なんちゃら感染されたらよかったのになｗ

52 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saaf-yO95)：2016/05/17(火) 00:48:36.68 ID:Z/oR6Lr6a.net

ほんまやわｗ
TeslaCrypt、Locky、Cerberの犠牲者たちからしたら、そんなええもんタダで使っててなに贅沢なこと言うてんねん！
って感じやな

カスペルスキーもユーザーには10ドル、非ユーザーには30ドルくらいで売ればよかったのにｗ

53 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ cbbd-Wsqh)：2016/05/17(火) 00:55:33.09 ID:UGFNszS70.net

あとな、カルテのために容易く600万円払った病院よｗ
その600万円は新しいランサムウェアー作る研究費になってるんだぞｗ
だから複合化ツール作ってくれてるボランティア企業たちにも600万円ずつ払えよｗ

54 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 6f6a-etuE)：2016/05/17(火) 02:39:42.46 ID:SCEYO42i0.net

>>53
復旧が遅れると分単位でそれくらいの損害が発生する職場を想像できないお前は、ヤバいな。

55 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ cbbd-Wsqh)：2016/05/17(火) 03:02:12.41 ID:UGFNszS70.net

>>54
何を言ってるんだこのバカｗ
身代金の6万円でもな、かき集めたらかなりの金額になるんだぞｗ
その金で新しいランサムウェアーの開発されたら、いたちごっこになるｗ
複合化ツール作ってくれてるボランティア企業たちは後手後手に回ってるとおもうしｗ
新しいランサムウェアーの開発のスピードが加速したらボランティア企業たちですら間に合わなくなるのではｗ
それにランサムウェアーにやられた者全員が損害を被ってることぐらい知ってるよｗ
病院が支払った600万円が何に使われるのか知らないお前もヤバイよｗ

56 ：名無しさん＠お腹いっぱい。 (ｽﾌﾟｰ Sd1f-kjl4)：2016/05/17(火) 03:24:06.15 ID:Rvk6te2jd.net

言いたいことは分からんでもない。
つーか、まぁ分かる。

しかしボランティア企業、ボランティア企業って連呼してるけど、別にカスペルスキーはボランティアでツールを無償公開しているわけではない。
ビジネスの一環としてやってるだけ。そこの認識から間違ってる。

あと、複合化と何度も書いてるけど、合体させてるわけじゃない。
暗号化に対しての復号化な。

57 ：名無しさん＠お腹いっぱい。 (JP 0Hff-ZZWg)：2016/05/17(火) 09:32:32.21 ID:4iZpH7ZcH.net

>50 ランサムウェアに感染する人って山登るのにハイヒールで行くような感じだよな
自分が悪い・自分の落ち度って自覚が皆無

58 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ b758-Pwv4)：2016/05/17(火) 09:40:00.21 ID:ROA90FPl0.net

具体的な感染経路がなかなか書き込まれないのはなんか気持ち悪くて嫌だな

59 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 1380-/3cR)：2016/05/17(火) 10:17:25.85 ID:3e1GqQPj0.net

感染経路が分かる人間はそもそも感染しないんじゃ

60 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saaf-XzP0)：2016/05/17(火) 13:05:09.62 ID:uU5RHD43a.net

いまこのスレではcryptXXX V2の報告が多いけど、このランサムウェア、感染した後、実際にファイル暗号化の活動を始めるのは数時間後〜1週間後の間の中でランダムの経過時間で発動するようになってるらしく、どこからウイルスもらったのか分かりにくくしてるからなぁ

61 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ d36d-z11m)：2016/05/17(火) 15:21:37.06 ID:nCQxO0f00.net

従来どおりメール添付とエクスプロイトキットでしょ

62 ：名無しさん＠お腹いっぱい。 (ｽﾌﾟｰ Sd1f-/3cR)：2016/05/17(火) 16:27:21.40 ID:NGbD9QUXd.net

そんな大前提の話はみんな分かってる

メールだと自分で怪しいメールの添付ファイルに思い当たりがあるはずなで、そうじゃないケース、ここで報告されてるケースはほぼそうだけど、どこかのサイトから感染した、でもそれがどのかわからんって話でしょうが

まぁ上で「経路」と書いてるから、そう突っ込みたいのは分かるが

63 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ d36d-z11m)：2016/05/17(火) 17:39:04.86 ID:nCQxO0f00.net

現状で注意するべきはエクスプロイトキットの動向
そこわかって対策できてんならサイト特定とか言わんでしょ
よっぽどの暇人なら別だが

64 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saff-O1wh)：2016/05/17(火) 17:53:36.97 ID:bPPFNm7aa.net

>>24 追加　旧のcryptXXXだが、読み飛ばしてた
https://blog.kaspersky.com/cryptxxx-ransomware/11939/#comment-56523
試す順番が逆だと思うが
まぁたまたまこれだけ残ってたのか、jpgだけいけたのか、かかる手間がカスペのツールの方がラクなのか、
そもそもそのカスペのツールありきで頭がそこまで回ってないのか、知らんが（どうも最後のが当たってそうな気が）

65 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saff-O1wh)：2016/05/17(火) 18:25:24.59 ID:bPPFNm7aa.net

あとカスペのツールで.○○のファイルがダメだったとか出来なかったのがあるとか書いてる人は、もうちょっと調べたらいいんじゃないかな
向こうのforum等で、明らかに対応できてる形式だったりするし
俺の予想では2バイト文字なり文字エンコードなりの話だと思うけどね
調べて、直なり日本のカスペ経由なりで報告要望すればいいのに
困ってるという割りには、「対応して欲しい」とか「バージョンアップを待ってます」とかこんなところに書いてるさまが、
ただな〜んもせず口開けて待ってるだけの子鳥みたいにバカっぽく見えて、読むとイライラする
（ちょっと失礼か、子鳥に）

66 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ b3fa-fA30)：2016/05/17(火) 19:26:57.17 ID:Bx4kx/l70.net

ExploitKitが何かイマイチ分からない

67 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ dfd9-Wsqh)：2016/05/17(火) 19:35:29.17 ID:QMemS61A0.net

エクスプロイトとは？なぜそんなに恐いのか？
https://blog.kaspersky.co.jp/exploits-problem-explanation/8327/

68 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 0f21-tdki)：2016/05/17(火) 19:56:43.51 ID:mNiRKumD0.net

>>54
そんな状況にも関わらずランサムウェアを拾う程度のリスク管理および教育水準なら
他にも散々損害が発生する可能性を想像できないお前は、ヤバいな。

69 ：名無しさん＠お腹いっぱい。 (ｵｲｺﾗﾐﾈｵ MMdf-/3cR)：2016/05/17(火) 20:28:43.73 ID:wzEjtXjUM.net

>>67
windowsとflashとjavaのアップデートやっとけってことね

70 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 6f2f-jzFy)：2016/05/17(火) 21:17:04.91 ID:SJlkwMFJ0.net

前スレ>>982です
復旧(データの回復)まで出来たので報告
カスペスキーの復旧ソフトで回復できました
ただバージョンが違うのか前スレで書かれてたのと動作が全然違ったので軽く報告
前スレでは同じファイルで感染後と感染前のデータが必要と書かれてましたが
今回試したところ感染後のファイルだけを最初に読み込ますだけで復旧動作が始まりました

ただまだ完全にウイルスを駆除できていないようでネット接続すると
タスクマネージャ上でnotepad.exeのプロセスが増殖しまくったりと不可解な症状が発生したままです
esetも未だにダウンロード出来ず理由はftpプロトコルが何かの理由で妨害されているようです

71 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saff-O1wh)：2016/05/17(火) 22:21:57.48 ID:bPPFNm7aa.net

>>70
それアカンヤツ、明らかにbedep系のが入って（残って）いる
conhost.exeやcmd.exeは動いてないか?
http://kanae.2ch.net/test/read.cgi/sec/1421756102/175
の2の系統の新種だな
基本は>>40に書いたとおり（想像通り）だが、もっと早急な対処（リカバリ）が必要
今更遅いがflashが古いかjavaが古いままだろ?
一から環境を作り直せ、それが一番の近道
ジタバタするとどうなるかは、そのスレを読めばわかる、もう関わるのはゴメンだ
リカバリ後のアドバイスなら乗るが（これにレスしてくれ）、それ以外はスルーさせてもらう

72 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ b3fa-fA30)：2016/05/17(火) 23:04:26.09 ID:Bx4kx/l70.net

>>67
ありがとう
大雑把には分かったけど難しいな・・・

73 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saaf-1Mko)：2016/05/18(水) 00:25:08.69 ID:x8k4fz1ja.net

Bleeping Computerでも紹介されていた
http://www.bleepingcomputer.com/forums/t/608858/id-ransomware-identify-what-ransomware-encrypted-your-files/

ランサムウェアの種類を特定、現時点で復元の方法があるかどうかの確認ができるサイト、ID Ransomwareが日本語にも対応した。
https://id-ransomware.malwarehunterteam.com/index.php?lang=ja_JP

74 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ cbbd-Wsqh)：2016/05/18(水) 00:27:36.21 ID:B5fpPgVX0.net

>>70
早くリカバリしろｗ
ネットに繋ぐなバカｗ

75 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saaf-1Mko)：2016/05/18(水) 00:29:50.02 ID:x8k4fz1ja.net

なお、暗号化されたファイルをアップロードする場合は個人的な情報の含まれないファイルにすることを推奨

>>30
>>73ので確認できるかと思う。

76 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ dfd9-Wsqh)：2016/05/18(水) 00:46:47.55 ID:77XoPiRz0.net

>>73
これテンプレ入りしたほうがいいな
すげー有用

77 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 23d8-qHFH)：2016/05/18(水) 04:06:21.59 ID:hgrQ6zjs0.net

前スレ934です。
カスペルスキーのおかげで画像やzip,rarなど圧縮ファイル類は復元しました。
復元できていないファイルはtxtと動画関係（mp4,mp3,flvなど）他にもちらほらありました。
カスペルスキーのホームページのコメントとかも翻訳しながら調べましたが、
まだ有力な情報がありませんでした。（自分なりで調べた結果）
カスペルスキーにお問い合わせして聞いてみたほうがいいのだろうか。
動画が直ったーって人まだいない…よね？

78 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 233a-Wsqh)：2016/05/18(水) 10:51:59.79 ID:x+ghUmqd0.net

>>73
ぐっじょぶ

79 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saff-O1wh)：2016/05/18(水) 13:00:52.59 ID:5abeSCQEa.net

>>66
エクスプロイトキットとは？
ttp://blogs.yahoo.co.jp/fireflyframer/32707872.html

これまで目にしてきた中で、最もわかりやすかった（そして正確）のはこれ↑
一言でいえば、
『ブラウザ経由の”ウイルス配信システム”』
（そのPC内の各種脆弱性を検索検知し、見つけた脆弱性群を利用してマルウェアを送り込む）

80 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 6f2f-qx4i)：2016/05/18(水) 15:40:33.08 ID:m5Jp6jg30.net

カスペルスキーに問い合わせたなら返信結果をスレに書き込んでくれると情報共有されて皆幸せになれる

81 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 23d8-qHFH)：2016/05/18(水) 15:54:52.75 ID:hgrQ6zjs0.net

前スレ934です。
日本のカスペルスキーにメールしてみたけどまだ何も帰ってきてないです。
即答ってわけにもいかないだろうし、まだ見てないのかもしれないし。
まぁ何かわかるといいんだけどね。

82 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saaf-a45h)：2016/05/18(水) 17:22:43.64 ID:ILSmSskja.net

ランサムウェアで社内のファイルサーバが40ギガやられてもう戻せん。。
https://twitter.com/dobunezumi_/status/732802700077899776


悲惨だな。。

83 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saaf-a45h)：2016/05/18(水) 17:26:38.44 ID:ILSmSskja.net

ランサムウェアが流行っているんで感染を避けるために２ちゃんねるを見るのをやめることにした。狼板、乃木坂板、大学生活板、海外サッカー板、競馬板、その他の板のみなさん、バッハッハーイ。
https://twitter.com/deathdisco1964/status/732715738188812288


2ちゃんねるを見てるとランサムウェアに感染するらしい
みんな気をつけよう！

84 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saff-O1wh)：2016/05/18(水) 17:48:00.36 ID:2Us1FXsca.net

多くの人には通じてると思うけど、書いといた方がいいんだろうな
>>65に補足
同じ.○○のファイルで復号できたものとできなかったものがある、ということは、その2群の間に何らかの違いがあるはず
ファイルサイズとか、その他諸々
その違いを調べようとする人がいないのが不思議
いや調べてみたけどどうにもわからなかった、ならわかるけどそれを窺わせる表現も全く見かけないし
すべて貴方任せなんだな、と逆に感心する

で、向こうのforum等で、同じファイル形式で復号可/否があった、という表現は自分は一度も見かけていない
95%云々とか書いてる人はいるけどたぶん暗号化された全ファイルのうち、という意味で使ってるっぽいし

で、ここから類推できる（というか誰でも思いつく）のはまず2バイト文字・文字エンコード、と思っただけな
まその言葉の意味も知らなければ通じんのも・・・まいいか、海外製ツールだと昔からよくあることだけど若い人なんだろう
以上想像な、俺自身は感染してないから知らん

ちなみにabout 40 popular file formats云々ということは、ファイル形式によって暗号化その他の処理を変えていることを示唆しているわけで、
個人的にはむしろそこに関心があるんだけどその40さえ最初に公表しとかないカスペとしては、犯人側に余計な情報を与えたくないのか同業他社にか別の事情か、
まぁ明らかにされることは少なくともすぐにはなさそうだ

85 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saaf-1Mko)：2016/05/18(水) 20:15:52.06 ID:ILSmSskja.net

>>84
＞ファイルサイズとか、その他諸々
＞その違いを調べようとする人がいないのが不思議
＞いや調べてみたけどどうにもわからなかった、ならわかるけどそれを窺わせる表現も全く見かけないし

そもそもIT/PCリテラシーの高い人はランサムウェアにもそんなに感染しないんじゃない？

IT/PCリテラシーの低い人が感染してるケースが多い

まぁ、当たり前のことなんですが

じゃあ、そのIT/PCリテラシーの低い人がそういうことが出来るのか？というと難しいでしょう

そういうことが出来る人はそもそも感染しづらいでしょう

...という鶏が先か卵が先かという話になってしまう

84氏は非常に優秀な人だと思うけど、ここは感染してから駆け込む被害者
（そういや英語ではvictimという言葉をよく使うけど日本語ではウイルス関係ではvictim的な用語はあまり使われないね、ただ感染者という言い方が多いような。なんでだろう？）
が多いので、自分と同等レベルを要求するのは正直酷かと

86 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 7fec-TKH1)：2016/05/18(水) 22:44:28.90 ID:JSqo7BNO0.net

ランサムウェア Petya & Mischaに感染してみました。
http://csirt.ninja/?p=554

ユーザーアカウント制御で、「変更を許可しますか？」で「はい」を選択するとドライブ丸ごと暗号化（実際にはMBRか）
「いいえ」を選択してもユーザーファイルの暗号化

おっそろしいなぁ。
書かれてないけど、万が一こうなったら、どちらか選ぶ前に電源落としたらいいのかな。

87 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Saff-O1wh)：2016/05/18(水) 22:49:49.35 ID:qLToa3oKa.net

>>85
いや単に、
・「2バイト文字」「文字コード」が通じてない
・(自分のファイルを)「調べる」の意が伝わらず「世間の情報を検索する」と解釈された
の2点にショックを受けた、というだけなんだけどね
確かに1つ目が意味わからなくて65のその行を読み飛ばせばそう解釈されるか、と感心した、ということ
IT literacyとか関係ない
必死なら、意味がわからなければ2バイト文字やコードくらいすぐ検索して理解できるだろうし、
もう面倒だからついでに書いちゃうけど向こうではmp3やdocも復号できてるのに何が違うんだろうとかさ、
（いかにも文字コードとかタイトル名とかありがちな引っかかり方しそうだし）
こことあっちの全部のファイル形式を付き合わせたわけじゃなく斜め読みでも「あれ?」と気づくわけ

所詮ここ2chだし、しかもヒトゴトなんだけどね、大げさに聞こえるかもしれないけど、
日々生きていく中での姿勢が根本的に違うんだな、と
かたや本人たちなりに一生懸命「調べて」て、
こちらは淡々と書かれてる内容を見てちょこっと頭ひねってみたり、とね

カスペにいったいどんな問合せをしたんだろう、とかゲスな興味もあったりなかったり
書かれたところで読む時間もムダと最初からわかってるが

ま失礼
これきりにして、
また基本ロムって、気の向いたときに情報貼ったり貼らなかったり、に戻るよ

88 ：名無しさん＠お腹いっぱい。 (ｽﾌﾟｰ Sd1f-Z1aV)：2016/05/18(水) 23:08:54.87 ID:IYzuEntId.net

なにもそんな難しい話しじゃない
感染した人はとにかくさっさとファイルを復元する方法を知りたいんだよ

89 ：名無しさん＠お腹いっぱい。 (ﾜｲﾓﾏｰ MM28-WK80)：2016/05/19(木) 07:52:49.23 ID:UWCviRYAM.net

>>73
ここに書いてあるID Ransomware やってみた。
cryptxxx, cryptxxx 2.0, chimera の３つが表示された。
crypt系は復号可能、chimeraは復号する方法がありませんとの記載。

そしてカペルスキーのRannohDecryptorを実行。
(同じ拡張子でも)復号されるものとされないものがある。(まだ実行中)
日本語のファイル名のやつも復号されているものがある。

復号されるものもとされないものの違いがわからず。

90 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 32ec-V4Zo)：2016/05/19(木) 09:15:15.08 ID:FV++SqyS0.net

>>89
3種類ものランサムウェアに感染した（していた）ということですかね？

91 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Sade-bIUC)：2016/05/19(木) 13:01:51.91 ID:Fuvq8+9pa.net

TeslaCrypt shuts down and Releases Master Decryption Key
http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/

ビッグニュースなので上げるよ
ちょっとまだ頭しか読めてないけど取り急ぎ

92 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Sade-bIUC)：2016/05/19(木) 13:23:48.10 ID:Fuvq8+9pa.net

>>91
eset版
ESET releases new decryptor for TeslaCrypt ransomware
http://www.welivesecurity.com/2016/05/18/eset-releases-decryptor-recent-variants-teslacrypt-ransomware/

93 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ d305-0eWo)：2016/05/19(木) 13:44:30.53 ID:PTD+5Ne70.net

http://techtalk.pcmatic.jp/20160519125554/
ファイルが救えそう？

94 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Sab5-7Gsa)：2016/05/19(木) 14:28:23.23 ID:nS3ZMbrta.net

英語が全然読めない人向けに簡単に。

TeslaCryptの開発者が自主廃業を決意

すみませんでした、とサイトにマスター復号キーを掲載！

これによって（身代金を払う以外に）不可能だったTeslaCrypt 3.0 4.0にやられたファイル復号が可能な状態になる

現在、これを利用したTeslaDecorderの新バージョン、ESETの復号ツール等、複数の復号ツールがリリースされている状況

95 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 32ec-V4Zo)：2016/05/19(木) 14:37:26.10 ID:FV++SqyS0.net

>>91
GJです！！
素晴らしい

96 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Sade-bIUC)：2016/05/19(木) 14:45:29.83 ID:1U7ZPkvUa.net

>>91
TeslaCryptによって暗号化されたファイルの復号手順メモ | (n)inja csirt
http://csirt.ninja/?p=589

97 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ e662-xKv1)：2016/05/19(木) 15:23:18.74 ID:KjSzWy1h0.net

「偽Windows Update発動→アップデート失敗→偽公式サポートへ電話」のフルコンボで金銭を要求する巧妙な新型ランサムウェアに注意
http://gigazine.net/news/20160519-windows-update-scam/

98 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ d3e0-7Gsa)：2016/05/19(木) 17:52:18.94 ID:jndgrcxo0.net

Lockyに感染した。身代金払うんでレポートしようか？

99 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ 5bbd-xKv1)：2016/05/19(木) 19:52:23.11 ID:uG9KZKhb0.net

TeslaCryptってマジ！
しばらく様子見てから複合化してみるけど
エロ動画捨てて業務用データや家族の画像にも被害が出て
髪の毛薄くなって病気が悪化したぐらいだ
でも複合化できるのなら許すことにする

TeslaCryptの開発者よ
改心してもうこのような悪さはしないでくれ

>>98
レポートお願いします

100 ：名無しさん＠お腹いっぱい。 (ｱｳｱｳ Sade-bIUC)：2016/05/19(木) 20:57:07.89 ID:k4CkADzJa.net

>>91
「ごめん！」TeslaCrypt開発者が復号キー公開 - 無償復号化ツールも登場
ttp://www.security-next.com/070038