ランサムウェア総合スレ Part5

1 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 15:31:04.51 ID:yhnq7ZSF0.net

話題のランサムウェアの情報を共有しましょう。

ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。

残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。

攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)

■前スレ
ランサムウェア総合スレ Part4 [無断転載禁止]©2ch.net
http://tamae.2ch.net/test/read.cgi/sec/1468625700/

■テンプレ
スレ立て時には本文の文頭に｢!extend:checked:vvvvv::｣を入れて立てて下さい｡
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。

---

VIPQ2_EXTDAT: checked:vvvvv:1000:512:----: EXT was configured

2 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 15:39:55.53 ID:BlGEmOIkd.net

>>1
乙です

3 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 15:43:23.29 ID:1QJXsF390.net

>>1
乙
vvvvvですねGJ

4 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 15:45:28.92 ID:BlGEmOIkd.net

WannaCryのまとめページ

http://d.hatena.ne.jp/Kango/20170513/1494700355
(一番詳しくまとまってる)

https://blog.kaspersky.co.jp/wannacry-faq-what-you-need-to-know-today/15594/
(Kasperskyのまとめ)

5 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 15:55:56.80 ID:/iydlf1n0.net

今回の攻撃で使われたのは
NSAから4年前に盗み出されたツール
つまりWindows10には通用しない

去年の強制10アップデートは結果的に正しかった？
てか、Microsoftはこの脆弱性（の外部流出）を知ってたからムリヤリ10にアップさせようとしてたんじゃ…

6 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 16:02:02.08 ID:RMpCWe3R0.net

ランサムウェア対策まとめ(日本語)
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
感染したランサムウェアの特定サイト
https://id-ransomware.malwarehunterteam.com/index.php?lang=ja_JP
Bleeping Computer Ransomeware Help
http://www.bleepingcomputer.com/virus-removal/threat/ransomware/
Ransomware Overview
https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#
セキュリティベンダーのファイル復号ツールの紹介
https://blogs.yahoo.co.jp/fireflyframer/34185038.html

7 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 16:03:40.27 ID:RMpCWe3R0.net

>>1
GJでした！

8 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 16:18:06.43 ID:BlGEmOIkd.net

Cybereason、ランサムウェア対策ソフト「RansomFree」を無償提供 〜「WannaCry」対応
イスラエル軍でサイバーセキュリティに携わったメンバーらによって開発
http://forest.watch.impress.co.jp/docs/news/1060585.html

9 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 16:35:50.92 ID:pli//tvH0.net

以前こう言うフリーソフトを落として感染したからもう信用しない

10 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 16:42:30.17 ID:NP3ohchXr.net

>>1 乙

11 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 16:44:20.31 ID:czl7dxpja.net

>>5
Shadow BrokersがNSAから機密情報を盗み出したのは去年の8月のことで、4年前じゃないぞ
スノーデンと勘違いしてないか？

12 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 16:55:52.42 ID:ea1Q49SUr.net

せやな

13 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 16:59:05.07 ID:5Rf/SA9Z0.net

OSを再インストールする際にWannaCry用のパッチを当てていない状態でインターネットと接続し
て認証しないといけないですがその際に感染することは無いのでしょうか。ルータ経由で接続し
ていれば別に問題ないのでしょうか。

14 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 17:13:33.72 ID:LYMbXLxJ0.net

>>13
ルーターかましてれば大丈夫

15 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 17:34:36.02 ID:l6pfKOPM0.net

KB4012218とかKB4012225とかは今回のランサムウェア対策には有効なの？
一覧には書いてないけど
どれもロールアッププレビュー（オプション）らしいけど

16 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 17:35:41.68 ID:l6pfKOPM0.net

訂正KB4012225→KB4015552

17 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 17:42:12.09 ID:1QfdoKcOa.net

>>14
IPv6だとルータでインバウンド許可してしまってるとアウトでは？

18 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 17:56:57.31 ID:+/ftkVyS0.net

https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d
メモリ上を走査してWannaCryが使ったRSAの鍵らしき素数を見つけて復号
感染即実行なら成功確率高いかもね

19 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 18:15:45.10 ID:QHjbhu4nD.net

多分警戒し過ぎなんだとはおもうけど今回の騒ぎと時を同じくして
外部といってもアメリカなんだけど侵入が500回/分とかスゴい試みられてたんだよね
何となくどうしてもWindowsを使わなくていいならAndroidかiOSで済ませちゃう自分がいる

20 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 18:51:50.46 ID:ydp2zXVm0.net

前スレ>>993

> 993名無しさん＠お腹いっぱい。 (ｱｳｱｳｶｰ Sa5b-hKny [182.249.244.32])2017/05/19(金) 15:06:22.83a
> >>992
> これってMalwarebytesやBitdefenderのAnti-Ransomwareみたいに既存のアンチウイルスソフトと共存できるタイプなのかなぁ？


出来るよ。
アンチウイルスの他にMBARWやBitdefender Anti-Ransomwareも一緒に入れてるけど問題は起こってない。

21 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 19:38:49.90 ID:dx0dtMFj0.net

データ保管しバックアップはあるのだから大丈夫なはずだけど元に戻す労力たるや考えるだけでぞっとする
万が一にも浸食されて大丈夫な方で様子見

どうやってPC内に侵入するのか、潜伏期間はどの程度なのか
本当は既に侵入されているんじゃなかろうか
不安におもうだけ無駄なんだろうけど

22 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 20:51:07.59 ID:BRznXZL8a.net

>>20
そうなんだね、ありがと

https://japan.techrepublic.com/article/35097837.htm
でも評判悪くないみたいなので入れてみるわ

23 ：名無しさん＠お腹いっぱい。 ：2017/05/19(金) 23:15:14.99 ID:q/SEUbDi0.net

楽をしたい情シスは
鉄壁系のアプリケーションコントロールか
デバイスガード、サイランスがええね
シグネチャ型は枕を高くして眠れないってのが今回の感想
個人はハッカーの攻撃対象から外れたMacで対岸の火事ってのが気楽

24 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 00:40:22.44 ID:J6csesFB0.net

macって本当に安全なのか？
windowsマシンとつないでいて感染した外付けHDDを
新たにmacマシンに接続した場合そこから感染するのでは？

デザイン事務所などでドライブ共有していることもあるし

25 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 00:48:07.54 ID:CN6Rmd1dd.net

>>24
いやいやいや、、そのレベルの質問ならさすがに知恵袋とかで聞いてくれ

26 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 00:49:07.42 ID:LHtOJLGQ0.net

https://news.infoseek.co.jp/article/19reutersJAPAN_KCN18F06J/
大規模サイバー攻撃、旧ウィンドウズの感染拡大は限定的＝専門家

>「ウィンドウズ７」への被害が全体の６７％を占めた。最新ＯＳ「ウィンドウズ１０」への被害は１５％。
>残りは「ウィンドウズＸＰ」や「ウィンドウズ・ビスタ」などの古いバージョンだった。

27 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 00:55:44.81 ID:iEkStp5c0.net

Windows10ってEternalBlue/DoublePulsarは効かないはずだから
自分で実行したお馬鹿さんが相当数いたってこと？

28 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 01:19:41.35 ID:EaJ/bxft0.net

一番多いのは今も昔もヒューマンエラーだから

29 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 02:17:16.63 ID:iEkStp5c0.net

感染マップhttps://intel.malwaretech.com/botnet/wcrypt/?t=24h&bid=all

30 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 03:09:49.69 ID:LMFa8OVj0.net

前スレで malwarebytes anti-ransomware お勧めあったからＤＬして
入れようとしたら Unchecky 先生が警告メッセージ出してきたから
インストールするの止めた

31 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 03:18:16.25 ID:lXDdFq+d0.net

>>30
おすすめはネタだぞ
http://tamae.2ch.net/test/read.cgi/sec/1468625700/282-283

32 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 03:38:10.94 ID:ZfMje9r50.net

これならどうよ？
ttp://forest.watch.impress.co.jp/docs/news/1060585.html

33 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 04:38:21.93 ID:m3ejezNj0.net

>>32
入れてみたけど何も起きないな
大丈夫みたいだ

34 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 07:58:27.48 ID:YwM52bjRa.net

前スレの>>988って感染したパソコンをその変の公衆無線LANに繋げたらアウトってことはそこに繋げてる他のパソコンも死ぬのか？

それか感染したパソコンを親機にして誰でも繋げれるようにすればそこに接続したパソコンはみんな感染するん？

35 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 08:35:51.99 ID:wobIaXxU0.net

まず今回のWannaCryはWindws10以前のosは感染するけどwin10は発動しない、亜種が出てくれば別だけど
それとは別のリスクでファイル共有の脆弱性に関してはうpデートして無い&未知のウイルスだと死ぬ
現時点でosのうpデートしていればファイル共有の脆弱性からの感染は無いけど実行ファイルを叩けば当然感染する

36 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 08:56:45.80 ID:syK2Xrq6a.net

>>34
まともな公衆無線LAN事業者がやってるようなサービスだと、（ルーターメーカーによって若干呼び方が違うけど）プライバシーセパレーターの機能があるので、普通はそういうことにならない
http://faq.buffalo.jp/app/answers/detail/a_id/16054/c/1109

個人喫茶店で、マスターが普通のコンシューマー向け無線LANルーターをお店で使ってるようなのは知らんけどな

37 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 09:08:07.25 ID:b7pg0csca.net

>>36
なるほど
分かりやすくありがとう

38 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 09:19:16.58 ID:5b3QXHnT0.net

なんかWanaCryは脆弱性のあるPCがネットに繋がった時点で感染するらしいね
今後感染しないかどうか心配してる人は現時点で発症してなかったら大丈夫そう？

39 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 09:23:26.70 ID:g1UmaGjka.net

>>38
ルーターがある環境なら大丈夫だって

40 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 09:28:37.03 ID:46ZS9OKra.net

>>34
前者

41 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 09:31:05.21 ID:avPWAoI5a.net

>>40
平気で嘘を書くなよなー

42 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 09:38:48.13 ID:PpRu2vfDr.net

>>34
脆弱性の滞在してるマシンではそうだよ

43 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 09:39:12.92 ID:PpRu2vfDr.net

失礼、内在の間違え

44 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 09:54:38.15 ID:Y8YfAdm00.net

>>34
てめーでインストールしているセキュリティソフトにファイアーウォールとかあるだろうが
公衆LANに繋ぐと普通は自動で何処につないだのか？聞いてきて、答えるだけでポートのセキュリティ設定してくれるわな
Windowsにもファイアーウォールがあるから、自分で全ポート遮断設定しておけば、どこのLANに繋ごうとも勝手に感染などしないわ
てめーの内部からインターネットとかにアクセスした場合は、ランダムにポートを使ってアクセルしているから、
その待ち受けているポートに対して一定時間内に攻撃がされなければ、ハッキングなんてされない仕組みなんだよ
初心者はルーター越しにパソコンを使っているのなら、サーバー設定なんてどうせ出来ていないんだから、
無駄な心配なんてすることはない
WAN側からのパケットなんて、自分からアクセスしない限りルーターで全部遮断されているっての

45 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 10:52:30.32 ID:+sgsiupqM.net

個人に関していえば、
・動画配信してるヤツ
・スマホから、自宅PCへ接続して動画とか見られるようにしてるヤツ
・ゲーマー
でかつポート開放なにそれ?レベルの人が感染してるんだと思ってるが

46 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 12:48:52.51 ID:m3ejezNj0.net

ルーターがあるからまず大丈夫なんだとして
タブレット型でLTEのSIMさせる奴あるけどあの通信はアウトなの？

47 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 12:54:41.63 ID:AbZ5sPXu0.net

10年来ADSLなんだけど不安になって確かめたらファイル共有関連のポートはデフォルトでは開放！になってたよ
メタルの人は要チェックだね

48 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 12:56:15.01 ID:3BadTlfxx.net

>>46
感染例はあるらしい
モデム直結と同じだから更新や設定してなければ当然と言えば当然か
http://news.mynavi.jp/news/2017/05/18/289/

49 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 13:22:41.68 ID:Gk1MbxuBa.net

>>46
Windows7なら、Windowsファイアウォールがパブリックプロファイルになってるなら大丈夫なはず

プライベートプロファイルになってるなら感染する可能性が高い

http://www.atmarkit.co.jp/ait/spv/1003/18/news097_2.html

50 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 13:33:16.53 ID:vrm1h307M.net

LTE回線で全ポートを確認したが、オープンになっているポートはないからその記事の内容はウソだな
そもそもが、ファイル共有などもやらしてくれないからな

51 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 13:37:44.18 ID:Gk1MbxuBa.net

>>50
だから、Windowsファイアウォールなりセキュリティベンダーのファイアウォールなり、それらの設定次第ということでしょ >>49

52 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 13:43:26.28 ID:Y8YfAdm00.net

>>51
LTE回線では、キャリアそのものがそもそもポートを開いていないから<
パケットが445ポートに到達しないんだよ

53 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 13:46:04.91 ID:Gk1MbxuBa.net

>>52
あー、そうなの？
moperaとかでもそうなんだっけ？

54 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 13:47:57.49 ID:Y8YfAdm00.net

そう思っているのなら、テザリングで繋いでおいてリモートデスクトップとかを試してごらんよ

55 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 13:54:24.21 ID:Gk1MbxuBa.net

>>53 に自己レス

やはりmoperaの特定APで制限なしのようだ

http://www.drcom.co.jp/support/tec/105

mopera Uでは、本サービスを適用しない、フィルタリングフリーアクセスポイントをご用意していますので、万が一ご利用になれないアプリケーション等があった場合には、お手数ですがフィルタリングフリーアクセスポイントをご利用ください。
フィルタリングフリーアクセスポイント：open.mopera.net
https://www.mopera.net/service/option/internet/packet_filter/index.html

56 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 13:58:52.68 ID:Gk1MbxuBa.net

>>54
へ？テザリング？？
テザリングだとスマホがルーター化してるからそれじゃなんの検証にもならんのだよ
テザリングしてる時、複数のデバイスが繋がるだろう？

今いってる話は>>46や>>48があえてSIM内蔵PCの話をしてるってことの意味が分からなかったのかい？

57 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 14:20:38.66 ID:Y8YfAdm00.net

>プロバイダをSPモードからmoperaUに変更し、プロバイダーによって445番ポートをブロックしている

なるほどね
moperaUを使っていて、プロバイダーがポートをブロックしていない条件ね！
だとすると、
大抵のプロバイダーはポートのブロックはしていないから、moperaUでファイル共有とかを使っている人限定かな

58 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 14:23:47.08 ID:Y8YfAdm00.net

>>56
ネット経由でのリモートデスクトップだよ
プロバイダーなどがサポートでリモート操作とかするだろ

59 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 14:36:07.91 ID:bgFkTOTVa.net

>>44
そっか
理解出来た
ありがと
アクセル

60 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 16:13:19.07 ID:1fP8yjIO0.net

Regeditでsmb1無効化にして再起動しても
sc.exe qc lanmanworkstationで調べると
MRxSmb10が残ってるんだがなんでだ
値のデータも0になっているのに

61 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 16:41:14.88 ID:1fP8yjIO0.net

解決しました
1を停止させたら以後有効化しなくりました

62 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 17:45:46.60 ID:hFPtxlBD0.net

誰が何のために？--マルウェア「Wannacry」で残る3つの謎
https://japan.zdnet.com/article/35101453/

大規模サイバー攻撃、専門家を悩ませる「奇妙な謎」
http://jp.reuters.com/article/oddities-wannacry-idJPKCN18D0H1

63 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 17:53:59.92 ID:hFPtxlBD0.net

>>24
君はWii U用のソフトがPS4でも動くとでも思ってるひとなのかね？

64 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 18:39:19.87 ID:LMFa8OVj0.net

Windows10だけは感染しないとかAmazonプライムだけは
マケプレのアカウント乗っ取り関係ないとか、企業に都合
のいい被害状況になる所がマッチポンプ臭を感じる

65 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 19:02:25.18 ID:325ZAfNdd.net

＞Windows10だけは感染しない
という件と

＞ Amazonプライムだけはマケプレのアカウント乗っ取り関係ない

とかいう全然関係のない話を同列視して語っちゃってるところにものすごい頭の悪さを感じる

66 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 19:11:32.11 ID:LMFa8OVj0.net

全然関係のないと言ってるけど意外と根は同じかも知れんぞ

67 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 19:23:21.74 ID:A+xKj4t/0.net

そういうのを陰謀論って言うんだぞ

68 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 19:24:13.36 ID:GQrv3CPr0.net

>>65
頭の悪いやつはすぐ陰謀論と結びつけるからｗ

69 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 19:25:06.59 ID:GQrv3CPr0.net

かぶったｗ

70 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 19:33:56.32 ID:u4hk3nROx.net

>>8のRansomFreeってアプリ変なフォルダ作るのな
一瞬感染したとおもたわ
大丈夫なんかこれ

71 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 19:36:36.18 ID:UamUG13C0.net

>>64
>>26

72 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 19:41:46.15 ID:UamUG13C0.net

>>70
それはおびき寄せる罠
http://uirusu.jp/%e6%96%b0%e3%81%97%e3%81%84%e3%83%a9%e3%83%b3%e3%82%b5%e3%83%a0%e3%82%a6%e3%82%a7%e3%82%a2%e5%af%be%e7%ad%96%e3%83%84%e3%83%bc%e3%83%ab-ransomfree-%e3%81%aa%e3%82%89%e6%9a%97%e5%8f%b7%e5%8c%96/

73 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 19:45:36.19 ID:u4hk3nROx.net

>>72
今朝まではなんともなかったのに突然表れたからびっくりしたわ、ありがとう。

74 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 19:49:31.46 ID:A+xKj4t/0.net

要はおとりファイルを設置してそれが暗号化されたことを察知する機能みたいだな
（勿論、別途振る舞い察知機能も備えてる）

最終防衛ラインとしては面白い発想だと思う

75 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 19:52:07.88 ID:mgK6Bsm/0.net

コマンドプロンプトでsc.exe qc lanmanworkstation打ってチェックしたら
dependencies bower
mrxsb20
nsi

こうでたんですが、これは例のSMBv1を無効できていますか？

76 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 20:01:30.44 ID:+CXN1awD0.net

おまいらセキュリティ企業の提灯会見に踊らされすぎ

ほとんどのセキュリティ企業は何がどんな風に起こったのかまったく認識
できていないので、多少なりとも解析できている企業の情報を元にそれっぽい
ことを並べて、最終的にはうちの製品でコレだけ被害が防げましたって論拠の
ない宣伝をしてるだけ

基本的には1次感染元はまったく判明していないので、Windowsのパッチが
当たっていないとか、メールの添付ファイルからとか言うのもまったくないとは
いえないけど、主な感染源はWebの広告等からクリックしなくてもプロセスを
実行される系の攻撃なので1次感染したかどうかは運みたいなもの
その後爆発的に感染が拡大したのはWindowsのパッチが当たってなかった
マシンが大量にあったからだけど

Wannacry(WanaDecryptor)の感染開始を2007/05/12 18:00(日本時間)以前と
言っている企業以外は、基本的に自社独自に検体も入手できていないし
まともな解析も出来ていないと思ったほうがよい

現在はWannacry自身のKill機能でDNSの名前解決が出来る環境であれば
プロセスが終了するので、インターネットに直接繋がっている環境のほうが
この件に関してだけは返って安全な可能性も高いけど、Proxy経由のみや
中途半端にインターネットから隔離されて感染しているマシンがローカルLAN
内に存在してWindowsのパッチが適用されていないと非常に危険

携帯のティザリングや公衆WiFiは、仕組み上待ち受けポートを開くことが
出来ないのでSMB経由での感染の心配はないはず

まぁ何にしても色々と挙動不審な感染騒ぎであったことは確か

77 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 20:10:44.17 ID:SigvmHGC0.net

>>64
そもそも「Windows10だけは感染しない」というのが間違い。
Microsoftのサイトによると、3月のMS17-010の修正パッチを適応していないOSはwindows10でも感染すると書いてある。
感染しないのは、既に脆弱性修正済みで4月から提供されているwindows10のCreators Updateだけ。
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/

78 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 20:18:21.70 ID:dsDHvyVLd.net

まずこんなのにひっかかるのってまさにセキュリティって何レベルの放置環境ぐらいしかあり得ない
その上でなんにも考えず日頃からIE使ってるようなのだけ

79 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 20:20:17.89 ID:GQrv3CPr0.net

>>75
できている

>>77
そのURLのどこに
「、3月のMS17-010の修正パッチを適応していないOSはwindows10でも感染すると書いてある。 」
なんて書いてる？

80 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 20:24:41.17 ID:SigvmHGC0.net

>>79
「Windows 10 Creators Update (バージョン 1703) は対策済みのため MS17-010 を適用する必要はありません」の部分だけど、ちょっと深読みすしぎたかな？

ま、MS17-010の修正パッチはwindous10でも出てるしな。
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx

81 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 20:31:08.74 ID:A+xKj4t/0.net

>>80
WannaCrypt で使用されている悪用コードは Windows 10 には無効であることを確認しています。
ttps://news.microsoft.com/ja-jp/2017/05/15/170515-information/

別にCUに限定してないみたいだけどな

82 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 20:32:06.73 ID:GQrv3CPr0.net

>>81
それは深読みとかいうレベルじゃなく読み間違いレベル
脆弱性があってWindows10用のパッチが出てること自体は事実だが、パッチが当たってなかったら攻撃を受けるという話ではない。

https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
に
"The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack."
と書いてある。

83 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 20:34:55.69 ID:SigvmHGC0.net

>>82
う〜ん、そうか…
こっちが間違えたようだ、すまん

84 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 20:38:04.19 ID:GQrv3CPr0.net

>>83
いえいえー

85 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 20:42:30.38 ID:Y8YfAdm00.net

まあ、なんにしても初心者レベルの何も知らないユーザーは、アローンでルーターを介してネットしているのなら
攻撃対象にならなかったのは幸運だな
企業は以前からそうだが、サーバーの脆弱性に関して危機感のない所ばかりだから勝手にしろって感じですね
指摘されていてもずっと放置しているウェブサーバーがたくさんあるから、
ホームページを書き換えられたりする
クロスサイトリクエストフォージェリの脆弱性だって知らんぷりしてずっと放置していましたからね

86 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 20:47:07.58 ID:kn9SRXgf0.net

素人向けの対策

・WindowsUpdateは自動にしておく
・LANが不要であってもルーターを使う
・まともなセキュリティ対策ソフトを入れる

実際、これやってるだけで今回は感染しないわけでな・・・・・・

87 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 21:16:53.50 ID:45cqK3Ts0.net

>>86 お年寄りが感染しているという事実をどうみますか。
初期設定のままだろうに。

88 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 21:18:06.42 ID:LHtOJLGQ0.net

ポート閉じるとかやっておきたいけれども、
正直やり方分からないｗ

89 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 21:20:46.14 ID:1el1xhOYd.net

>>76
＞ 主な感染源はWebの広告等からクリックしなくてもプロセスを実行される系の攻撃なので

WannaCryに関してはこれは間違い。他の記述はあってるけど。
意外にも、外部から445番ポートでアクセスできるPCは結構多かったということ。
>>47氏が使ってる古いルーターとかね。

2017年5月18日に行ったインターネット検索エンジン「SHODAN」の検索結果によれば、インターネット上で445番ポートを開放している Windows環境は全世界で 50万件以上が確認されました。
日本でも同条件で 3万件近くが稼働しており、そのうち Microsoft が使用停止を求めている「SMBv1（サーバー メッセージ ブロック 1.0）サーバ」の使用が推測されるものが 7割以上を占めていました。
http://blog.trendmicro.co.jp/archives/14920

90 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 21:23:07.29 ID:1el1xhOYd.net

>>87
86じゃないけど、>>47のようなADSLルーターもあるみたいなので、WindowsUpdateしてないことと相まって感染したのでは

91 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 21:24:27.04 ID:1el1xhOYd.net

ADSLのモデムルーターね

92 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 21:24:55.04 ID:9y7SJUh4x.net

WannaCryptじゃないけど実際それだけやってても感染したぞ>>86

93 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 21:37:10.96 ID:mgK6Bsm/0.net

今回の件であまりパソコンに傾倒しすぎるのも良くないなと思った
パソコンは1台でいいや

94 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 21:37:31.36 ID:GQrv3CPr0.net

めちゃくちゃ古いルーターとかなじゃけりゃ普通は閉じてるよ
http://www.js-sys.com/port/
とか
https://www.akakagemaru.info/port/tcpport.php
で閉じてるか自分で確認もできるよ
今回のだったら445でチェック

95 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 21:41:17.13 ID:GQrv3CPr0.net

あー、>>94は>>88宛てでした。
>>93 質問に答えたやったのにスルーとか死ね

96 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 21:46:47.41 ID:mgK6Bsm/0.net

>>95
すいません
飛ばしてました
ありがとうございました！

97 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 21:48:41.66 ID:LHtOJLGQ0.net

>>95
135,137,138,139,445 全て解放されていないそう
ありがとう

98 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 21:49:58.49 ID:45cqK3Ts0.net

ポートを閉じるんではなくて、この場合445番をフィルターするんだよ。

99 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 21:52:36.77 ID:1fP8yjIO0.net

紆余曲折あって現在MSEに原点回帰しているのですがやはり変えたほうがいいでしょうか

100 ：名無しさん＠お腹いっぱい。 ：2017/05/20(土) 22:00:18.72 ID:1el1xhOYd.net

>>99
前スレの>>282-283や>>940を見るとそう言えるかもしれませんね