ランサムウェア総合スレ Part6

1 ：名無しさん＠お腹いっぱい。 ：2019/09/30(月) 19:43:29.44 ID:FTqiZL8B0.net

話題のランサムウェアの情報を共有しましょう。

ランサムウェアに感染した場合、PC内のデータを暗号化されてしまい元に戻すための身代金を要求してきます。
たとえバックアップを用意していても、ランサムウェア感染時にバックアップをPCとつないでおくとバックアップ側もすべて暗号化されてしまうので注意しましょう。

残念ながら暗号化された場合は、バックアップからPCを古い状態に戻して(古いファイルを)復活させるか、身代金を払って暗号化を解除してもらうしかありません。
ただし一部のランサムウェアについては、セキュリティ企業などが暗号化を解除するためのソフトを配っている事があり、無料で元に戻すことができる場合もあります。

攻撃手法は主に3つ
普通のサイトを改ざんしてExploitKit経由で脆弱性を攻撃する手法
不正広告を広告枠に表示させてExploitKit経由で脆弱性を攻撃する手法
メールでウイルスを送り付けて感染させる手法(officeファイルのマクロ機能経由を狙ったもの、通称マクロウイルスが特に多い)

■前スレ
ランサムウェア総合スレ Part5 [無断転載禁止]©2ch.net
https://medaka.5ch.net/test/read.cgi/sec/1495175464/

■テンプレ
スレ立て時には本文の文頭に｢!extend:checked:vvvvv::｣を入れて立てて下さい｡
強制IDで、業者、個人のスマホや複数回線を使っての自演がある程度わかるようになります。

---

VIPQ2_EXTDAT: checked:vvvvv:1000:512:: EXT was configured

697 ：名無しさん＠お腹いっぱい。 ：2022/11/10(木) 04:03:47.94 ID:vPAQwRrNH.net

>>693
有料つかってるから言ってんだ、読解力も
ないのか？

698 ：名無しさん＠お腹いっぱい。 ：2022/11/10(木) 04:05:01.75 ID:vPAQwRrNH.net

>>694
まだ生きてたのか？
喜寿おめでとう。

699 ：名無しさん＠お腹いっぱい。 ：2022/11/10(木) 05:37:20.54 ID:9HIrMH5sM.net

徳島県の病院のランサムウェア被害、VPN過信でほぼ無防備状態だった
https://security.srad.jp/story/22/06/20/169241/

その病院側もこんな状態であったと言うのか？
いや違うと思う
利用しているVPN機器も病院側は違うのでしょう
マイクロソフトがいい加減だからパッチの適用でシステムの運用が危ういって事例も十分にあって
セキュリティの更新を怠っているって病院も山程あるだろうけれども、
サポートもどこかへと委託しているんだろうからこちらのセキュリティ企業の方がﾉｰﾀﾘﾝでしょう
発端となっているのは病院側のサーバーへとアクセス可能なそのクライアント側になる
給食を委託する業者であると睨むのは正解だろうと思う

ランサムウェア　病院でのセキュリティ対策の重要性（vol.3）
https://itsol.isid.co.jp/appguard/blog/hospital-vol3-2428/

700 ：名無しさん＠お腹いっぱい。 ：2022/11/10(木) 09:15:48.90 ID:uQR+3Rjw0.net

>>699
今回の大阪急性期・総合医療センター件は、以下に詳しいけど、
https://piyolog.hatenadiary.jp/entry/2022/11/01/013707
Fortigate 50Eは、メジャーなUTMなので過信してたかもしれないが、
https://www.security-next.com/searchresult.php?cx=partner-pub-7540169243574984%3Axgzpuo-vcet&cof=FORID%3A11&ie=UTF-8&q=Fortinet&sa=%E6%A4%9C%E7%B4%A2&siteurl=www.security-next.com%2Fcategory%2Fcat191&ref=&ss=112j12544j2
今年は、何度もFortinet機器の脆弱性が報告されていたので、管理者がちゃんと情報収集していれば
UTMにログインしてアップデートしていた筈だけど、よくわかってなかったか詳しい人が居なくてアップデートしてなかったんでしょう。

701 ：名無しさん＠お腹いっぱい。 ：2022/11/10(木) 12:15:59.06 ID:pROWWPS30.net

>>689
これってやっぱりVPNクライアント側であるソフトウェアの話になっているよね
だからあんたたちが使うどこぞのVPNサーバーを経由してインターネットを利用する方法とは全然違う内容だろうって事だよな
本当にこの内容を理解しているのだろうか？

702 ：名無しさん＠お腹いっぱい。 ：2022/11/10(木) 12:49:37.74 ID:ceKYN8pV0.net

Proxyをvpnと誰が呼び始めたんだか

703 ：名無しさん＠お腹いっぱい。 ：2022/11/10(木) 22:14:44.83 ID:c0WjqEzOM.net

https://www.security-next.com/141214/2

やはり病院側からセキュリティ委託を受けている企業がﾉｰﾀﾘﾝで機能していないね
病院側ではセキュリティ関連も含めてシステムに詳しい要因を置いておくのは困難だろうから、
コンサルタント分析は重要なのです
政府も含めてネットワークシステムに対して無知で脳天気なのでセキュリティ企業に丸投げするだけでは
今後の問題点も浮かび上がって来ないでしょうよ
システムの入り口だけは常に監視していて自動で怪しいアクセスにアラートを発するなどの対処が必要でしょうね
果たして委託しているセキュリティ企業に気の利いたシステム構築が出来るんだかね？　　　　

704 ：名無しさん＠お腹いっぱい。 ：2022/11/10(木) 22:16:14.93 ID:c0WjqEzOM.net

要員だった

705 ：名無しさん＠お腹いっぱい。 ：2022/11/11(金) 23:57:40.89 ID:9y6Rg3Yz0.net

>>703
委託受けた？書いてなかったような

706 ：名無しさん＠お腹いっぱい。 ：2022/11/12(土) 03:11:10.31 ID:pXx6uy6+M.net

その感染させられたどちらの企業もこれだけの規模ならばどこかとセキュリティ管理契約を結んでいるはずだよ
企業内の人員だけで運用していたんだとしたらアホたちのとんでもない自信過剰だよ
この際だからその管理会社を一般公開してしまえばいいのによ・・・
どこぞさんのWebサーバがやられたって事件でも特定のセキュリティ管理会社の落ち度を批判しないもんな
単純にウィルス対策ソフトベンダーの事などを言ってはいないよ

707 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ cbbc-gaif)：2022/11/12(土) 18:47:05.66 ID:2+otTWqn0.net

和歌山信愛女子短期大学　感染

708 ：名無しさん＠お腹いっぱい。 ：2022/11/12(土) 22:26:00.09 ID:AqZLHS950.net

梅毒か…うつすなよ

709 ：名無しさん＠お腹いっぱい。 ：2022/12/19(月) 10:29:57.40 ID:BgmyPcPc0.net

>>703 実際の話、専任の情シスがいない限り無理だよ
FortiGateとかだと日本の場合、ほぼ大塚が絡んできてEDRとかやってるけど
対象のFWの脆弱性パッチは当てないからね
どうしてかっていうとパッチ当ててる間切断するので院内情シスじゃないと
その手のスケジュールを組めないので、どうしてもリモートサポートでは
パッチ当てをしないのがFW管理業界・サービスの基本になってる
（大塚以外のFWサポートもファームのアップデートはタダではしない）

・あんしん見守り〇〇サービス

とか御大層な名前でもパッチ一つ当てない、脆弱性の原因が旧ファーム
なのが判っていても、安心サービスはなにもしてくれない

FW内蔵のアンチウイルス・C&Cサーバーブラックリストといった定義ファイル
の更新は、再起動の必要ないので自動でやってくれるけどね

ちなみに、FWのファームのアップデートは結構長く平均して20分は掛かる
新FWのダウンロードが済んでいる状態ね これを含めるとメーカーによって
は1時間近くかかるので、そこからだと2時間超える作業になる

まぁ、セキュリティ管理契約を見直すしかないんだけど・・・
上の作業をタダではできないでしょ？
試算すると結構な額になるので、言うは易く行うは難しだと思うよ

710 ：名無しさん＠お腹いっぱい。 ：2022/12/19(月) 21:43:03.58 ID:yIl2X4FRd.net

>>709
うちの会社もFortiGate使ってるけど、特定PCのブラウザを認証させてファームウェアUpdateとか
やってるよ？
リモートでやるから問題が出るのであって、ローカルネットのPCを誰かしら管理者を決めて運用
すれば常に最新版に出来たでしょうよ。
ただ、Update中の回線ダウン時間はほんと長いね。5分程度でUpdate、再起動を済ませられないモノか。

711 ：名無しさん＠お腹いっぱい。 ：2022/12/20(火) 09:52:46.14 ID:sGGL7IgZ0.net

>>710 社内情シス目線ならそんな手間ではないさ
自社なら休みの日とかちょっと残業気分でみんなが帰った後にやればいい

でも病院は話が違うというか24時間終日稼働のネット切断は大変だよ
まず切っていい日を調整するだけでも大変
病院なんてLANいらんやろ？　では全然済まないわけで・・・
信じられないぐらい今の病院はインターネットに委ねる部分が多すぎる

あと、FWのアップデートをリモートで実施　なんてできるわけないだろ・・・
金貰って行うのに バックドアの温床であり病院業務のかなりの部署が
関わる超A級機器をリモート再起動なんかできるわけがない
その場に行ってやる作業だよ

もし仮にリモートでアップデート作業やって起動エラーなんて起きたら
上司の首が飛ぶ程度では済まない社運級に叩かれる
おまけに病院って病院間の情報の連携が広く早い、担当医はちょいちょい
派閥問題で移転させられるので、醜聞は余計に早く回る

病院は一度食い込むと横展開早いけど、切られる速度も早い

そういう問題もあるので病院システムのメンテは割は良いけどノイローゼ
になるレベルで神経擦り減らすんだよ

712 ：名無しさん＠お腹いっぱい。 ：2022/12/20(火) 15:19:49.81 ID:gwklL9GQ0.net

>>711
大きい病院だと大変だね。予算をもっと取って複数のUTMと回線を使って全体的なネット落ち
しないようにするとか24時間体制のところはやっていけないね。

713 ：名無しさん＠お腹いっぱい。 ：2022/12/20(火) 15:26:52.55 ID:sGGL7IgZ0.net

>>712 病院のLAN環境をなめちゃいけない
UTMの予備もDual化もしてねぇよ
さらには内側は付属大学LANと混じってて
学生が遊び半分で侵入を試みるなんて日常茶飯事
セグメント体系だけ別けてれば安全と思ってるぐらい
物理回線で二重化してる病院は聞いたことないな

Usenとかで回線側での2重化や閉鎖網で侵入レスはあるけどね

714 ：名無しさん＠お腹いっぱい。 ：2022/12/20(火) 22:37:46.65 ID:hROVVWsG0.net

やられた
とある画像加工ソフトで検索して一番上に表示されたのが海外のcrackだったみたいで、不注意にもexe実行したら全部
QQJJって拡張子に変わってた

以下、反省こめて情報共有

・このスレでは C ドライブは大丈夫みたいなこと書いてあるけど、Cドライブの個人ファイルも全滅。それこそドキュメントから画像、rar、ドライバのバックアップまで
・脅迫状と言うか、復号化するためのソフトを買えと記したテキストも各フォルダに残されてた（72時間以内に返答すれば半額の500ドルにしてあげるという設定）
・お試し無料で1ファイルは復号化してくれるらしいw
・俺の場合あまりに全てやられたので,、どれが重要なファイルかすらわからずかえってすべて諦める気になった
・ただ生死に関わるような超重要ファイルは、Dropbox に全て保存してあった。当然 Dropbox 内のファイルも暗号化されてしまったが、 Dropbox 有償版の巻き戻し機能というのが非常に有効で、それらは一気に回復できた
・この件と関連あるのかわからないが、それ以降 BIGLOBE の使ってないメアドに勝手に侵入されて大量に迷惑メールが発射されていた
・Amazon のアカウントにも勝手に侵入され、ギフト券が全部使われていた（被害額5000円）。ただ不思議なことに、クレカ情報も残されていたのにそれらについては不正利用なし
・長年集め続けたアプリやら素材やら動画やらほとんどダメになった。諦めるしかないよな
・まあ、これをきっかけにPC 環境を改善する行動を起こせたので高い勉強だとするわ

715 ：名無しさん＠お腹いっぱい。 ：2022/12/21(水) 05:07:33.71 ID:ETfQ7nkgM.net

クレカはクレカ側が止めてくれてんだろ番号変えとけ

716 ：名無しさん＠お腹いっぱい。 (ﾜｯﾁｮｲ ea20-Rjh+)：2022/12/21(水) 05:37:53.35 ID:M8J2V+t90.net

>>714
.exeお試し実行環境は別に作っておいた方がいい
当然システムドライブのバックアップはあった方がいいのだが、.vhd仮想ドライブにOSをインストールしておくなどして
そのOS上からは他のドライブを全てオフライン設定にしておいてアクセス出来ないよう孤立しておく必要もありますよね

717 ：名無しさん＠お腹いっぱい。 ：2022/12/21(水) 09:55:20.21 ID:aeVPHY2M0.net

>>714 なんでこういう被害報告の時に、そのURLとかファイル名を出さないのかな？
Adobeとかの有償ソフトを不正利用しようとしたとか、モザイク除去とか
グレーや恥ずかしい行為なのかね・・・

まぁ削除されたと思って復旧は考えないほうが良い 無駄

718 ：名無しさん＠お腹いっぱい。 ：2022/12/21(水) 17:58:49.13 ID:H5X2wVLU0.net

馬鹿が馬鹿やらかす想像力は働かないのかな？

719 ：名無しさん＠お腹いっぱい。 ：2022/12/25(日) 15:51:08.43 ID:wSi/J52K0.net

サイバー攻撃を受けた那覇市立図書館　3カ月たつが復旧せず　システム費1千万円が無駄になる恐れ
https://www.okinawatimes.co.jp/articles/-/1079289

720 ：ぼるじょあ ◆yBEncckFOU (ﾜｯﾁｮｲ 7f24-KuOw)：2022/12/25(日) 16:15:53.31 ID:G1yyAJx40.net

>>718
（・３・）　エェー　自己紹介乙♪

721 ：名無しさん＠お腹いっぱい。 ：2022/12/25(日) 22:12:12.15 ID:S4hz4h9F0.net

>警視庁によると、ランサムウエアは個人情報などのデータを暗号化して使用できない状態にする。
>データを元に戻すためには、対価として金銭や暗号資産を要求する。

警視庁さんの見解ってこれだけですか？　唖然ですw
国の中枢にいる人員も無知で無能だしな　ダメだｺﾘｬ

722 ：名無しｂｳん＠お腹いっｂﾏい。 ：2022/12/25(日) 22:42:02.16 ID:22DN0YVU0.net

図書館のシステムって 全国各地でも同じもの使ってるよね えらいこっちゃで

723 ：名無しさん＠お腹いっぱい。 ：2022/12/26(月) 07:31:31.82 ID:cdwwZ4R70.net

>>721
データがran somewhereするからランサムウェアだというのは有名な話

724 ：名無しさん＠お腹いっぱい。 ：2022/12/26(月) 09:48:17.54 ID:XMa9T6360.net

>>722 そう思ってる人多いけど、図書館のシステムはほぼバラバラで
共通性はほとんどない、自治体って縦割りなので
×一緒にやろう
〇隣の自治体より優秀！！！！！！
みたいなどうしょもない状況

725 ：名無しさん＠お腹いっぱい。 ：2022/12/26(月) 22:08:24.92 ID:OUm5uWEw0.net

どんどん厄介になりつつあるなあこのウイルス・・・　下手するとマジで人生台無しにされる
とにかく個人データ入ってるHDDはオフラインの時にしか接続しないように心がける
そしてそのHDDも何かある前にバックアップ　マジでこれだけは油断禁物
オフライン状態にして変にいじったりそのPCで作業とかしなければ取り敢えずは大丈夫　なはず

726 ：名無しさん＠お腹いっぱい。 ：2022/12/27(火) 00:20:24.60 ID:gQL4l0W40.net

>>725
ウイルスじゃなくてマルウェア。自己増殖しないから別に

727 ：名無しさん＠お腹いっぱい。 ：2022/12/27(火) 00:54:11.93 ID:O6+gi+VJ0.net

>>694
あんたも40代〜50代だろ
しっかりしなさい。

728 ：名無しさん＠お腹いっぱい。 ：2023/01/01(日) 05:07:03.90 ID:g28cezUH0.net

機密情報はクラウドにアップしない。

729 ：名無しさん＠お腹いっぱい。 ：2023/01/06(金) 00:53:57.61 ID:GqJLMep60.net

ランサムウェアのターゲットになりやすいＯＳってやっぱWindows？

730 ：名無しさん＠お腹いっぱい。 ：2023/01/06(金) 10:32:07.56 ID:KySm7TI20.net

>>729
いえす

731 ：名無しさん＠お腹いっぱい。 ：2023/01/06(金) 12:53:01.14 ID:TZOLJEP50.net

>>729
マクロで実行されやすいってのもある

732 ：名無しさん＠お腹いっぱい。 ：2023/01/07(土) 11:10:43.37 ID:l/BNozmi0.net

>>729
支払い能力がある人・組織が使ってて、無くなったら困るデータをローカルに保持してるOSを狙うんだから、そりゃまずはWindowsになるわな

733 ：名無しさん＠お腹いっぱい。 ：2023/01/25(水) 08:13:54.64 ID:MeYaAnI+0.net

ランサムウェアの身代金支払い総額が減少。支払い拒否の傾向強まる
https://pc.watch.impress.co.jp/docs/news/1472817.html
＞要因としては、身代金の支払いに協力することが規制に違反する可能性があるとしたOFACによる勧告や、
＞サイバー保険の適用要件として強固なセキュリティとバックアップ対策を求めていることが影響しているという。

734 ：名無しさん＠お腹いっぱい。 ：2023/01/27(金) 02:50:52.10 ID:bnD1OA630.net

https://jp.reuters.com/article/usa-cyber-ransomware-idJPL6N34B0AY
2023年1月27日2:32 午前
米ＦＢＩ、ランサムウエア「Ｈｉｖｅ」にサイバー攻撃　監視下に

735 ：名無しさん＠お腹いっぱい。 ：2023/01/27(金) 08:40:16.96 ID:dWKuOZbk0.net

>>734
ハッカーに依頼してHiveのサーバーを暗号化して自首を促すとかそのうちあるのかも。

736 ：名無しさん＠お腹いっぱい。 ：2023/01/27(金) 11:36:12.55 ID:WoraB2dkH.net

問題なし。
ランサム対応機能はほとんどのセキュリティベンダーが機能を持っている。
もちろんWindowsDefenderでも。

737 ：名無しさん＠お腹いっぱい。 ：2023/01/30(月) 21:02:14.40 ID:918GlAMk0.net

STOP DJVUの亜種　オンライン状態でやられた際のファイルの修復はそろそろ出来るようになってるんだろうか？

738 ：名無しさん＠お腹いっぱい。 ：2023/02/04(土) 16:29:30.80 ID:Co7o1EC4d.net

おお同志よｗ

って拡張子はzzlaだったりします？

739 ：名無しさん＠お腹いっぱい。 ：2023/02/05(日) 00:45:30.26 ID:brdvXs3u0.net

【芸能】厚切りジェイソン　暗号資産とFXに絶対投資してはいけない理由とは？投資のメリットも説明 [muffin★]
https://hayabusa9.5ch.net/test/read.cgi/mnewsplus/1675517825/

740 ：名無しさん＠お腹いっぱい。 ：2023/02/13(月) 20:29:25.24 ID:Fvl66PYF0.net

>>738
kuusという拡張子

ん？あれ？この書き込みここにしたはず・・・　間違って何処かの板に書き込んでしまったんだろうか？
まあこの下の文章は気にしないで・・・

741 ：名無しさん＠お腹いっぱい。 ：2023/02/14(火) 12:24:03.93 ID:Key0vcCSM.net

>>714
検索してトップに出てくるやつって知らない人は公式のだと思って実行するよね
個人サイトからしか提供してないアプリで代替効かないやつもあるから厄介

742 ：名無しさん＠お腹いっぱい。 ：2023/02/14(火) 12:26:55.34 ID:Key0vcCSM.net

URLやアプリ名にRedditってワード加えて検索して出てこなかったら海外のやつすら知らないアプリってことで避けてる

743 ：名無しさん＠お腹いっぱい。 ：2023/03/04(土) 20:59:42.25 ID:I7MRHlACd.net

ほう

744 ：名無しさん＠お腹いっぱい。 ：2023/03/16(木) 18:25:18.92 ID:uKByt8htd.net

STOP DJVU本当に厄介よね
記憶が曖昧だがHDDクローンソフトで検索上位に出てきたのをいくつか実行してたら感染していた

745 ：名無しさん＠お腹いっぱい。：2024/03/31(日) 00:46:22.60 ID:IBybaUz+a

公明党竹谷とし子か゛女性の視点ガーた゛のほざいて女性健康研究ナショナルセン夕ーだの女性デシ゛タル人材育成プランだのに莫大な税金投入
リスキリンク゛って先端技術を学ぶわけでもなく小学生が独学て゛できることを税金使って教えてやれってんた゛からまさに特別支援学校
これが女性だというなら女性とは知的障害者の代名詞た゛ろ
羞恥心もなくこんな逆差別主張を国會で平然とやるんだから女性は無能なクセに権利主張ばかりでコスパ悪いとレッテル貼られて当然
赤の他人に寄生して権利強奪することしか考えられないカタワの声が大きくなるに比例して日本社会が崩壊しているわけだか゛
日本全国クソ航空騒音まみれにして静音環境でなければ成り立たない知的産業壊滅させて生活に仕事に子の学習環境まで根絶やしにして
莫大な温室効果ガスまき散らさせて気侯変動させて災害連発させて私腹を肥やしてるのが世界最惡の殺人違憲組織公明党強盜殺人の首魁
蓄財3億圓超の齋藤鉄夫ら国土破壊省だし，腐敗集団自民党をここまで付け上がらせた諸悪の根源こそか゛公明党だと頭に刻み込もう!
(ref.) ttPs://www.call4.jp/info.phΡ?tУPe=items&id=I000０062
ttＰs://haneda-project.jimdofree.Com／　, ttｐs://flighｔ-route.com/
ｔtρs:／／n-souonhigaisosyoudan.amebaownd.сom/

746 ：名無しさん＠お腹いっぱい。：2024/04/03(水) 21:42:24.66 ID:s1MRpDCRI

拉致ガ―だの個人の尊厳や人権の意義た゛の都合のいい昔話ほざいてる松野博━は朝鮮人大勢殺害した過去についても触れろよ
大量破壞兵器クソ航空機による強盜殺人という重大な人権侵害もス儿−．税金で地球破壊支援．世界最惡の脱炭素拒否テ口國家に送られる
化石賞4連続受賞して世界中から非難されていながら力による─方的な現状変更によって滑走路にクソ航空機にと倍増
閑静な住宅地から都心まて゛数珠つなぎて゛鉄道の30倍以上もの莫大な温室効果ガスまき散らして騷音まみれ、静音か゛生命線の知的産業壊滅
子供の学習環境破壞．氣候変動させて海水温上昇させてかつてない量の水蒸気を日本列島に供給させて土砂崩れ、洪水．暴風、熱中症にと
住民の生命と財産を徹底的に破壊することで私腹を肥やす世界最惡のマッチポンプ殺人テ囗組織公明党天下り犯罪集団国土破壞省齋藤鉄夫
とともに好き放題破壊と殺戮を繰り返して隣國挑発して原爆落とした世界最悪ならす゛者国家まで崇拝して白々しい軍拡増税
物事の本質を理解できない子供洗脳して兵隊にして私腹を肥やそうというテ□組織に乗っ取られた曰本て゛孑なんか産むのは相当の盆暗だけ
(ref.) ttps://www.call4.jp/info.php?type=items&id=I0000062
ttps://haneda-project.jimdofree.com/ , ttps://flight-route.com/
ttps://n-souonhigaisosyoudan.amebaownd.com/