新規記事の投稿を行うことで、非表示にすることが可能です。
2016年08月09日
【ランサムウェア】データを暗号化していくその動きを書いた面白いページを発見 興味のある方はどうぞ
毎日なんかの形で目にするランサムウェア。うんざりなんですが、そんな中、ランサムウェアがどのように感染して、どのように暗号化されていくかが書かれた面白いページを発見しました。
SOPHOSという会社のホームページ内の、CrptoLockerというランサムウェアが感染するときにどういう動きをするかについて書かれたページです。
URLはこちらです。
https://www.sophos.com/ja-jp/press-office/press-releases/2013/10/ns-destructive-malware-cryptolocker-on-the-loose.aspx
SOPHOSについて
SOPHOS(ソフォス) は、コンピュータセキュリティのソフトウェアおよびハードウェアを開発・提供するベンダーです。通信エンドポイント、暗号化、ネットワークセキュリティ、電子メールセキュリティ、モバイルセキュリティ、統合脅威管理製品など、主に法人向けのセキュリティ製品を提供している会社です。
このページによると、
1. CryptoLockerに感染する
2. Documents and Settingsに自信をインストールする
3. ログオン時、ウィンドウズが自動的に自信を起動するようにレジストリに書き込む
4. ランダムなサーバー名を生成し、これらの名前のサーバーに対して次々にインターネット接続を試みる
5. 到達するサーバを見つけたら、感染したパソコンからそのサーバに「CryptoLocker ID」を渡す
6. サーバはそのIDから公開キーと秘密キーのセットを生成する
7. 感染したコンピュータに公開キーのみを渡す(公開キーはファイルを暗号化するためのキー、秘密キーは暗号化を解除するためのキー)
8. 感染したコンピュータ上のマルウェアがこの公開キーを使ってイメージ、ドキュメント、スプレッドシートといったファイルなどを暗号化する
※ 感染PCからアクセスできるすべてのドライブやフォルダーのファイルを暗号化しようとするので、他のパソコンで共有しているファイルや、ファイルサーバなどもすべて暗号化される可能性があります。
9. 暗号化した後、マルウェアが「支払ページ」をポップアップさせる
なるほどです。
このランサムウェアに感染してから、暗号化開始までの間にウィルスを検知し、削除すれば助かるということになるわけですが、その時間、どれくらいかご存知ですか?
わずか50秒 だそうです。
こちらのYOMIURI ONLINE(URL:http://www.yomiuri.co.jp/science/goshinjyutsu/20151204-OYT8T50135.html)の記事によると、トレンドマイクロ社が用意した仮想のニュースサイトで、感染源となる広告が表示されてからわずか50秒でランサムウェアが動きだし、ハードディスクのファイルが暗号化されたということです。
感染を防ぐには
Webを見るだけで感染するのですが、すべてのパソコンが「見ただけで感染」するわけではありません。
ブラウザやOS、Acrobat Reader、Flash、Javaなどの脆弱性(=ウィルスを侵入させる抜け穴)があるパソコンが感染します。
Windowsを使っている方は皆さん知っていると思いますが、定期的にWindowsUpdateが配布されますし、Acrobat Readerやその他のプログラムも同様に脆弱性に対する更新を配布しています。
ですので、使っているソフトウェアは常に最新バージョンにしておきましょう。
でないと、いつしか後悔の日がやってくるかもしれないですよ!
本日も最後まで読んでいただき、ありがとうございました。
ブログランキングに参加しています。
もしよろしければ応援よろしくお願いします。
にほんブログ村
【このカテゴリーの最新記事】
-
-
-
-
-
no image
2016年08月06日
社員がランサムウェアに感染しました (T T) いろいろ試してみたもののデータの復号はできませんでした その一部始終
週明けののどかな朝のひと時、「ウィルスに感染したかもー」と連絡が。
感染したのは...なんと、役員...。
ナニーーー!しかも流行のランサムウェア...
何度も不審なメールは開かないようにと、注意喚起をしていたのですが、「変なメールの添付ファイルは開いてないし!!」と頑なに譲らないところを見ると、どうもメールからの感染ではなく、Webページからの感染のようです。
Webページからの感染は怖くてですね、その改ざんされたサイトを見るだけで感染する場合があります。
IPA(情報処理推進機構)の「2016年1月の呼びかけ」(URL:https://www.ipa.go.jp/security/txt/2016/01outline.html)にもWebページを見ただけで感染したという報告があったという内容が記載されています。
当然、不審なメールの添付ファイルは開かない、Webページを開いた時に勝手に出てくるダウンロードやインストールを促すダイアログを無視するなど、完璧に対策していても、さすがにこの「見るだけで」感染する場合はどうにもならないです。
しょうがないので、感染したPCで暗号化されてしまったファイルを復旧しよう...と頑張ってみたわけですが、先に結果を書いておきましょう。
できませんでした。ガーーン。 (゜Д゜;)
ただ、うちの場合はできませんでしたが、種類によっては暗号化されたファイルを復旧できる可能性がありますので、私が参考にした復旧ツールについて記録しておきたいと思います。
まずはトレンドマイクロで
こちらのトレンドマイクロ、ウィルスバスターのページ(URL:https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx)に、ランサムウェアの暗号化を復元するツール(サポート対象外)が2種類あります。
ランサムウェアは結構儲かってるからでしょう、亜種がたくさん出ています。
このページには、その種類もたくさん載っています。
ちなみに、うちの会社で使用しているアンチウィルスソフトで検出されたのがCryptXXXという名前だったことと、暗号化されたファイルの拡張子が変わっていなかったので、おそらくCryptXXXのいずれかのバージョンかTeslaCrypt(バージョン4)であろうと考えられます。
このページの下の方に、暗号化の復号ツールがあり、念のため2種類とも試しましたが、暗号化されてしまったファイルの復号はできませんでした。
次はカスペルスキーより
同様の復号ツールはカペルススキーからも配布されています。ダウンロードはこちらの公式ブログ(URL:https://blog.kaspersky.co.jp/cryptxxx-ransomware/11181/)から可能です。
一応こちらもダメもとで試しはしましたが、やっぱり駄目でした。
ランサムウェア恐るべし
この一連の経験から学んだこと
この一連の経験から学んだことは、
- アンチウィルスソフトを入れていても感染するときは感染する
- 感染してファイルが暗号化された場合、復号するのは難しい
じゃぁ、何もしないでびくびくするしかないのか!?
そんなことはありません。
とは言っても、感染経路が人的操作に依るところが大きいため、すべての社員を監視するのは難しい。
なので、感染するということを前提とした対策を立てることにしました。
「防ぐ」以外のランサムウェアへの対策は
バックアップを取る!!
...初歩的ですね。
そうなんです。初歩的ですが、これが一番効果があると思います。
きちんとしたバックアップ体制で臨めばランサムウェアなんて怖くありません。
また、差分バックアップを取っていると、ランサムウェアに感染した時はその差分バックアップがぐっと増えるので、感染に気付くこともできるでしょう。
大事なファイルはファイルサーバに保存してもらい、万が一ローカルデータが暗号化されても復旧できるようにしました。
で、サーバデータは、以下のようなツールを用いてバックアップする。
Arcserve UDP
ツールを使う理由は、ランサムウェアに感染した場合、感染PCからアクセス可能なサーバのデータも暗号化されてしまうからです。つまりファイルサーバなどの普通に感染PCがアクセスできる場所へのバックアップは危ない。
ただ、個人の場合は、適当なスパンで外付けのHDDにバックアップを取り、バックアップ後は取り外して保管すれば良いと思います。念のため、可能であれば2個くらいで交互にバックアップするとさらに安心です。
感染を防ぐ方ももちろん重要ですが、このウィルスの性質上、完全に感染を防ぐのは不可能です。
たとえ感染しても、会社の重要データをオシャカにして損害を出さないためにも、念には念を入れて対策をしましょう。
本日も最後まで読んでいただき、ありがとうございました。
ブログランキングに参加しています。
もしよろしければ応援よろしくお願いします。
にほんブログ村おまけ
このブログを書いているときに、ランサムウェアのことをしらべていたら、ウィルスバスターのプレスリリースのページにランサムウェアへの対策機能を強化したという記事を見つけました。
事前にファイルをバックアップし、万が一ランサムウェアがファイルを暗号化した場合でも、バックアップファイルを用いて自動的にファイルを復旧する機能を新たに搭載します
っつーことです。今のところ、以下のエディションのみということです。
・ ウィルスバスターコーポレートエディション 11.0 ServicePack1
・ ウィルスバスタービジネスセキュリティサービス 5.9
・ ウィルスバスタービジネスセキュリティ 9.0 ServicePack3
金額面で気にしなくて良ければ、これが一番楽かもですね!
2016年07月21日
夏休みはどっか行って疲れを癒したいのだが... 夏休みなんて忙しくてないもんね!!
もう夏休みですねーー。
まー、我々のような企業の歯車には関係のない話ですが...
人みたいに癒しは必要ないですからね、歯車だから。
...という愚痴はさておき、最近時間のない歯車の人の助けになるサイトがいろいろと増えましたね。
こないだ、Trivago(トリバゴ)っていうサイトで、最安値のホテル検索ができるというのを書きましたが、似たようなサイトで、航空券の検索ができるのを発見しました。
スカイスキャナー。といいます。
みなさん、ご存知でした?
スカイスキャナーは多数の航空券、ホテル、レンタカーを一括し比較検索できる、旅行検索サイトです。もちろん無料です。
2003年にイギリスが設立したサイトだそうで、日本には2014年に進出してきたということです。
まだ、日本サイトができてから2年しか経っていませんが、情報量はなかなか充実しているようです。
特にイギリス発ですので、海外への航空券、ホテル、レンタカーなどの検索にも優れています。
30言語・70通貨による検索が可能になっています。
国内線、日本発着の国際線のほか海外発着の航空券も検索できます。
海外の航空券、ホテルなども検索するためか、検索結果が出るまでには少し時間がかかりますが、結果はばっちり参考になります。
ちょっと時間かかる
海外の航空券はもうちょっと時間かかる
結果が信頼できるのか気になる方は検索結果を参考に、その航空券やホテルでもっと安いところはないか、検索かけてみるといいんじゃないでしょうか。
ちなみに、私もこないだ紹介したトリバゴで検索かけてみましたが、同じ金額でした。
スカイスキャナー
※23727円となっていますが、予約サイトを開くと26100円でした。
トリバゴ
ほらね?
時間もないし、必要以上にお金も払いたくないので、行き先が決まっているなら、スカイスキャナーで検索してから航空券やホテルなどの予約をした方が絶対得ですよ!
検索はコチラからどうぞ、↓
今の世の中、やることいっぱいありすぎて時間を節約しないと、ホント生きていけないです。
まー、我々のような企業の歯車には関係のない話ですが...
人みたいに癒しは必要ないですからね、歯車だから。
...という愚痴はさておき、最近時間のない歯車の人の助けになるサイトがいろいろと増えましたね。
こないだ、Trivago(トリバゴ)っていうサイトで、最安値のホテル検索ができるというのを書きましたが、似たようなサイトで、航空券の検索ができるのを発見しました。
スカイスキャナー。といいます。
みなさん、ご存知でした?
スカイスキャナーは多数の航空券、ホテル、レンタカーを一括し比較検索できる、旅行検索サイトです。もちろん無料です。
2003年にイギリスが設立したサイトだそうで、日本には2014年に進出してきたということです。
まだ、日本サイトができてから2年しか経っていませんが、情報量はなかなか充実しているようです。
特にイギリス発ですので、海外への航空券、ホテル、レンタカーなどの検索にも優れています。
30言語・70通貨による検索が可能になっています。
国内線、日本発着の国際線のほか海外発着の航空券も検索できます。
海外の航空券、ホテルなども検索するためか、検索結果が出るまでには少し時間がかかりますが、結果はばっちり参考になります。
ちょっと時間かかる
海外の航空券はもうちょっと時間かかる
結果が信頼できるのか気になる方は検索結果を参考に、その航空券やホテルでもっと安いところはないか、検索かけてみるといいんじゃないでしょうか。
ちなみに、私もこないだ紹介したトリバゴで検索かけてみましたが、同じ金額でした。
スカイスキャナー
※23727円となっていますが、予約サイトを開くと26100円でした。
トリバゴ
ほらね?
時間もないし、必要以上にお金も払いたくないので、行き先が決まっているなら、スカイスキャナーで検索してから航空券やホテルなどの予約をした方が絶対得ですよ!
検索はコチラからどうぞ、↓
今の世の中、やることいっぱいありすぎて時間を節約しないと、ホント生きていけないです。