2016年3月中旬、米連邦捜査局（FBI）とマイクロソフトは新たな
暗号化型ランサムウェア「SAMAS」の存在を注意喚起しました。


以下は国内トレンドマイクロ社のブログです。
http://blog.trendmicro.co.jp/archives/13145


SAMASは、今までには見られない凶悪な２つの特徴があります。

1.バックアップの破壊：
現在の暗号化型ランサムウェアでは、感染したPCだけでなく組織の
ネットワーク上の共有ファイルも暗号化できる機能を備えています。
それに加えSAMASはネットワーク上に保存したバックアップも破壊します。
Windowsサーバの持つシャドーコピー機能を狙ったこの活動は、
特に法人組織のネットワークを攻撃対象としているものと考えられ、
通常の法人利用者に推奨されている「身代金は払わないこと」、
「定期的にバックアップをとること」というランサムウェア対策の効果を
失わせようとする意図がうかがえます。

2.標的型サイバー攻撃的なLAN内での拡散手法：
新型SAMASは侵入したネットワーク内のサーバに対し感染を広げるために、
利用可能なIPの脆弱性を探し、ネットワークの認証情報を
奪取し遠隔で自身のコピーを実行するなどの活動を行います。
またそれらの活動を実行するために、不正プログラムではなく
正規の管理ツールなどを使用します。
これらの活動は標的型サイバー攻撃でよく見られる活動です。
ただしSAMASの場合、特に重要情報を窃取し外部に送信する活動は行わず、
データファイルを暗号化してビットコインで身代金を支払うように要求する
という典型的なランサムウェア活動のみが行われます。



これらを防ぐには、定期的な「3-2-1のルール」の実践のみ
定期的にバックアップを取ることで重要な情報を保護することができます。
バックアップする際、「3-2-1のルール」をぜひ実践してください。

1.自身のファイルのコピーを3つ取り、それぞれ異なる端末に保存します。
2.それぞれ端末に保存する際、異なる端末に保存します（例：HDDおよびUSB）
3.3つめは他の 2つとは異なる場所に保存します（例：自宅とオフィス）

定期的にメンテナンスさせていただいているお客様にはご案内いたします。
ただし、今まで1つのBKUPでよかったものが、一気に2BKUP先が必要です。
現状で、2TBのハードディスク1台本体のみで8000～9000円はします。
ご理解いただきますよう、よろしくお願いいたします。

重量システムの不具合というが、ルフトハンザシステム社の
システムを利用しているみたいです。ANAの収益管理SYSTEM、
Sirax ITソリューション(2014/1/16)と同じかと思います。
http://flyteam.jp/news/article/30899

JALが2014年6月9日に起こした重量管理システムと同じことが
http://itpro.nikkeibp.co.jp/article/NEWS/20140609/562714/
また今日起きた訳で、社長が説明した…

「プログラムに不要なデータを発生・滞留させてしまう
　不具合があり、これが蓄積して障害が発生した」

まず「プログラムに不要なデータの滞留…」は、
「バッファーオーバーフロー」です。HDDをMEMORYとして
貸してもらった時に、処理を優先させるがあまり、
HDDを借りた後にそれを消してないことです。

次が肝心「プログラムに不要なデータを発生させる不具合」
これいったいなんでしょう。滞留するのはわかりますが、
プログラムが不要なデータを生成(発生)させるというのは、
アレの事を指すはずですが、



ITという業種は、
「PGに不要なデータを発生・滞留させてしまう不具合」と
「PGがデータを発生させ、不要になっても滞留する不具合」と
では、全く話が違うものになるため、技術者が説明したほうが
早いような。たぶん「発生させ、それが滞留」だと思います。

ランサムウェアPetyaはDropboxを経由するようです。
便利なツールとしてDropboxはスマホタブレットパソコンで
使われてきましたが、ついに温床とされはじめました。

http://japan.zdnet.com/article/35080407/
Petyaがインストールされると、MBRが悪質なローダーに置き換えられ、
システムが強制的に再起動させられる。再起動の際、「Windows」は
OSの代わりにその悪質なコードを読み込んでしまう。

その後、システムツールのチェックディスク（CHKDSK）に偽装した画面が
表示されスキャンを実行する。この間、Petyaはスキャンを実行しているように
見せかけて、ドライブのマスターファイルテーブル（MFT）を暗号化する。

MFTが破壊（このケースでは、正確には暗号化）されると、
コンピュータはファイルの保存場所や存在を認識できなくなり、
ファイルへのアクセスが不可能になる。(以上引用しました。)

ランサムウェアに感染したお客様の対応に追われていますが、
例外なく、全てのお客様がPC全てでDropboxを利用していました。
またその多くは例外なく予測しやすいパスワードでした。

ランサムウェアは、[ウィルス感染]と
[ユーザファイル暗号化]を同時に行う。
[ウィルス感染]はツールで除去できるが、
[ユーザファイル暗号化]は復元(復号化)出来ない。

近頃巷を騒がしているランサムウェア、
CoinVault/TesraCrypt3.0-4.0/Locky/Petyaと
カスペルスキーとオランダサイバー警察が復号化に
成功したCoinVault以外、基本的に復元不可能です。
https://blog.kaspersky.co.jp/coinvault-ransomware-removal-instruction/7345/

また多くのランサムウェアは、
Volume Shadow copy Serviceを使用不可にする。
Windows7の基本システムにある復元は用をなさない。

ここからが本題で、MBRまでRansamに侵入されると
MBRを初期化するためにコマンドを打つ、打つ間に
自動複製されコマンドを打ったMBRに侵入を許す。
このいたちごっこになるので、MBR対策が出来ている
セキュリティソフトが絶対に必要になる。

ウィルス/セキュリティソフトは、出来たウィルスに
対策をするので、基本的にはいたちごっこと同じだ。
とすると…ランサムウェアに侵入を許したPCは破棄し、
新しいPCに変更し環境を移す方が、人的被害も少ない。



ランサムウエアは、身代金脅迫型という新しいタイプ、
一般クライアントには馴染みが無く、意味が分からない。
一般クライアントは、今までの経験則から「治せる」と
思い込んでいる方も多く、これが大問題になる日も近い。

ウィルスソフトの除去率は高くても99%を切るレベルだ、
今までならメールの添付ファイルを開いても保存しなければ、
実行しなければ、感染することは無く、古いウィルスなら除去出来たが、

ランサムウェアは、バッファーオーバーフローも有効に利用する。
メモリー使用領域が足りなければ、バッファーはオーバーフローし
ハードディスクの一部などをメモリー領域にし、書き込みを行う。
もしWindows7上で何十枚もアプリケーションを多用していた場合、
zip/mp3/vvvを開いただけで感染してしまう恐れもあります。

5分で絶対に分かるバッファオーバーフロー
http://www.atmarkit.co.jp/ait/articles/0803/21/news151.html

オーバーフローさせないためには、古いバージョンのソフトを捨てる事、
フリーのソフトを使用しない事、古いホームページにアクセスしない事、
しかし官公庁入札javaはバージョンが古く、証券系会社もjavaが古い。
民間では、今でも専用アプリケーション動作のためXPを使用している。

従業員へPC使用倫理管理の徹底が無ければ、
中小企業のOFFICE系ファイルシステム、会計販売管理システムを
一瞬で破壊してしまうほどのものという認識を早く持つべきです。



仕事用のデータが入っている業務で使用するパソコンで、
匿名掲示板、匿名での利用可能なブログ、匿名アダルトサイトなど
匿名で利用可能なサイトへのアクセスを日常的にしていて、
パソコンの調子がおかしいのは、匿名サイトへアクセスするからです。

また分からない事を匿名掲示板で聞き、
それをそのまま信用し実行するのも、ナンセンスです。
匿名で書かれたソフトのインストールや設定をしてしまい
調子が悪くなったとしても、それは自己責任です。

.htaccessで日本国内以外からアクセスさせないtxtが入った
htaccess.zipをダウンロードできるURLを記載しておきます。

https://www.nic.ad.jp/ja/dns/jp-addr-block.html
https://www.nic.ad.jp/ja/dns/ap-addr-block.html
https://www.nic.ad.jp/ja/dns/ipv6-addr-block.html
以上JPNICからIPv4/IPv6を参照しています。

ご利用上の注意事項

・不備があっても責任は一切ないものとします。
・2016/3/14現在のIPリストです。
・知識が無く、ただサーバに置いても機能しません。


http://omurogi.co.jp/htaccess.zip 15.4KB
ハッシュ値は　7748f6b0f5c38dbe92b637b0305b3414　です。
他サーバでの保全を保証できないため再配布は禁止します。
直リンクOK　https://omurogi.com/index.php?e=263　です。

IT業には欠かせない、危険ドメイン・IPリストの一部を公開します。

一般の方用に…
ウィルスを制作しばら撒くクラッカーも当然いくつもチームがあり、
他チームのウィルスに感染することは避けたいものです。
そのため使われずに放置されたサーバに置き場所を決めてます。

SCR/ZIP直置き---23xIP
2xIP公開しましたが、アクセスし感染するのを防ぐため閉じました。

Crack既Webサーバ---156xIP---243xDomain
今回はlovetwとrormbの一部に限定し公開です。

lovetw
61.144.0.0/14----61.145.116.32---CN
-----------------66.160.206.210--US
-----------------66.160.206.159--US
-----------------66.160.206.191--US
202.39.0.0/16----202.39.48.21----TW
202.143.64.0/19--202.143.64.22---JP
210.196.0.0/14---210.196.169.198-JP
195.47.247.0/24--195.47.247.172--DK
202.181.160.0/19-202.181.187.37--HK
202.220.0.0/14---202.222.30.180--JP

rormb
211.128.0.0/13---211.130.149.24--JP

不正アクセスIPlist
23.61.199.67-----Netherlands
93.174.93.10-----Netherlands
109.253.4.23-----Israel
195.154.189.155--France
185.130.5.247----Lithuania
195.251.255.69---Greece

ランサムウェアLockyはWindows用で、Document2.zipを実行しても
Windows以外のスマホ/タブレット/Mac/iPhone/iPadは感染しない
という間違った認識があるようなので、補足事項を付け加えます。
最初の実行ファイルは、js/jsonで間違いありませんJavaです。

Windows上でLockyが動作すれば、ファイルをRSA-2048や
https://ja.wikipedia.org/wiki/RSA%E6%9A%97%E5%8F%B7
AES-128で暗号化されますが、RSA-2048は現時点で未踏です。
https://ja.wikipedia.org/wiki/Advanced_Encryption_Standard

仮にスマホ/タブレット/Mac/iPhone/iPadが感染しなくても、
jsは実行可能なので、例えばWindowsにUSB接続した途端に
そのWindowsが感染する可能性があります。
ファイルコピーに互換があるから、動画や画像・音楽の共有が
出来るんですから、それがJavaスクリプトでも同じです。

ここに気付いてない方が、潜在的にまだ多く、いつまで経っても
被害者が増え続ける事態になっていると予測されます。
もしLockyが解けるようになれば(RSA-2048が解けなければ無理)
このブログでも扱うと思います。続報があればまた書きます。

Document(1).pdfが添付されたnadiam1pa@から届くメールは、
結論から言いますが、Document (1).pdfはpdfではなく
実は圧縮ファイル(zip)で開くと感染してしまうので注意です。
たぶん模倣犯ですが、早く捕まってほしいと思います。

題名はnetadminですし、nadiam1pa@ですから、
同様の似たTrojanに感染したPC/スマホが乗っ取られて
アドレス帳全てにスパム送信されているようです。
同じように感染してしまうとファイル復活は不可能ですので、
メーラーから確実にゴミ箱からも削除することをお勧めします。

Document2.zipを開いてOffice/画像/動画/TEXTがlockyされ、
復号にお金を払えという、脅迫型が猛威を振るっていますが、
お金を払ったところで、脅迫に負けて払えば次の時限爆弾が
埋め込まれるだけで、その脅迫を一生受け続ける事になります。

このLockyは、Win32/Filecoder.Locky.Aですから
元々を辿ればTrojan.Encoderの亜種です。
そのものずばりは避けますが、
やってることはphpで書くと以下のようなことをしてるだけ。
<?php
$str = "ファイル名文字列";
$str = mb_convert_encoding($str,"SJIS","rand()");
?>

この場合のEncodeは[mb_convert_encoding]がやってくれてます。
phpの関数に含まれているので、encode-decodeも簡単に出来ます。





Lockyを復元するには、[mb_convert_encoding]に変わるソフト、
もしくは関数が無いとほぼ復元(99.99%以上)は不可能です。

Trojan.Encoderは多くの異なる暗号化アルゴリズムを用います。
例えば、Trojan.Encoder.741によって暗号化されたファイルを
復号化するためのキーを見つけるには
107902838054224993544152335601年
かかります。Dr.WEBが公式見解として明らかにしています。

もしLockyが暗号化復号化アルゴリズムをアプリケーションに
していたとしても、暗号化するのにTrojanを用いているのに、
復号化にTrojanを用いないわけがありません。



現在、復号化のために犯罪者から要求される金額は最高で
1500ビットコインとなってます。1コイン＝330米ドルです。
要求される身代金の合計は49500ドルに達することもあります。
身代金を支払っても、ファイルを取り戻せる保証はありません。

もし個人が感染し身代金を払ったとして、かつ、
もしファイルの復号化に成功したとして、
復号化にTrojanを使用しているのは間違いないので、

多分ランサムウェアPETYAにやられてMBRを書き換えられます。
今度はMBRというWindowsが起動する以前の場所に埋め込まれ、
もしPetyaに感染してしまえば、身近なPC全てのハードディスク
を処分しなければ完全な駆除は不可能です。


http://blog.trendmicro.co.jp/archives/13106

MBRへ感染させれるということは自動増殖タイプですから、
MBRへ初期化コードを送るのにはPCへの接続が絶対必要ですので、
接続した途端自動増殖させるコードを実行させるなど簡単です。


ちなみに復号化が成功する確率は以下の通りです。

Trojan-Ransom.BAT.Scatter.s → 20-30%
Trojan.Encoder.94 Filecoder.Q → 90%
Trojan.Encoder.741 → 21%
Trojan.Encoder.567 → 10-20%
Trojan.Encoder.686 CTB-Locker → 現時点では復号化不可能
Trojan.Encoder.858 → 90%
Trojan.Encoder.2667 → 59%
Trojan.Encoder 3953 → 80%



Lockyについては、もう一度ブログに書きます。
悪意あるTrojanなどは、パソコンが簡単にいつでも使える状態にある。
これが感染を簡単に素早く広げれる肝の部分であることは間違いない。
このあたりについて、書こうと思います。

Lockyされた内に、Windowsバックアップやその他拡張子ファイルが
ある場合、BKUPリカバリにHDDが1台、自動実行予防にHDDが1台、
Red HatかFreeBSDが動作するサーバに接続用HDDが1台必要でしょう。
自動実行されるかどうか検証された訳ではないので、
完全駆除を考えるなら、妥当な策だと思います。
Linuxも普及したCentではウィルス側が対策出来ているかもしれません。

あくまで現時点ですが、81.22.110.190です。
LocationはTurkey、Reportは2016-03-25 01:19:54 CETです。
ランサムウェアの実態はここにあると示しています。
既にYahooキャッシュのみしか残っていませんでしたが、
御室技術で入手したpdf資料をomurogi.co.jp以下に置き、
誰でも閲覧可能で保存しておきます。ご参照ください。

http://omurogi.co.jp/php/81122.pdf
以上URLは、御室技術管理下サーバです安全です。

僭越ながら、トルコ、シリアのIPアドレスを当Webサーバから
本日2016-03-26 06:05:42 JST より一時的に遮断します。
お手数をとらせますが、よろしくご理解のほどお願いいたします。

https://www.ipa.go.jp/security/txt/2016/01outline.html