ブログ本文検索
検索エンジン
新着日記
Vol.94 VULFPECK (Vulfmon) - The Beautiful Game and more (07/11)
ナノ半導体 (07/04)
intel (06/26)
Windows10サポート終了まであと4か月 (06/15)
USB Power Delivery (06/06) カテゴリー
カレンダー
年月分類
ユーザプロフ
システム
|
2016-03-25 Fri [ 技術屋の独り言 ]
by su
これ最悪です。ハードディスク全体を暗号化するPetyaというランサムウェアです。 ファイルサイズは225.5KB、ダウンロード時間は0.5秒ほどです。 これに感染するとイントラネットで共有ディレクトリー含め、 全てのファイルを暗号化し、今まで培ってきた全てがロストします。 https://blog.gdatasoftware.com/2016/03/28213-ransomware-petya-encrypts-hard-drives 03/24/2016 昨日発見されたランサムウェアです。
| 22:50 | comments (x) | △ |
2016-03-25 Fri [ 技術屋の独り言 ]
by su
SoftbankのiPhone 6xxにも今月16日からDocument1~6までのMMSが確認されています。DocumentのランサムウエアのコードはWindowsのみ? だと想定していますが、実行コードはjs(JAVAスクリプト)のため、 iTuneでWindowsに接続されれば、そのWindowsが感染する可能性が高く、 接続したWindowsが編集可能なNASやサーバも全てLockyに変えられます。 以下は実害が出たYahoo!知恵袋の記事です。 http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14157087914 http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12157087757 このランサムウエアは、ウィルス/マルウェアは除去可能ですが、 Lockyされたファイルは帰ってきません、くれぐれもご注意を願います。 再三注意を案内していますが、 このランサムウェアはリモートコード(遠隔操作)実行可能です。 明らかな感染が確認された場合は、必ずインターネットに繋げなくしてください。 遠隔操作は、インターネットに接続されていなければ悪意も実行されません。 また、Document*に感染可能性があるのはソフトバンクのみです。 緊急事態ですから言いますが、ソフトバンクユーザーのアドレス帳が 漏れて拡散してるではないかと思います。Document*が一度でも送られた iPhoneはWindowsやMacに接続しない方が良いと思われます。 凄く簡単に大雑把にいうとdocomoとauのMMSは海外からは閉じてます。 softbankは開いてる、その違いです。 docomoはi-mode変換、AUも@Ezweb化され受信するため閉じています。 大抵の普通の迷惑メールと同じく無作為に送信されているはずです。 2016/3/22の現状では大手などに使われるロードバランサー、 ルータ、サーバ、クライアントのアンチウイルスの4枚防御をすり抜けます。 誰かが踏む可能性が極めて高く、全社での対策が必須であると思います。 これを未然に防ぐには、 ①NASサーバに接続の際には、毎度idとpasswordで認証する。 ②1時間以上作業をしない時には、パソコンをログアウトする。 ③サーバが無い環境でパソコンを3台以上常時接続させない。 ④クライアントは全てワークステーションにし、バックアップを定期化させる。
| 22:19 | comments (x) | △ |
2016-03-25 Fri [ 技術屋の独り言 ]
by su
Document2.zipクリックでLockyウィルスに感染する続報です。最新式は、xxx.doc/xxx.doc/xxx.js/xxx.jsが内容で、 docをダブルクリックする事によりワードマクロを実行させ javaが作動し、tempにランサムウエアが埋め込まれます。 また追加されたjavaスクリプトにより、zipを開くだけで tempにダウンロードされ、zipを開くだけで感染します。 ウイルス定義 Win32/Filecoder.Locky.A トロイの木馬 Win32/Filecoderの亜種 Win32/Kriptik トロイの木馬 Win32/Injectorの亜種 VBA/TrojanDownloader.Agent.ASL トロイの木馬 VBA/TrojanDownloader.Agent.ASU トロイの木馬 Document2.zipのハッシュは、SHA256: 9e721d414e611a4b8a19c5866aff8b8205e4713643380bd50d99326d2fb3be38 NHKでも存在が確認されニュースになりました。 http://www3.nhk.or.jp/news/html/20160324/k10010454921000.html 感染すると以下のような画像が表示されます。 ![]() ![]() ![]() 国内も、海外もありますが、Windows言語を参照してます。 感染すると拡張子がlockyに変換されます。 現状のウィルス対策で駆除は出来るようになってきてはいますが、 ウィルス、マルウェアは除去できてもjavaスクリプトもLockyも 元通りにすることは出来ません。…他社と協賛して元通りになるか… 実行してみました。 ビットコインを払うと専用アプリケーションのダウンロードできる URLを通知してきます。IPアドレスは、185.136.144.0/22でした。 安全なURLです。 シリアのIPv4のアドレスを列記しています。 https://ipv4.fetus.jp/sy 専用のアプリケーションを実行すると、 32桁名.lockyの元ファイル名だけ参照できるようになります。 しかし、そのファイルをその名称にしても動作出来ませんでした。 また名前を参照は出来ますが、元ファイルに戻すために、 またビットコインを払う必要があり、現実的に一度変えられたら 元に戻すことは現状では不可能だと判断しました。 http://www3.nhk.or.jp/news/html/20160324/k10010454921000.html NHKでもあるようにバックアップファイルでしか復元は出来ません。 要するに常に接続しているUSBハードディスク、USBメモリーも 発症すれば元通りには戻せません。Serverも不可能な場合もあり。 アプリケーションを購入しても元には戻せません。 また不正送金マルウェア「Rovnix」に感染してしまう恐れがあり、 このウェアは「ブートキット機能」があり、一度感染するとWindows上から 削除することがほぼ不可能になり、再起動するたびに出てきます。 もし感染した可能性があるPCで金融系決済をご利用中で、かつ、 Lockyのリカバリーのためビットコインで支払いをした場合、 不正送金、不正クレジット決済が行われていないか確認してください。 https://support.kaspersky.co.jp/2727
| 21:36 | comments (x) | △ |
2016-03-22 Tue [ 技術屋の独り言 ]
by su
件名Document2で”Document2.zip”が添付されたメールが出回っています。同様にDocument3、Document5など数字がだけ違うメールも存在します。 中身は、WordファイルとJavaですが、実態はLockyランサムウェアです。 暗号化される形式は、画像ファイル(.jpg .png .bmp .gif)、 文書ファイル(.doc .xls .pdf .txt .cpp)、 メディアファイル(.avi .wma)、圧縮ファイル(.zip .rar) 元ファイルが認識できない32ケタのランダム英数字で ファイル名までも破壊され、拡張子は「*.locky」になります。 添付ファイルをクリックするとマルウェアに感染する危険性がありますので、 その他の不審なメール同様に無視またはメールごと削除して下さい。 クライアント先でも感染が発見されています。 From(差出人)が偽装され、差出人も宛先も自分自身になっています。 送って無いはずなのに何だろう、と気を引かせてクリックさせる手口です。 下記に御室技術が独自に調査した内容を簡単にまとめます。 1.攻撃者はFrom詐称をし、自分自身に宛てたメールを装ってzipファイルを添付 2.発信源トルコで、宛先は日本国内だけで無く広範囲に及んでいます 3.ZIPファイルの中身はjavascriptでマルウェアのダウンローダになっている 4.誤ってクリックするとjavascriptがマルウェアをダウンロードし感染する仕組み 5.感染するウィルスの形式はランサムウェアで身代金要求ウィルス 6.誤ってクリックすると、一部の拡張子がlockyに変化 7.脅迫文はデスクトップに張り付き、クライアントに応じて脅迫文が違う 7.LANを抜き、再起動すればデスクトップから脅迫文は消えるがlockyはそのまま 続きはまたわかり次第記載します。 以下URLは東京工業大学での同様の記事です。 http://cert.titech.ac.jp/warning/2016/03/17/1458187560/ 追記です。 このランサムウェアは、リモートコード(遠隔操作)を実行します。 もし間違ってクリックしたら、その瞬間即LANを切ってください。 もし無線なら再起動を待たずに、その瞬間電源OFFする方が 結局被害は小さくなります。くれぐれもご注意を!!!!!
| 21:49 | comments (x) | △ |
2016-03-22 Tue [ 技術屋の独り言 ]
by su
ANAのシステム障害が続いています。今日の件のほかに、1ヶ月前にも同様のトラブルが出ています。 ANAのシステムは、2013年7月2日にUNISYSと締結した、 旅客システムで世界で初めて「オープンシステム」です。 今もANA以外の全世界の大手航空ネットワークキャリアは、 汎用機上(専用)で予約搭乗システムを稼働しているはずです。 日本Unisys、サーバはHP inc、データベースはOracleです。 元々ANAはable-Dというシステムで34年間運営していましたが、 汎用機の弱点である、コストの高さが課題で2013年に一新しています。 1台がダメになり、続いて3台ともダウンしたため今日の事がおきました。 4台ということは、もしかするとRadware系のトラブルだったりして… キャリアでも最低限としてOnDemand Switch 3 20016 XL使うのに、 12016XLとかなら笑う。4x XFPを想像するとロードバランサーだし。 モノの流通などはミスは許されても、人はやり直しが効かないし、 交通機関は、間違いが起きると人の命に係わる場合があります。 http://www.unisys.co.jp/news/nr_130702_aircore.html 24時間以内に復旧してるのなら、2系統は最低動いてそうですね。
| 19:10 | comments (x) | △ |
2016-03-02 Wed [ 技術屋の独り言 ]
by su
2015年にデータ復旧サービスを悪用する事案が、関係会社で発生したことを受け、 新規のお客様の申し込みをお断りしておりましたが、 2016年3月1日より可能となりました、どうぞご利用ください。 また新規にHDD(SATAIII/SAS)/SSD完全対応した、 ストレージ専用のハードウエアデュプリケータを導入しました。 導入に伴い、Windows7が動作している状態と同じクローンを 複製することができます。ハッシュ値も同じものです。 勿論データベースにもRAIDにもご利用いただけます。 たとえば、Windows7がインストールされたノートパソコンの ハードディスクが少なくなって重たい、動画をコピーできない、 こんな場合も当社にお預け頂ければ、全くそのままの状態で 新しいHDDに交換できます、容量も2倍4倍思うがままです。 ぜひご利用ください。
| 18:10 | comments (x) | △ |
2016-02-11 Thu [ 技術屋の独り言 ]
by su
それがどれだけ怖いと思えるか、だと思う。最初、本当の最初、仕事を振られて出来るかなって怖い。 怖いから、必死でその怖さが無くなるように勉強する。 仕事を実行する日まで延々勉強しどうし、で本番… 自分で上手くできたと思うとそれが自信になっていく。 その繰り返しが、技術ってもんなんだと思います。 当たり前の話、今も初めてする仕事の前はドキドキします。 それが自分の中にいて嫌だから、テキストを読みふけます。 今日は少し人と飲みながら、そんな話をしていました。
| 21:56 | comments (x) | △ |
2016-01-31 Sun [ 技術屋の独り言 ]
by su
現在のOffice365ユーザは、Office2013をインストールできるようになってます。 現在Office2013を使用しているユーザは、 2016年2月にはOffice2016に順次アップグレードされます。 Office2010で作成されたExcelやWordファイルで 一部Codeが書き込まれたマクロファイルなどは、 Office2016でエラーが出てファイルを開くことが出来ません。 ・Office2013は2016にアップデートしてはいけません。 ・Office2010で作成したファイルを使用する時、2016を使用してはいけません。 ・マクロを使用したい場合は、2016上で最初から作り直してください。 現状として、企業内などでOfficeを使う場合、2013と2016は不向きです。
| 22:32 | comments (x) | △ |
2015-12-22 Tue [ 技術屋の独り言 ]
by su
技術者にとってクリスマス時期はウイルス対策時期でもあります。2014年X'masは、CHRISTMAS OFFERS.docxというバックドア、 2013年X'masは、SnowFairy.zipというワームでした。 pdf、xls、mp3、aviに添付されると被害が拡大するので、 特に不審なメール、ありえない割引メールにはご注意を。 クリスマスから新年明けてまでは、プレゼント購入、 年末年始の旅行予約、バーゲン情報などパソコンを使う 機会が多くなる時期でもあります。 またインターネット使用も一時的に大幅に拡大する時期で ブラウザを開いてもホームページが開かない場合は、 一度Windows/Mac/Android共に再起動を試みてください。 これだけで問題が解決することが多くあります。
| 11:08 | comments (x) | △ |
2015-11-10 Tue [ 技術屋の独り言 ]
by su
「SSDのTrimって何してるの?」昨日客先で少し自作erな人が聞いてこられた。 SSDの記憶媒体に使われているNANDチップは、 HDDなどのプラッターにあるセクター管理とは違い、 上書きが出来ない。 んじゃどうやって上書きするのかというと、 上書きが発生する現象が起きたら、 その区画を丸ごと一回消去してから書き込む。 これをリアルタイムでやるとSSDアクセスの速さが 半減するので、事前に一度使われた事がある 未使用ブロックを完全消去しておくことを考えた。 これがTrimです。 未使用の領域は、OSが動き続ける上で常に一定数空いている。 そこを管理し、足りなければ、そこに割り振ったブロックを 事前に消去しておき、スタンバイしてる、そこに書込命令が来る。 書き込むという作業をしてる。 1チップに対する使用率が、SLCが1なら、MLCは1.5、TLCは2だ。 SSDはTrimが動作する前提で考えれば、不整合は必ず起きるから、 全くの新品なら、TLCもMLCも読込書込共に500MB/sほどあるが、 Windowsはログやエラーなどシステム上で常に書き換えている。 そうすると1.5と2の差が大きくなり、TLCは段々遅くなってしまう。 ということ、価格差が1.4倍以下ならばMLCを買うべきです。
| 12:01 | comments (x) | △ |
|
---|
御室技術 |
企業情報お問い合わせ |
関連事業 |
トピックスリンク |
Copyright © 2010 - 2013 OmuroGijyutsu Co.,Ltd. All Rights Reserved.