パソコンサポート 京都市 パソコンサポート 右京区 パソコンサポート 御室 パソコン・ノート・スマートフォン・なんでもお任せください。

御室技術

御室技術

ブログ本文検索
検索エンジン

新着日記
カテゴリー
カレンダー
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31   
<<  2025 - 07  >>
年月分類

2025/07 [2]

2025/06 [3]

2025/05 [1]

2025/04 [1]

2025/03 [4]

ユーザプロフ

su354

cd94

yu23

imo4

mu37

システム
<<<<BACKNEXT>>>> 
Petya(ランサムウェア)追記で書いときます
by su
これ最悪です。
ハードディスク全体を暗号化するPetyaというランサムウェアです。
ファイルサイズは225.5KB、ダウンロード時間は0.5秒ほどです。
これに感染するとイントラネットで共有ディレクトリー含め、
全てのファイルを暗号化し、今まで培ってきた全てがロストします。

https://blog.gdatasoftware.com/2016/03/28213-ransomware-petya-encrypts-hard-drives
03/24/2016
昨日発見されたランサムウェアです。


| 22:50 | comments (x) | |
softbank iPhone SMSに送信されるDocument1.zipとLockyについて
by su
SoftbankのiPhone 6xxにも今月16日からDocument1~6までのMMSが
確認されています。DocumentのランサムウエアのコードはWindowsのみ?
だと想定していますが、実行コードはjs(JAVAスクリプト)のため、
iTuneでWindowsに接続されれば、そのWindowsが感染する可能性が高く、
接続したWindowsが編集可能なNASやサーバも全てLockyに変えられます。

以下は実害が出たYahoo!知恵袋の記事です。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14157087914
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12157087757

このランサムウエアは、ウィルス/マルウェアは除去可能ですが、
Lockyされたファイルは帰ってきません、くれぐれもご注意を願います。

再三注意を案内していますが、
このランサムウェアはリモートコード(遠隔操作)実行可能です。
明らかな感染が確認された場合は、必ずインターネットに繋げなくしてください。
遠隔操作は、インターネットに接続されていなければ悪意も実行されません。

また、Document*に感染可能性があるのはソフトバンクのみです。
緊急事態ですから言いますが、ソフトバンクユーザーのアドレス帳が
漏れて拡散してるではないかと思います。Document*が一度でも送られた
iPhoneはWindowsやMacに接続しない方が良いと思われます。

凄く簡単に大雑把にいうとdocomoとauのMMSは海外からは閉じてます。
softbankは開いてる、その違いです。
docomoはi-mode変換、AUも@Ezweb化され受信するため閉じています。
大抵の普通の迷惑メールと同じく無作為に送信されているはずです。


2016/3/22の現状では大手などに使われるロードバランサー、
ルータ、サーバ、クライアントのアンチウイルスの4枚防御をすり抜けます。
誰かが踏む可能性が極めて高く、全社での対策が必須であると思います。

これを未然に防ぐには、
①NASサーバに接続の際には、毎度idとpasswordで認証する。
②1時間以上作業をしない時には、パソコンをログアウトする。
③サーバが無い環境でパソコンを3台以上常時接続させない。
④クライアントは全てワークステーションにし、バックアップを定期化させる。


| 22:19 | comments (x) | |
Document2メールとLockyウィルスの続報です。ランサムウェア
by su
Document2.zipクリックでLockyウィルスに感染する続報です。
最新式は、xxx.doc/xxx.doc/xxx.js/xxx.jsが内容で、
docをダブルクリックする事によりワードマクロを実行させ
javaが作動し、tempにランサムウエアが埋め込まれます。
また追加されたjavaスクリプトにより、zipを開くだけで
tempにダウンロードされ、zipを開くだけで感染します。

ウイルス定義
Win32/Filecoder.Locky.A トロイの木馬 Win32/Filecoderの亜種
Win32/Kriptik トロイの木馬 Win32/Injectorの亜種
VBA/TrojanDownloader.Agent.ASL トロイの木馬
VBA/TrojanDownloader.Agent.ASU トロイの木馬

Document2.zipのハッシュは、SHA256:
9e721d414e611a4b8a19c5866aff8b8205e4713643380bd50d99326d2fb3be38

NHKでも存在が確認されニュースになりました。
http://www3.nhk.or.jp/news/html/20160324/k10010454921000.html



感染すると以下のような画像が表示されます。






国内も、海外もありますが、Windows言語を参照してます。
感染すると拡張子がlockyに変換されます。
現状のウィルス対策で駆除は出来るようになってきてはいますが、
ウィルス、マルウェアは除去できてもjavaスクリプトもLockyも
元通りにすることは出来ません。…他社と協賛して元通りになるか…
実行してみました。

ビットコインを払うと専用アプリケーションのダウンロードできる
URLを通知してきます。IPアドレスは、185.136.144.0/22でした。

安全なURLです。
シリアのIPv4のアドレスを列記しています。
https://ipv4.fetus.jp/sy



専用のアプリケーションを実行すると、
32桁名.lockyの元ファイル名だけ参照できるようになります。
しかし、そのファイルをその名称にしても動作出来ませんでした。
また名前を参照は出来ますが、元ファイルに戻すために、
またビットコインを払う必要があり、現実的に一度変えられたら
元に戻すことは現状では不可能だと判断しました。

http://www3.nhk.or.jp/news/html/20160324/k10010454921000.html
NHKでもあるようにバックアップファイルでしか復元は出来ません。
要するに常に接続しているUSBハードディスク、USBメモリーも
発症すれば元通りには戻せません。Serverも不可能な場合もあり。

アプリケーションを購入しても元には戻せません。
また不正送金マルウェア「Rovnix」に感染してしまう恐れがあり、
このウェアは「ブートキット機能」があり、一度感染するとWindows上から
削除することがほぼ不可能になり、再起動するたびに出てきます。

もし感染した可能性があるPCで金融系決済をご利用中で、かつ、
Lockyのリカバリーのためビットコインで支払いをした場合、
不正送金、不正クレジット決済が行われていないか確認してください。

https://support.kaspersky.co.jp/2727


| 21:36 | comments (x) | |
Document2メールに注意して下さい、実行するとLockyウィルス感染です。
by su
件名Document2で”Document2.zip”が添付されたメールが出回っています。
同様にDocument3、Document5など数字がだけ違うメールも存在します。

中身は、WordファイルとJavaですが、実態はLockyランサムウェアです。
暗号化される形式は、画像ファイル(.jpg .png .bmp .gif)、
文書ファイル(.doc .xls .pdf .txt .cpp)、
メディアファイル(.avi .wma)、圧縮ファイル(.zip .rar)
元ファイルが認識できない32ケタのランダム英数字で
ファイル名までも破壊され、拡張子は「*.locky」になります。

添付ファイルをクリックするとマルウェアに感染する危険性がありますので、
その他の不審なメール同様に無視またはメールごと削除して下さい。

クライアント先でも感染が発見されています。
From(差出人)が偽装され、差出人も宛先も自分自身になっています。
送って無いはずなのに何だろう、と気を引かせてクリックさせる手口です。
下記に御室技術が独自に調査した内容を簡単にまとめます。

1.攻撃者はFrom詐称をし、自分自身に宛てたメールを装ってzipファイルを添付
2.発信源トルコで、宛先は日本国内だけで無く広範囲に及んでいます
3.ZIPファイルの中身はjavascriptでマルウェアのダウンローダになっている
4.誤ってクリックするとjavascriptがマルウェアをダウンロードし感染する仕組み
5.感染するウィルスの形式はランサムウェアで身代金要求ウィルス
6.誤ってクリックすると、一部の拡張子がlockyに変化
7.脅迫文はデスクトップに張り付き、クライアントに応じて脅迫文が違う
7.LANを抜き、再起動すればデスクトップから脅迫文は消えるがlockyはそのまま

続きはまたわかり次第記載します。
以下URLは東京工業大学での同様の記事です。
http://cert.titech.ac.jp/warning/2016/03/17/1458187560/

追記です。
このランサムウェアは、リモートコード(遠隔操作)を実行します。
もし間違ってクリックしたら、その瞬間即LANを切ってください。
もし無線なら再起動を待たずに、その瞬間電源OFFする方が
結局被害は小さくなります。くれぐれもご注意を!!!!!


| 21:49 | comments (x) | |
ANAのシステム障害
by su
ANAのシステム障害が続いています。
今日の件のほかに、1ヶ月前にも同様のトラブルが出ています。
ANAのシステムは、2013年7月2日にUNISYSと締結した、
旅客システムで世界で初めて「オープンシステム」です。

今もANA以外の全世界の大手航空ネットワークキャリアは、
汎用機上(専用)で予約搭乗システムを稼働しているはずです。
日本Unisys、サーバはHP inc、データベースはOracleです。

元々ANAはable-Dというシステムで34年間運営していましたが、
汎用機の弱点である、コストの高さが課題で2013年に一新しています。
1台がダメになり、続いて3台ともダウンしたため今日の事がおきました。
4台ということは、もしかするとRadware系のトラブルだったりして…
キャリアでも最低限としてOnDemand Switch 3 20016 XL使うのに、
12016XLとかなら笑う。4x XFPを想像するとロードバランサーだし。

モノの流通などはミスは許されても、人はやり直しが効かないし、
交通機関は、間違いが起きると人の命に係わる場合があります。
http://www.unisys.co.jp/news/nr_130702_aircore.html

24時間以内に復旧してるのなら、2系統は最低動いてそうですね。



| 19:10 | comments (x) | |
新規お客様のデータ復旧復活しました
by su
2015年にデータ復旧サービスを悪用する事案が、
関係会社で発生したことを受け、
新規のお客様の申し込みをお断りしておりましたが、
2016年3月1日より可能となりました、どうぞご利用ください。

また新規にHDD(SATAIII/SAS)/SSD完全対応した、
ストレージ専用のハードウエアデュプリケータを導入しました。
導入に伴い、Windows7が動作している状態と同じクローンを
複製することができます。ハッシュ値も同じものです。
勿論データベースにもRAIDにもご利用いただけます。

たとえば、Windows7がインストールされたノートパソコンの
ハードディスクが少なくなって重たい、動画をコピーできない、
こんな場合も当社にお預け頂ければ、全くそのままの状態で
新しいHDDに交換できます、容量も2倍4倍思うがままです。
ぜひご利用ください。


| 18:10 | comments (x) | |
技術って
by su
それがどれだけ怖いと思えるか、だと思う。

最初、本当の最初、仕事を振られて出来るかなって怖い。
怖いから、必死でその怖さが無くなるように勉強する。
仕事を実行する日まで延々勉強しどうし、で本番…

自分で上手くできたと思うとそれが自信になっていく。
その繰り返しが、技術ってもんなんだと思います。

当たり前の話、今も初めてする仕事の前はドキドキします。
それが自分の中にいて嫌だから、テキストを読みふけます。
今日は少し人と飲みながら、そんな話をしていました。


| 21:56 | comments (x) | |
Office2016のこと
by su
現在のOffice365ユーザは、
Office2013をインストールできるようになってます。

現在Office2013を使用しているユーザは、
2016年2月にはOffice2016に順次アップグレードされます。

Office2010で作成されたExcelやWordファイルで
一部Codeが書き込まれたマクロファイルなどは、
Office2016でエラーが出てファイルを開くことが出来ません。

・Office2013は2016にアップデートしてはいけません。
・Office2010で作成したファイルを使用する時、2016を使用してはいけません。
・マクロを使用したい場合は、2016上で最初から作り直してください。

現状として、企業内などでOfficeを使う場合、2013と2016は不向きです。

| 22:32 | comments (x) | |
クリスマス時期は…
by su
技術者にとってクリスマス時期はウイルス対策時期でもあります。
2014年X'masは、CHRISTMAS OFFERS.docxというバックドア、
2013年X'masは、SnowFairy.zipというワームでした。
pdf、xls、mp3、aviに添付されると被害が拡大するので、
特に不審なメール、ありえない割引メールにはご注意を。

クリスマスから新年明けてまでは、プレゼント購入、
年末年始の旅行予約、バーゲン情報などパソコンを使う
機会が多くなる時期でもあります。

またインターネット使用も一時的に大幅に拡大する時期で
ブラウザを開いてもホームページが開かない場合は、
一度Windows/Mac/Android共に再起動を試みてください。
これだけで問題が解決することが多くあります。


| 11:08 | comments (x) | |
SSDのTrimって?
by su
「SSDのTrimって何してるの?」
昨日客先で少し自作erな人が聞いてこられた。

SSDの記憶媒体に使われているNANDチップは、
HDDなどのプラッターにあるセクター管理とは違い、
上書きが出来ない。

んじゃどうやって上書きするのかというと、
上書きが発生する現象が起きたら、
その区画を丸ごと一回消去してから書き込む。

これをリアルタイムでやるとSSDアクセスの速さが
半減するので、事前に一度使われた事がある
未使用ブロックを完全消去
しておくことを考えた。

これがTrimです。

未使用の領域は、OSが動き続ける上で常に一定数空いている。
そこを管理し、足りなければ、そこに割り振ったブロックを
事前に消去しておき、スタンバイしてる、そこに書込命令が来る。
書き込むという作業をしてる。



1チップに対する使用率が、SLCが1なら、MLCは1.5、TLCは2だ。
SSDはTrimが動作する前提で考えれば、不整合は必ず起きるから、
全くの新品なら、TLCもMLCも読込書込共に500MB/sほどあるが、
Windowsはログやエラーなどシステム上で常に書き換えている。
そうすると1.5と2の差が大きくなり、TLCは段々遅くなってしまう。
ということ、価格差が1.4倍以下ならばMLCを買うべきです。

| 12:01 | comments (x) | |
<<<<BACKNEXT>>>> 


御室技術

親指シフト取扱開始 NEW!

トラブル事例

データ復旧サービス

リモート(遠隔地操作)

よくあるご質問

各種料金表

企業情報

御室技術について

交通アクセス

出張料一覧表

会社概要

個人情報保護

お問い合わせ

関連事業

ドメイン管理運営

レンタルサーバ構築運営

NE、SE、PG、HR派遣

行政書士派遣

技術支援サービス

社員専用

トピックス

パソコン萬晩報

キャリア(中途)採用

リンク

随時募集中

技術リンク