シマンテックは、Androidデバイスを狙ってヨーロッパで
拡散しているランサムウェアが日本上陸と発表しました。

確認されたランサムウェアは、感染端末を操作できないように
ロックし、「iTunesカード」で身代金支払いを要求します。
ウィルスの名称は、Android.Lockdroid.E
アダルトサイトのポップアップが主な感染源です。

http://ascii.jp/elem/000/001/144/1144829/
https://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2014-103005-2209-99


P*r* O M****というアダルト系アプリの中に含まれています。
影響を受けるのはAndroid 5.0(Lollipop)より前のバージョン、
影響を受けるAndroid端末は、ユーザー全体の67%前後とみられます。

今ランサムウェアには、予防も対策もほぼ無策です。


現状よくあるタイプのウィルス、マルウェア、スパイウェアは、
仮にシステムがダウンしても、HDDを取出し新しいPCに
移行すれば今まで培ってきたデータの保全は可能でした。
ランサムウェアは、一度やられたらデータは戻りません。

ランサムウェアは、jsというJava言語を使いダウンロードするため
htmlメール、メール添付だけではなく、悪意に乗っ取られた
ホームページを見るだけで感染してしまう怖さがあります。

たぶんどこのホームページでもjsを利用しています。
当然当社も利用していて、time.jsとanrs.jsを利用しています。
当然私が作成したもので、相当単純なjavaだと思います。

ブラウザ(IE)を開いて、
→[表示]→[ソース]とするとプログラムの中身が見えます。
JAVAを使うためには宣言する必要があります。
script type="text/javascript"これで検索すればjsが見えます。

これは相当簡単なJavaです。ある程度の人が見えれば
何をしているのか理解できますし、悪意があるものではありません。

今のjavaも、ランサムウェアをDLするjavaも改行を消します。
たとえばyahoo.co.jp誰でもしってるyahooのトップページには、
/javascript/fp_base_bd_ga_6.0.70.js
というjavaが使われています。

ランサムウェアの解析でもJavaの中身を見るんですが…
http://www.yahoo.co.jp/javascript/fp_base_bd_ga_6.0.70.js
このアドレスでyahooのjavaをダウンロードできます。
これをダウンロードして、メモ帳などで開いてみてください。

これ１つ悪意あるサイトを閲覧でランサムウェアに感染です。
サイト閲覧すれば、IEやChromeやFirefoxの中でjsが動きます。



本当に無くなったら困るデータは、
前の記事を参考に3か所にバックアップを取ってください。
1か所のバックアップでは、これからの時代守りきれません。

2016年3月中旬、米連邦捜査局（FBI）とマイクロソフトは新たな
暗号化型ランサムウェア「SAMAS」の存在を注意喚起しました。


以下は国内トレンドマイクロ社のブログです。
http://blog.trendmicro.co.jp/archives/13145


SAMASは、今までには見られない凶悪な２つの特徴があります。

1.バックアップの破壊：
現在の暗号化型ランサムウェアでは、感染したPCだけでなく組織の
ネットワーク上の共有ファイルも暗号化できる機能を備えています。
それに加えSAMASはネットワーク上に保存したバックアップも破壊します。
Windowsサーバの持つシャドーコピー機能を狙ったこの活動は、
特に法人組織のネットワークを攻撃対象としているものと考えられ、
通常の法人利用者に推奨されている「身代金は払わないこと」、
「定期的にバックアップをとること」というランサムウェア対策の効果を
失わせようとする意図がうかがえます。

2.標的型サイバー攻撃的なLAN内での拡散手法：
新型SAMASは侵入したネットワーク内のサーバに対し感染を広げるために、
利用可能なIPの脆弱性を探し、ネットワークの認証情報を
奪取し遠隔で自身のコピーを実行するなどの活動を行います。
またそれらの活動を実行するために、不正プログラムではなく
正規の管理ツールなどを使用します。
これらの活動は標的型サイバー攻撃でよく見られる活動です。
ただしSAMASの場合、特に重要情報を窃取し外部に送信する活動は行わず、
データファイルを暗号化してビットコインで身代金を支払うように要求する
という典型的なランサムウェア活動のみが行われます。



これらを防ぐには、定期的な「3-2-1のルール」の実践のみ
定期的にバックアップを取ることで重要な情報を保護することができます。
バックアップする際、「3-2-1のルール」をぜひ実践してください。

1.自身のファイルのコピーを3つ取り、それぞれ異なる端末に保存します。
2.それぞれ端末に保存する際、異なる端末に保存します（例：HDDおよびUSB）
3.3つめは他の 2つとは異なる場所に保存します（例：自宅とオフィス）

定期的にメンテナンスさせていただいているお客様にはご案内いたします。
ただし、今まで1つのBKUPでよかったものが、一気に2BKUP先が必要です。
現状で、2TBのハードディスク1台本体のみで8000～9000円はします。
ご理解いただきますよう、よろしくお願いいたします。

重量システムの不具合というが、ルフトハンザシステム社の
システムを利用しているみたいです。ANAの収益管理SYSTEM、
Sirax ITソリューション(2014/1/16)と同じかと思います。
http://flyteam.jp/news/article/30899

JALが2014年6月9日に起こした重量管理システムと同じことが
http://itpro.nikkeibp.co.jp/article/NEWS/20140609/562714/
また今日起きた訳で、社長が説明した…

「プログラムに不要なデータを発生・滞留させてしまう
　不具合があり、これが蓄積して障害が発生した」

まず「プログラムに不要なデータの滞留…」は、
「バッファーオーバーフロー」です。HDDをMEMORYとして
貸してもらった時に、処理を優先させるがあまり、
HDDを借りた後にそれを消してないことです。

次が肝心「プログラムに不要なデータを発生させる不具合」
これいったいなんでしょう。滞留するのはわかりますが、
プログラムが不要なデータを生成(発生)させるというのは、
アレの事を指すはずですが、



ITという業種は、
「PGに不要なデータを発生・滞留させてしまう不具合」と
「PGがデータを発生させ、不要になっても滞留する不具合」と
では、全く話が違うものになるため、技術者が説明したほうが
早いような。たぶん「発生させ、それが滞留」だと思います。

ランサムウェアPetyaはDropboxを経由するようです。
便利なツールとしてDropboxはスマホタブレットパソコンで
使われてきましたが、ついに温床とされはじめました。

http://japan.zdnet.com/article/35080407/
Petyaがインストールされると、MBRが悪質なローダーに置き換えられ、
システムが強制的に再起動させられる。再起動の際、「Windows」は
OSの代わりにその悪質なコードを読み込んでしまう。

その後、システムツールのチェックディスク（CHKDSK）に偽装した画面が
表示されスキャンを実行する。この間、Petyaはスキャンを実行しているように
見せかけて、ドライブのマスターファイルテーブル（MFT）を暗号化する。

MFTが破壊（このケースでは、正確には暗号化）されると、
コンピュータはファイルの保存場所や存在を認識できなくなり、
ファイルへのアクセスが不可能になる。(以上引用しました。)

ランサムウェアに感染したお客様の対応に追われていますが、
例外なく、全てのお客様がPC全てでDropboxを利用していました。
またその多くは例外なく予測しやすいパスワードでした。

ランサムウェアは、[ウィルス感染]と
[ユーザファイル暗号化]を同時に行う。
[ウィルス感染]はツールで除去できるが、
[ユーザファイル暗号化]は復元(復号化)出来ない。

近頃巷を騒がしているランサムウェア、
CoinVault/TesraCrypt3.0-4.0/Locky/Petyaと
カスペルスキーとオランダサイバー警察が復号化に
成功したCoinVault以外、基本的に復元不可能です。
https://blog.kaspersky.co.jp/coinvault-ransomware-removal-instruction/7345/

また多くのランサムウェアは、
Volume Shadow copy Serviceを使用不可にする。
Windows7の基本システムにある復元は用をなさない。

ここからが本題で、MBRまでRansamに侵入されると
MBRを初期化するためにコマンドを打つ、打つ間に
自動複製されコマンドを打ったMBRに侵入を許す。
このいたちごっこになるので、MBR対策が出来ている
セキュリティソフトが絶対に必要になる。

ウィルス/セキュリティソフトは、出来たウィルスに
対策をするので、基本的にはいたちごっこと同じだ。
とすると…ランサムウェアに侵入を許したPCは破棄し、
新しいPCに変更し環境を移す方が、人的被害も少ない。



ランサムウエアは、身代金脅迫型という新しいタイプ、
一般クライアントには馴染みが無く、意味が分からない。
一般クライアントは、今までの経験則から「治せる」と
思い込んでいる方も多く、これが大問題になる日も近い。

ウィルスソフトの除去率は高くても99%を切るレベルだ、
今までならメールの添付ファイルを開いても保存しなければ、
実行しなければ、感染することは無く、古いウィルスなら除去出来たが、

ランサムウェアは、バッファーオーバーフローも有効に利用する。
メモリー使用領域が足りなければ、バッファーはオーバーフローし
ハードディスクの一部などをメモリー領域にし、書き込みを行う。
もしWindows7上で何十枚もアプリケーションを多用していた場合、
zip/mp3/vvvを開いただけで感染してしまう恐れもあります。

5分で絶対に分かるバッファオーバーフロー
http://www.atmarkit.co.jp/ait/articles/0803/21/news151.html

オーバーフローさせないためには、古いバージョンのソフトを捨てる事、
フリーのソフトを使用しない事、古いホームページにアクセスしない事、
しかし官公庁入札javaはバージョンが古く、証券系会社もjavaが古い。
民間では、今でも専用アプリケーション動作のためXPを使用している。

従業員へPC使用倫理管理の徹底が無ければ、
中小企業のOFFICE系ファイルシステム、会計販売管理システムを
一瞬で破壊してしまうほどのものという認識を早く持つべきです。



仕事用のデータが入っている業務で使用するパソコンで、
匿名掲示板、匿名での利用可能なブログ、匿名アダルトサイトなど
匿名で利用可能なサイトへのアクセスを日常的にしていて、
パソコンの調子がおかしいのは、匿名サイトへアクセスするからです。

また分からない事を匿名掲示板で聞き、
それをそのまま信用し実行するのも、ナンセンスです。
匿名で書かれたソフトのインストールや設定をしてしまい
調子が悪くなったとしても、それは自己責任です。

.htaccessで日本国内以外からアクセスさせないtxtが入った
htaccess.zipをダウンロードできるURLを記載しておきます。

https://www.nic.ad.jp/ja/dns/jp-addr-block.html
https://www.nic.ad.jp/ja/dns/ap-addr-block.html
https://www.nic.ad.jp/ja/dns/ipv6-addr-block.html
以上JPNICからIPv4/IPv6を参照しています。

ご利用上の注意事項

・不備があっても責任は一切ないものとします。
・2016/3/14現在のIPリストです。
・知識が無く、ただサーバに置いても機能しません。


http://omurogi.co.jp/htaccess.zip 15.4KB
ハッシュ値は　7748f6b0f5c38dbe92b637b0305b3414　です。
他サーバでの保全を保証できないため再配布は禁止します。
直リンクOK　https://omurogi.com/index.php?e=263　です。

IT業には欠かせない、危険ドメイン・IPリストの一部を公開します。

一般の方用に…
ウィルスを制作しばら撒くクラッカーも当然いくつもチームがあり、
他チームのウィルスに感染することは避けたいものです。
そのため使われずに放置されたサーバに置き場所を決めてます。

SCR/ZIP直置き---23xIP
2xIP公開しましたが、アクセスし感染するのを防ぐため閉じました。

Crack既Webサーバ---156xIP---243xDomain
今回はlovetwとrormbの一部に限定し公開です。

lovetw
61.144.0.0/14----61.145.116.32---CN
-----------------66.160.206.210--US
-----------------66.160.206.159--US
-----------------66.160.206.191--US
202.39.0.0/16----202.39.48.21----TW
202.143.64.0/19--202.143.64.22---JP
210.196.0.0/14---210.196.169.198-JP
195.47.247.0/24--195.47.247.172--DK
202.181.160.0/19-202.181.187.37--HK
202.220.0.0/14---202.222.30.180--JP

rormb
211.128.0.0/13---211.130.149.24--JP

不正アクセスIPlist
23.61.199.67-----Netherlands
93.174.93.10-----Netherlands
109.253.4.23-----Israel
195.154.189.155--France
185.130.5.247----Lithuania
195.251.255.69---Greece

ランサムウェアLockyはWindows用で、Document2.zipを実行しても
Windows以外のスマホ/タブレット/Mac/iPhone/iPadは感染しない
という間違った認識があるようなので、補足事項を付け加えます。
最初の実行ファイルは、js/jsonで間違いありませんJavaです。

Windows上でLockyが動作すれば、ファイルをRSA-2048や
https://ja.wikipedia.org/wiki/RSA%E6%9A%97%E5%8F%B7
AES-128で暗号化されますが、RSA-2048は現時点で未踏です。
https://ja.wikipedia.org/wiki/Advanced_Encryption_Standard

仮にスマホ/タブレット/Mac/iPhone/iPadが感染しなくても、
jsは実行可能なので、例えばWindowsにUSB接続した途端に
そのWindowsが感染する可能性があります。
ファイルコピーに互換があるから、動画や画像・音楽の共有が
出来るんですから、それがJavaスクリプトでも同じです。

ここに気付いてない方が、潜在的にまだ多く、いつまで経っても
被害者が増え続ける事態になっていると予測されます。
もしLockyが解けるようになれば(RSA-2048が解けなければ無理)
このブログでも扱うと思います。続報があればまた書きます。

Document(1).pdfが添付されたnadiam1pa@から届くメールは、
結論から言いますが、Document (1).pdfはpdfではなく
実は圧縮ファイル(zip)で開くと感染してしまうので注意です。
たぶん模倣犯ですが、早く捕まってほしいと思います。

題名はnetadminですし、nadiam1pa@ですから、
同様の似たTrojanに感染したPC/スマホが乗っ取られて
アドレス帳全てにスパム送信されているようです。
同じように感染してしまうとファイル復活は不可能ですので、
メーラーから確実にゴミ箱からも削除することをお勧めします。