Document2.zipを開いてOffice/画像/動画/TEXTがlockyされ、
復号にお金を払えという、脅迫型が猛威を振るっていますが、
お金を払ったところで、脅迫に負けて払えば次の時限爆弾が
埋め込まれるだけで、その脅迫を一生受け続ける事になります。

このLockyは、Win32/Filecoder.Locky.Aですから
元々を辿ればTrojan.Encoderの亜種です。
そのものずばりは避けますが、
やってることはphpで書くと以下のようなことをしてるだけ。
<?php
$str = "ファイル名文字列";
$str = mb_convert_encoding($str,"SJIS","rand()");
?>

この場合のEncodeは[mb_convert_encoding]がやってくれてます。
phpの関数に含まれているので、encode-decodeも簡単に出来ます。





Lockyを復元するには、[mb_convert_encoding]に変わるソフト、
もしくは関数が無いとほぼ復元(99.99%以上)は不可能です。

Trojan.Encoderは多くの異なる暗号化アルゴリズムを用います。
例えば、Trojan.Encoder.741によって暗号化されたファイルを
復号化するためのキーを見つけるには
107902838054224993544152335601年
かかります。Dr.WEBが公式見解として明らかにしています。

もしLockyが暗号化復号化アルゴリズムをアプリケーションに
していたとしても、暗号化するのにTrojanを用いているのに、
復号化にTrojanを用いないわけがありません。



現在、復号化のために犯罪者から要求される金額は最高で
1500ビットコインとなってます。1コイン＝330米ドルです。
要求される身代金の合計は49500ドルに達することもあります。
身代金を支払っても、ファイルを取り戻せる保証はありません。

もし個人が感染し身代金を払ったとして、かつ、
もしファイルの復号化に成功したとして、
復号化にTrojanを使用しているのは間違いないので、

多分ランサムウェアPETYAにやられてMBRを書き換えられます。
今度はMBRというWindowsが起動する以前の場所に埋め込まれ、
もしPetyaに感染してしまえば、身近なPC全てのハードディスク
を処分しなければ完全な駆除は不可能です。


http://blog.trendmicro.co.jp/archives/13106

MBRへ感染させれるということは自動増殖タイプですから、
MBRへ初期化コードを送るのにはPCへの接続が絶対必要ですので、
接続した途端自動増殖させるコードを実行させるなど簡単です。


ちなみに復号化が成功する確率は以下の通りです。

Trojan-Ransom.BAT.Scatter.s → 20-30%
Trojan.Encoder.94 Filecoder.Q → 90%
Trojan.Encoder.741 → 21%
Trojan.Encoder.567 → 10-20%
Trojan.Encoder.686 CTB-Locker → 現時点では復号化不可能
Trojan.Encoder.858 → 90%
Trojan.Encoder.2667 → 59%
Trojan.Encoder 3953 → 80%



Lockyについては、もう一度ブログに書きます。
悪意あるTrojanなどは、パソコンが簡単にいつでも使える状態にある。
これが感染を簡単に素早く広げれる肝の部分であることは間違いない。
このあたりについて、書こうと思います。

Lockyされた内に、Windowsバックアップやその他拡張子ファイルが
ある場合、BKUPリカバリにHDDが1台、自動実行予防にHDDが1台、
Red HatかFreeBSDが動作するサーバに接続用HDDが1台必要でしょう。
自動実行されるかどうか検証された訳ではないので、
完全駆除を考えるなら、妥当な策だと思います。
Linuxも普及したCentではウィルス側が対策出来ているかもしれません。

あくまで現時点ですが、81.22.110.190です。
LocationはTurkey、Reportは2016-03-25 01:19:54 CETです。
ランサムウェアの実態はここにあると示しています。
既にYahooキャッシュのみしか残っていませんでしたが、
御室技術で入手したpdf資料をomurogi.co.jp以下に置き、
誰でも閲覧可能で保存しておきます。ご参照ください。

http://omurogi.co.jp/php/81122.pdf
以上URLは、御室技術管理下サーバです安全です。

僭越ながら、トルコ、シリアのIPアドレスを当Webサーバから
本日2016-03-26 06:05:42 JST より一時的に遮断します。
お手数をとらせますが、よろしくご理解のほどお願いいたします。

https://www.ipa.go.jp/security/txt/2016/01outline.html

これ最悪です。
ハードディスク全体を暗号化するPetyaというランサムウェアです。
ファイルサイズは225.5KB、ダウンロード時間は0.5秒ほどです。
これに感染するとイントラネットで共有ディレクトリー含め、
全てのファイルを暗号化し、今まで培ってきた全てがロストします。

https://blog.gdatasoftware.com/2016/03/28213-ransomware-petya-encrypts-hard-drives
03/24/2016
昨日発見されたランサムウェアです。

SoftbankのiPhone 6xxにも今月16日からDocument1～6までのMMSが
確認されています。DocumentのランサムウエアのコードはWindowsのみ？
だと想定していますが、実行コードはjs(JAVAスクリプト)のため、
iTuneでWindowsに接続されれば、そのWindowsが感染する可能性が高く、
接続したWindowsが編集可能なNASやサーバも全てLockyに変えられます。

以下は実害が出たYahoo!知恵袋の記事です。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14157087914
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12157087757

このランサムウエアは、ウィルス/マルウェアは除去可能ですが、
Lockyされたファイルは帰ってきません、くれぐれもご注意を願います。

再三注意を案内していますが、
このランサムウェアはリモートコード(遠隔操作)実行可能です。
明らかな感染が確認された場合は、必ずインターネットに繋げなくしてください。
遠隔操作は、インターネットに接続されていなければ悪意も実行されません。

また、Document*に感染可能性があるのはソフトバンクのみです。
緊急事態ですから言いますが、ソフトバンクユーザーのアドレス帳が
漏れて拡散してるではないかと思います。Document*が一度でも送られた
iPhoneはWindowsやMacに接続しない方が良いと思われます。

凄く簡単に大雑把にいうとdocomoとauのMMSは海外からは閉じてます。
softbankは開いてる、その違いです。
docomoはi-mode変換、AUも@Ezweb化され受信するため閉じています。
大抵の普通の迷惑メールと同じく無作為に送信されているはずです。


2016/3/22の現状では大手などに使われるロードバランサー、
ルータ、サーバ、クライアントのアンチウイルスの4枚防御をすり抜けます。
誰かが踏む可能性が極めて高く、全社での対策が必須であると思います。

これを未然に防ぐには、
①NASサーバに接続の際には、毎度idとpasswordで認証する。
②1時間以上作業をしない時には、パソコンをログアウトする。
③サーバが無い環境でパソコンを3台以上常時接続させない。
④クライアントは全てワークステーションにし、バックアップを定期化させる。

Document2.zipクリックでLockyウィルスに感染する続報です。
最新式は、xxx.doc/xxx.doc/xxx.js/xxx.jsが内容で、
docをダブルクリックする事によりワードマクロを実行させ
javaが作動し、tempにランサムウエアが埋め込まれます。
また追加されたjavaスクリプトにより、zipを開くだけで
tempにダウンロードされ、zipを開くだけで感染します。

ウイルス定義
Win32/Filecoder.Locky.A トロイの木馬 Win32/Filecoderの亜種
Win32/Kriptik トロイの木馬 Win32/Injectorの亜種
VBA/TrojanDownloader.Agent.ASL トロイの木馬
VBA/TrojanDownloader.Agent.ASU トロイの木馬

Document2.zipのハッシュは、SHA256:
9e721d414e611a4b8a19c5866aff8b8205e4713643380bd50d99326d2fb3be38

NHKでも存在が確認されニュースになりました。
http://www3.nhk.or.jp/news/html/20160324/k10010454921000.html



感染すると以下のような画像が表示されます。






国内も、海外もありますが、Windows言語を参照してます。
感染すると拡張子がlockyに変換されます。
現状のウィルス対策で駆除は出来るようになってきてはいますが、
ウィルス、マルウェアは除去できてもjavaスクリプトもLockyも
元通りにすることは出来ません。…他社と協賛して元通りになるか…
実行してみました。

ビットコインを払うと専用アプリケーションのダウンロードできる
URLを通知してきます。IPアドレスは、185.136.144.0/22でした。

安全なURLです。
シリアのIPv4のアドレスを列記しています。
https://ipv4.fetus.jp/sy



専用のアプリケーションを実行すると、
32桁名.lockyの元ファイル名だけ参照できるようになります。
しかし、そのファイルをその名称にしても動作出来ませんでした。
また名前を参照は出来ますが、元ファイルに戻すために、
またビットコインを払う必要があり、現実的に一度変えられたら
元に戻すことは現状では不可能だと判断しました。

http://www3.nhk.or.jp/news/html/20160324/k10010454921000.html
NHKでもあるようにバックアップファイルでしか復元は出来ません。
要するに常に接続しているUSBハードディスク、USBメモリーも
発症すれば元通りには戻せません。Serverも不可能な場合もあり。

アプリケーションを購入しても元には戻せません。
また不正送金マルウェア「Rovnix」に感染してしまう恐れがあり、
このウェアは「ブートキット機能」があり、一度感染するとWindows上から
削除することがほぼ不可能になり、再起動するたびに出てきます。

もし感染した可能性があるPCで金融系決済をご利用中で、かつ、
Lockyのリカバリーのためビットコインで支払いをした場合、
不正送金、不正クレジット決済が行われていないか確認してください。

https://support.kaspersky.co.jp/2727

件名Document2で”Document2.zip”が添付されたメールが出回っています。
同様にDocument3、Document5など数字がだけ違うメールも存在します。

中身は、WordファイルとJavaですが、実態はLockyランサムウェアです。
暗号化される形式は、画像ファイル（.jpg .png .bmp .gif）、
文書ファイル（.doc .xls .pdf .txt .cpp）、
メディアファイル（.avi .wma）、圧縮ファイル（.zip .rar）
元ファイルが認識できない32ケタのランダム英数字で
ファイル名までも破壊され、拡張子は「*.locky」になります。

添付ファイルをクリックするとマルウェアに感染する危険性がありますので、
その他の不審なメール同様に無視またはメールごと削除して下さい。

クライアント先でも感染が発見されています。
From(差出人)が偽装され、差出人も宛先も自分自身になっています。
送って無いはずなのに何だろう、と気を引かせてクリックさせる手口です。
下記に御室技術が独自に調査した内容を簡単にまとめます。

1.攻撃者はFrom詐称をし、自分自身に宛てたメールを装ってzipファイルを添付
2.発信源トルコで、宛先は日本国内だけで無く広範囲に及んでいます
3.ZIPファイルの中身はjavascriptでマルウェアのダウンローダになっている
4.誤ってクリックするとjavascriptがマルウェアをダウンロードし感染する仕組み
5.感染するウィルスの形式はランサムウェアで身代金要求ウィルス
6.誤ってクリックすると、一部の拡張子がlockyに変化
7.脅迫文はデスクトップに張り付き、クライアントに応じて脅迫文が違う
7.LANを抜き、再起動すればデスクトップから脅迫文は消えるがlockyはそのまま

続きはまたわかり次第記載します。
以下URLは東京工業大学での同様の記事です。
http://cert.titech.ac.jp/warning/2016/03/17/1458187560/

追記です。
このランサムウェアは、リモートコード(遠隔操作)を実行します。
もし間違ってクリックしたら、その瞬間即LANを切ってください。
もし無線なら再起動を待たずに、その瞬間電源OFFする方が
結局被害は小さくなります。くれぐれもご注意を！！！！！

ANAのシステム障害が続いています。
今日の件のほかに、1ヶ月前にも同様のトラブルが出ています。
ANAのシステムは、2013年7月2日にUNISYSと締結した、
旅客システムで世界で初めて「オープンシステム」です。

今もANA以外の全世界の大手航空ネットワークキャリアは、
汎用機上(専用)で予約搭乗システムを稼働しているはずです。
日本Unisys、サーバはHP inc、データベースはOracleです。

元々ANAはable-Dというシステムで34年間運営していましたが、
汎用機の弱点である、コストの高さが課題で2013年に一新しています。
1台がダメになり、続いて3台ともダウンしたため今日の事がおきました。
4台ということは、もしかするとRadware系のトラブルだったりして…
キャリアでも最低限としてOnDemand Switch 3 20016 XL使うのに、
12016XLとかなら笑う。4x XFPを想像するとロードバランサーだし。

モノの流通などはミスは許されても、人はやり直しが効かないし、
交通機関は、間違いが起きると人の命に係わる場合があります。
http://www.unisys.co.jp/news/nr_130702_aircore.html

24時間以内に復旧してるのなら、2系統は最低動いてそうですね。

2015年にデータ復旧サービスを悪用する事案が、
関係会社で発生したことを受け、
新規のお客様の申し込みをお断りしておりましたが、
2016年3月1日より可能となりました、どうぞご利用ください。

また新規にHDD(SATAIII/SAS)/SSD完全対応した、
ストレージ専用のハードウエアデュプリケータを導入しました。
導入に伴い、Windows7が動作している状態と同じクローンを
複製することができます。ハッシュ値も同じものです。
勿論データベースにもRAIDにもご利用いただけます。

たとえば、Windows7がインストールされたノートパソコンの
ハードディスクが少なくなって重たい、動画をコピーできない、
こんな場合も当社にお預け頂ければ、全くそのままの状態で
新しいHDDに交換できます、容量も２倍４倍思うがままです。
ぜひご利用ください。

それがどれだけ怖いと思えるか、だと思う。

最初、本当の最初、仕事を振られて出来るかなって怖い。
怖いから、必死でその怖さが無くなるように勉強する。
仕事を実行する日まで延々勉強しどうし、で本番…

自分で上手くできたと思うとそれが自信になっていく。
その繰り返しが、技術ってもんなんだと思います。

当たり前の話、今も初めてする仕事の前はドキドキします。
それが自分の中にいて嫌だから、テキストを読みふけます。
今日は少し人と飲みながら、そんな話をしていました。

現在のOffice365ユーザは、
Office2013をインストールできるようになってます。

現在Office2013を使用しているユーザは、
2016年2月にはOffice2016に順次アップグレードされます。

Office2010で作成されたExcelやWordファイルで
一部Codeが書き込まれたマクロファイルなどは、
Office2016でエラーが出てファイルを開くことが出来ません。

・Office2013は2016にアップデートしてはいけません。
・Office2010で作成したファイルを使用する時、2016を使用してはいけません。
・マクロを使用したい場合は、2016上で最初から作り直してください。

現状として、企業内などでOfficeを使う場合、2013と2016は不向きです。