あくまで現時点ですが、81.22.110.190です。
LocationはTurkey、Reportは2016-03-25 01:19:54 CETです。
ランサムウェアの実態はここにあると示しています。
既にYahooキャッシュのみしか残っていませんでしたが、
御室技術で入手したpdf資料をomurogi.co.jp以下に置き、
誰でも閲覧可能で保存しておきます。ご参照ください。

http://omurogi.co.jp/php/81122.pdf
以上URLは、御室技術管理下サーバです安全です。

僭越ながら、トルコ、シリアのIPアドレスを当Webサーバから
本日2016-03-26 06:05:42 JST より一時的に遮断します。
お手数をとらせますが、よろしくご理解のほどお願いいたします。

https://www.ipa.go.jp/security/txt/2016/01outline.html

これ最悪です。
ハードディスク全体を暗号化するPetyaというランサムウェアです。
ファイルサイズは225.5KB、ダウンロード時間は0.5秒ほどです。
これに感染するとイントラネットで共有ディレクトリー含め、
全てのファイルを暗号化し、今まで培ってきた全てがロストします。

https://blog.gdatasoftware.com/2016/03/28213-ransomware-petya-encrypts-hard-drives
03/24/2016
昨日発見されたランサムウェアです。

SoftbankのiPhone 6xxにも今月16日からDocument1～6までのMMSが
確認されています。DocumentのランサムウエアのコードはWindowsのみ？
だと想定していますが、実行コードはjs(JAVAスクリプト)のため、
iTuneでWindowsに接続されれば、そのWindowsが感染する可能性が高く、
接続したWindowsが編集可能なNASやサーバも全てLockyに変えられます。

以下は実害が出たYahoo!知恵袋の記事です。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14157087914
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12157087757

このランサムウエアは、ウィルス/マルウェアは除去可能ですが、
Lockyされたファイルは帰ってきません、くれぐれもご注意を願います。

再三注意を案内していますが、
このランサムウェアはリモートコード(遠隔操作)実行可能です。
明らかな感染が確認された場合は、必ずインターネットに繋げなくしてください。
遠隔操作は、インターネットに接続されていなければ悪意も実行されません。

また、Document*に感染可能性があるのはソフトバンクのみです。
緊急事態ですから言いますが、ソフトバンクユーザーのアドレス帳が
漏れて拡散してるではないかと思います。Document*が一度でも送られた
iPhoneはWindowsやMacに接続しない方が良いと思われます。

凄く簡単に大雑把にいうとdocomoとauのMMSは海外からは閉じてます。
softbankは開いてる、その違いです。
docomoはi-mode変換、AUも@Ezweb化され受信するため閉じています。
大抵の普通の迷惑メールと同じく無作為に送信されているはずです。


2016/3/22の現状では大手などに使われるロードバランサー、
ルータ、サーバ、クライアントのアンチウイルスの4枚防御をすり抜けます。
誰かが踏む可能性が極めて高く、全社での対策が必須であると思います。

これを未然に防ぐには、
①NASサーバに接続の際には、毎度idとpasswordで認証する。
②1時間以上作業をしない時には、パソコンをログアウトする。
③サーバが無い環境でパソコンを3台以上常時接続させない。
④クライアントは全てワークステーションにし、バックアップを定期化させる。

Document2.zipクリックでLockyウィルスに感染する続報です。
最新式は、xxx.doc/xxx.doc/xxx.js/xxx.jsが内容で、
docをダブルクリックする事によりワードマクロを実行させ
javaが作動し、tempにランサムウエアが埋め込まれます。
また追加されたjavaスクリプトにより、zipを開くだけで
tempにダウンロードされ、zipを開くだけで感染します。

ウイルス定義
Win32/Filecoder.Locky.A トロイの木馬 Win32/Filecoderの亜種
Win32/Kriptik トロイの木馬 Win32/Injectorの亜種
VBA/TrojanDownloader.Agent.ASL トロイの木馬
VBA/TrojanDownloader.Agent.ASU トロイの木馬

Document2.zipのハッシュは、SHA256:
9e721d414e611a4b8a19c5866aff8b8205e4713643380bd50d99326d2fb3be38

NHKでも存在が確認されニュースになりました。
http://www3.nhk.or.jp/news/html/20160324/k10010454921000.html



感染すると以下のような画像が表示されます。






国内も、海外もありますが、Windows言語を参照してます。
感染すると拡張子がlockyに変換されます。
現状のウィルス対策で駆除は出来るようになってきてはいますが、
ウィルス、マルウェアは除去できてもjavaスクリプトもLockyも
元通りにすることは出来ません。…他社と協賛して元通りになるか…
実行してみました。

ビットコインを払うと専用アプリケーションのダウンロードできる
URLを通知してきます。IPアドレスは、185.136.144.0/22でした。

安全なURLです。
シリアのIPv4のアドレスを列記しています。
https://ipv4.fetus.jp/sy



専用のアプリケーションを実行すると、
32桁名.lockyの元ファイル名だけ参照できるようになります。
しかし、そのファイルをその名称にしても動作出来ませんでした。
また名前を参照は出来ますが、元ファイルに戻すために、
またビットコインを払う必要があり、現実的に一度変えられたら
元に戻すことは現状では不可能だと判断しました。

http://www3.nhk.or.jp/news/html/20160324/k10010454921000.html
NHKでもあるようにバックアップファイルでしか復元は出来ません。
要するに常に接続しているUSBハードディスク、USBメモリーも
発症すれば元通りには戻せません。Serverも不可能な場合もあり。

アプリケーションを購入しても元には戻せません。
また不正送金マルウェア「Rovnix」に感染してしまう恐れがあり、
このウェアは「ブートキット機能」があり、一度感染するとWindows上から
削除することがほぼ不可能になり、再起動するたびに出てきます。

もし感染した可能性があるPCで金融系決済をご利用中で、かつ、
Lockyのリカバリーのためビットコインで支払いをした場合、
不正送金、不正クレジット決済が行われていないか確認してください。

https://support.kaspersky.co.jp/2727

件名Document2で”Document2.zip”が添付されたメールが出回っています。
同様にDocument3、Document5など数字がだけ違うメールも存在します。

中身は、WordファイルとJavaですが、実態はLockyランサムウェアです。
暗号化される形式は、画像ファイル（.jpg .png .bmp .gif）、
文書ファイル（.doc .xls .pdf .txt .cpp）、
メディアファイル（.avi .wma）、圧縮ファイル（.zip .rar）
元ファイルが認識できない32ケタのランダム英数字で
ファイル名までも破壊され、拡張子は「*.locky」になります。

添付ファイルをクリックするとマルウェアに感染する危険性がありますので、
その他の不審なメール同様に無視またはメールごと削除して下さい。

クライアント先でも感染が発見されています。
From(差出人)が偽装され、差出人も宛先も自分自身になっています。
送って無いはずなのに何だろう、と気を引かせてクリックさせる手口です。
下記に御室技術が独自に調査した内容を簡単にまとめます。

1.攻撃者はFrom詐称をし、自分自身に宛てたメールを装ってzipファイルを添付
2.発信源トルコで、宛先は日本国内だけで無く広範囲に及んでいます
3.ZIPファイルの中身はjavascriptでマルウェアのダウンローダになっている
4.誤ってクリックするとjavascriptがマルウェアをダウンロードし感染する仕組み
5.感染するウィルスの形式はランサムウェアで身代金要求ウィルス
6.誤ってクリックすると、一部の拡張子がlockyに変化
7.脅迫文はデスクトップに張り付き、クライアントに応じて脅迫文が違う
7.LANを抜き、再起動すればデスクトップから脅迫文は消えるがlockyはそのまま

続きはまたわかり次第記載します。
以下URLは東京工業大学での同様の記事です。
http://cert.titech.ac.jp/warning/2016/03/17/1458187560/

追記です。
このランサムウェアは、リモートコード(遠隔操作)を実行します。
もし間違ってクリックしたら、その瞬間即LANを切ってください。
もし無線なら再起動を待たずに、その瞬間電源OFFする方が
結局被害は小さくなります。くれぐれもご注意を！！！！！

ANAのシステム障害が続いています。
今日の件のほかに、1ヶ月前にも同様のトラブルが出ています。
ANAのシステムは、2013年7月2日にUNISYSと締結した、
旅客システムで世界で初めて「オープンシステム」です。

今もANA以外の全世界の大手航空ネットワークキャリアは、
汎用機上(専用)で予約搭乗システムを稼働しているはずです。
日本Unisys、サーバはHP inc、データベースはOracleです。

元々ANAはable-Dというシステムで34年間運営していましたが、
汎用機の弱点である、コストの高さが課題で2013年に一新しています。
1台がダメになり、続いて3台ともダウンしたため今日の事がおきました。
4台ということは、もしかするとRadware系のトラブルだったりして…
キャリアでも最低限としてOnDemand Switch 3 20016 XL使うのに、
12016XLとかなら笑う。4x XFPを想像するとロードバランサーだし。

モノの流通などはミスは許されても、人はやり直しが効かないし、
交通機関は、間違いが起きると人の命に係わる場合があります。
http://www.unisys.co.jp/news/nr_130702_aircore.html

24時間以内に復旧してるのなら、2系統は最低動いてそうですね。

2016/2/3に発売されたばかりのアルバムです。
We Were Hereという2013年に発売されたアルバムと
一緒に紹介しておきます、原型はUKギターデュオです。

最初に聞いてもたぶん聞き流します。
あれっと思ってるうちにやられて２枚買いました。
サーモン＆ガーファンクルとか好きなら買いましょう。

CDは基本全曲飛ばさずに聞けるアルバムが好きで、
ヒット曲１曲、あとは消化試合的なアルバムは苦手、
AKBの恋するフォーチュンクッキーは名曲と思うんですが、
如何せんアルバムとして聞けないので書けないでいます。

最近FMを聞いてても80'や90'をよく聞くし、
ROCK LEGEND列伝などをよく見るので、
うちも便乗して過去10年以内のアルバム縛り無くします。
ただし、古いアルバムだけは…1アーティスト1アルバム、
ライブ行った事があるが条件！2016年4月からヨロシク♪


Turin Brakes / Lost Property







ライブ行ったことがあるとなると相当絞られるはず…

Turin Brakes / Lost Property

最近CDの更新をご無沙汰してたので…
去年買ってしまったままでしたが、
最近耳たこのように聞きまくってます。
ジャック・サヴォレッティです。

Jack Savoretti / Written in Scars

ポールマッカートニーのシングルQueenie Eyeのプロモに
ゲスト参加したイタリア系UK出身アコースティックシンガーです。
ボブディラン、リックスプリングフィールドが好きならきっと好き。
3枚目か4枚目のはず、前作のBefore the Stormも相当いいです。









ポールもいい人見つけてきますね。

Jack Savoretti / Written in Scars

2015年にデータ復旧サービスを悪用する事案が、
関係会社で発生したことを受け、
新規のお客様の申し込みをお断りしておりましたが、
2016年3月1日より可能となりました、どうぞご利用ください。

また新規にHDD(SATAIII/SAS)/SSD完全対応した、
ストレージ専用のハードウエアデュプリケータを導入しました。
導入に伴い、Windows7が動作している状態と同じクローンを
複製することができます。ハッシュ値も同じものです。
勿論データベースにもRAIDにもご利用いただけます。

たとえば、Windows7がインストールされたノートパソコンの
ハードディスクが少なくなって重たい、動画をコピーできない、
こんな場合も当社にお預け頂ければ、全くそのままの状態で
新しいHDDに交換できます、容量も２倍４倍思うがままです。
ぜひご利用ください。

ディーン・フジオカと草刈正雄、似過ぎてない？
あさが来た、真田丸両方見てるが親子と言われても違和感が無い。
実は繋がってたりして…久しぶりに「人間の証明」が見たくなった。