Gomasomによって追加されるレジストリ エントリ

1cd, dbf, dt, cf, cfu, mxl, epf, kdbx, erf, vrp, grs, geo, st, pff, mft, efd, 3dm, 3ds, rib, ma, sldasm, sldprt, max, blend, lwo, lws, m3d, mb, obj, x, x3d, movie.byu, c4d, fbx, dgn, dwg, 4db, 4dl, 4mp, abs, accdb, accdc, accde, accdr, accdt, accdw, accft, adn, a3d, adp, aft, ahd, alf, ask, awdb, azz, bdb, bib, bnd, bok, btr, bak, backup, cdb, ckp, clkw, cma, crd, daconnections, dacpac, dad, dadiagrams, daf, daschema, db, db-shm, db-wal, db2, db3, dbc, dbk, dbs, dbt, dbv, dbx, dcb, dct, dcx, ddl, df1, dmo, dnc, dp1, dqy, dsk, dsn, dta, dtsx, dxl, eco, ecx, edb, emd, eql, fcd, fdb, fic, fid, fil, fm5, fmp, fmp12, fmpsl, fol, fp3, fp4, fp5, fp7, fpt, fpt, fzb, fzv, gdb, gwi, hdb, his, ib, idc, ihx, itdb, itw, jtx, kdb, lgc, maq, mdb, mdbhtml, mdf, mdn, mdt, mrg, mud, mwb, s3m, myd, ndf, ns2, ns3, ns4, nsf, nsf, nv2, nyf, oce, odb, oqy, ora, orx, owc, owg, oyx, p96, p97, pan, pdb, pdb, pdb, pdm, phm, pnz, pth, pwa, qpx, qry, qvd, rctd, rdb, rpd, rsd, sbf, sdb, sdb, sdb, sdf, spq, sqb, stp, sql, sqlite, sqlite3, sqlitedb, str, tcx, tdt, te, teacher, tmd, trm, udb, usr, v12, vdb, vpd, wdb, wmdb, xdb, xld, xlgc, zdb, zdc, cdr, cdr3, ppt, pptx, 1st, abw, act, aim, ans, apt, asc, ascii, ase, aty, awp, awt, aww, bad, bbs, bdp, bdr, bean, bib, bna, boc, btd, bzabw, chart, chord, cnm, crd, crwl, cyi, dca, dgs, diz, dne, doc, doc, docm, docx, docxml, docz, dot, dotm, dotx, dsv, dvi, dx, eio, eit, email, emlx, epp, err, err, etf, etx, euc, fadein, faq, fb2, fbl, fcf, fdf, fdr, fds, fdt, fdx, fdxt, fes, fft, flr, fodt, fountain, gtp, frt, fwdn, fxc, gdoc, gio, gio, gpn, gsd, gthr, gv, hbk, hht, hs, htc, hwp, hz, idx, iil, ipf, jarvis, jis, joe, jp1, jrtf, kes, klg, klg, knt, kon, kwd, latex, lbt, lis, lit, lnt, lp2, lrc, lst, lst, ltr, ltx, lue, luf, lwp, lxfml, lyt, lyx, man, map, mbox, md5txt, me, mell, min, mnt, msg, mwp, nfo, njx, notes, now, nwctxt, nzb, ocr, odm, odo, odt, ofl, oft, openbsd, ort, ott, p7s, pages, pfs, pfx, pjt, plantuml, prt, psw, pu, pvj, pvm, pwi, pwr, qdl, rad, readme, rft, ris, rng, rpt, rst, rt, rtd, rtf, rtx, run, rzk, rzn, saf, safetext, sam, scc, scm, scriv, scrivx, sct, scw, sdm, sdoc, sdw, sgm, sig, skcard, sla, slagz, sls, smf, sms, ssa, strings, stw, sty, sub, sxg, sxw, tab, tdf, tdf, tex, text, thp, tlb, tm, tmd, tmv, tmx, tpc, trelby, tvj, txt, u3d, u3i, unauth, unx, uof, uot, upd, utf8, unity, utxt, vct, vnt, vw, wbk, wbk, wcf, webdoc, wgz, wn, wp, wp4, wp5, wp6, wp7, wpa, wpd, wpd, wpl, wps, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, xbdoc, xbplate, xdl, xdl, xlf, xps, xwp, xwp, xwp, xy3, xyp, xyw, ybk, yml, zabw, zw, 2bp, 0,36, 3fr, 0,411, 73i, 8xi, 9png, abm, afx, agif, agp, aic, albm, apd, apm, apng, aps, apx, art, artwork, arw, arw, asw, avatar, bay, blkrt, bm2, bmp, bmx, bmz, brk, brn, brt, bss, bti, c4, cal, cals, can, cd5, cdc, cdg, cimg, cin, cit, colz, cpc, cpd, cpg, cps, cpx, cr2, ct, dc2, dcr, dds, dgt, dib, dicom, djv, djvu, dm3, dmi, vue, dpx, wire, drz, dt2, dtw, dvl, ecw, eip, erf, exr, fal, fax, fil, fpos, fpx, g3, gcdp, gfb, gfie, ggr, gif, gih, gim, gmbck, gmspr, spr, scad, gpd, gro, grob, hdp, hdr, hpi, i3d, icn, icon, icpr, iiq, info, int, ipx, itc2, iwi, j, j2c, j2k, jas, jb2, jbig, jbig2, jbmp, jbr, jfif, jia, jng, jp2, jpe, jpeg, jpg, jpg2, jps, jpx, jtf, jwl, jxr, kdc, kdi, kdk, kic, kpg, lbm, ljp, mac, mbm, mef, mnr, mos, mpf, mpo, mrxs, myl, ncr, nct, nlm, nrw, oc3, oc4, oc5, oci, omf, oplc, af2, af3, ai, art, asy, cdmm, cdmt, cdmtz, cdmz, cdt, cgm, cmx, cnv, csy, cv5, cvg, cvi, cvs, cvx, cwt, cxf, dcs, ded, design, dhs, dpp, drw, drw, dxb, dxf, egc, emf, ep, eps, epsf, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fif, fig, fmv, ft10, ft11, ft7, ft8, ft9, ftn, fxg, gdraw, gem, glox, gsd, hpg, hpgl, hpl, idea, igt, igx, imd, ink, lmk, mgcb, mgmf, mgmt, mt9, mgmx, mgtx, mmat, mat, otg, ovp, ovr, pcs, pfd, pfv, pl, plt, pm, vrml, pmg, pobj, ps, psid, rdl, scv, sk1, sk2, slddrt, snagitstamps, snagstyles, ssk, stn, svf, svg, svgz, sxd, tlc, tne, ufr, vbr, vec, vml, vsd, vsdm, vsdx, vstm, stm, vstx, wmf, wpg, vsm, vault, xar, xmind, xmmap, yal, orf, ota, oti, ozb, ozj, ozt, pal, pano, pap, pbm, pc1, pc2, pc3, pcd, pcx, pdd, pdn, pe4, pe4, pef, pfi, pgf, pgm, pi1, pi2, pi3, pic, pict, pix, pjpeg, pjpg, pm, pmg, png, pni, pnm, pntg, pop, pp4, pp5, ppm, prw, psd, psdx, pse, psp, pspbrush, ptg, ptx, ptx, pvr, px, pxr, pz3, pza, pzp, pzs, z3d, qmg, ras, rcu, rgb, rgb, rgf, ric, riff, rix, rle, rli, rpf, rri, rs, rsb, rsr, rw2, rwl, s2mv, sai, sci, sct, sep, sfc, sfera, sfw, skm, sld, sob, spa, spe, sph, spj, spp, sr2, srw, ste, sumo, sva, save, ssfn, t2b, tb0, tbn, tex, tfc, tg4, thm, thumb, tif, tiff, tjp, tm2, tn, tpi, ufo, uga, usertile-ms, vda, vff, vpe, vst, wb1, wbc, wbd, wbm, wbmp, wbz, wdp, webp, wpb, wpe, wvl, x3f, y, ysp, zif, cdr4, cdr6, rtf, cdrw, jpeg, djvu, pdf, ddoc, css, pptm, raw, cpt, gif, jpeg, jpg, jpe, jp2, pcx, pdn, png, psd, tga, tiff, tif, hdp, xpm, ai, cdr, ps, svg, sai, wmf, emf, ani, apng, djv, flc, fb2, fb3, fli, mng, smil, svg, mobi, swf, html, xls, xlsx, csv, xlsm, ods, xhtm

process call create "cmd.exe /c vssadmin delete shadows /all /quiet"

このRadamant Ransomware Kit関連のファイル

%Desktop%¥YOUR_FILES.url
C:¥Windows¥directx.exe

このRadamant Ransomware Kit関連のレジストリ エントリ

HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥svchost     C:¥Windows¥directx.exe
HKLM¥SOFTWARE¥Wow6432Node¥Microsoft¥Windows¥CurrentVersion¥Run¥svchost     C:¥Windows¥directx.exe

　感染の戦略は新しいものではないが、我々の目を惹いた最終的に投下されるペイロード（【訳注】 悪意の総体）は、難読化の幾つかのレイヤー、特有の逆浸出（中から外に引き出す）メカニズムの実装であり（これがLatentBotと名付けられた所以）、そして、複数の組織に首尾よく感染している。

　LatantBotは、複数の難読化レイヤーとメモリ中の複数の挿入物に起因して、その内部動作を（簡単には）明らかにしない。基本的に、アナリストはLatentBotをメモリ中で完全に追跡しなければならないし、動作方法を理解するために（C&C）からの適切な応答を持っていなければならない。

コマンド	アクション
killosanduninstalls	MBR Wiper, レジストリやファイルシステムから、このマルウェアのあらゆるインスタンスを削除し、最終的に再起動を強制する
ClearTemp	tempディレクトリから全てのファイルを削除する
newvn	svchost内部にVNCプロセス（【訳注】 原文はprocvessとあるが、processの誤りと考える）を挿入する
EXW_REBOOT	マシンを再起動する
EXW_LOGOFF	現在のユーザをログオフする
EXW_SHUTDOWN	犠牲者のマシンをシャットダウンする
Disablerds (Remote Data Service)	RDSレジストリキー 000 を 0x42 にセットする
getinstallpluginlist	レジストリからプラグインリストを取得し、それをC2（C&C）に送信する
uninstallbot	レジストリ、ファイルシステム、メモリから、あらゆる存在を削除する
startkey	キーロガーを起動する
stopkeylog	システムからキーロガーを削除する
sendkey	キーログのデータをC2に送信する
clearkeylog	キーログ ファイルをシステムから削除する
findgold	システム中にBitcoinに関連するデータを検索する
Explorer_restart	Explorerのプロセスを再起動する
Locked	マウス イベントを無効にする
Unlocked	マウス イベントを再度有効にする
sendCtrlAltDel	Sends Ctrl+Alt+deleteキーコンビネーションを犠牲者のシステムに送信する

　LatentBotは、実行される複数のプロセスの挿入に起因して、大変複雑にされているがこれは、適切な挙動ベースのソリューションを使用してメモリ中で簡単に検出されることを煩わしくしているだけである。

.xls, *.doc, *.xlsx, *.docx, *.pdf, *.rtf, *.cdr, *.psd, *.dwg, *.cd, *.mdb, *.1cd, *.dbf, *.sqlite, *.jpg, *.zip

XRTN身代金要求型マルウェアに関連するファイル

%Temp%¥3cnq8256w5rxxavz.hta
%Temp%¥4077430c_xrtn.KEY
%Temp%¥CONFIRMATION.KEY
%Temp%¥Do_88u.docx
%Temp%¥dsfsdghd.bat
%Temp%¥ez3x7je8.cmd
%Temp%¥xrtn.KEY
%Temp%¥xrtn.txt
%AppData%¥3cnq8256w5rxxavz.hta
%AppData%¥xrtn.KEY

XRTN身代金要求型マルウェアに関連するレジストリ エントリ

HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥onuntsss     mshta %AppData%¥3cnq8256w5rxxavz.hta

　私は、4167 USD（約50万円）の支払いを求められた、支払わなければ、近親者に私のAshley Madisonのアカウントを公開するとする、郵便物が自宅に配達された。あなたのアドバイスは、電子メールでの恐喝に関するビデオと同じだろうか？

中間者攻撃の例：　（上）訪問者とWebサーバ間の通常の暗号化SSLコミュニケーション。（下）攻撃者が暗号化された接続を盗聴している中間者攻撃。

・　Lenovo

/　Lenovo Solution Centerは、完全な管理者権限で実行されるLSCTaskServiceと呼ばれるプロセスを作成し、ポート5555上にWebサーバを起動する。これは、HTTPがローカルユーザがアクセスできるディレクトリ中でコードの実行を要求する、GETとPOSTを介して指示される。
/　Lenovo Solution Centerは、このユーザが書き込むことのできるディスク上の任意の場所で発見されるプログラムを、再び完全な権限で、実行することができる。そこに何らかの悪意あるソフトウェアを置いておくと、このプログラムは管理者権限で実行されるだろう。
/　典型的なクロスサイト リクエスト フォージェリ（Cross site request forgeries、CSRF）脆弱性は、LSCTaskService中に存在しており、訪問されたあらゆるWebページは、ローカルWebサーバに対してコマンドを渡し、完全な権限で実行すことが可能になる。

・　DellにバンドルされているDell System Detectは、管理者権限の取得と、任意のコードの実行に利用することができる（例えば、dell.comからダウンロードされたセキュリティ トークンを供給することによって）。手動でインストールするためにDell System Detectパーミッションを認めているトークンは、管理者権限でプログラム（マルウェアのような）を実行するために乱用することができる。これは、あなたのマシンを完全にセキュリティ侵害するために、あなたのコンピュータ上のソフトウェアによって、悪用されることができる

・　東芝がバンドルしているService Stationツールは、通常ユーザと権限のないソフトウェアによって乱用されることができ、SYSTEMレベルのユーザとして大部分のオペレーティングシステムのレジストリを読むことができる。

国別トップ 10 ー 影響を受ける全ホスト（HTTPS/SSH）中の百分率

　証明書が"Daniel"に交付され、eMail（kiding@broadcom.com）が、Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone, ZyXELのファームウェアで使用されている。この証明書は、Broadcom SDK中で発見された。影響を受けるベンダは、彼らのファームウェアを開発するための基礎として、これを使用した。Web上の48万を超えるデバイスが、単一の証明書を使用していた。

何故これが問題なのか？

　「『普通の』攻撃者は、通常特定のターゲットを検索し、特定のフローに関してファームウェアを解析したり、ファームウェアから秘密鍵を抽出するだろう」と、SEC Consult Vulnerability Labの主任Johannes Greilは発言している。

　発生した最近の状況はより良く、より速く、より簡単に顧客をサポートを提供することを目的とした製品内証明書サポートに関連している。残念ながら、この証明書は意図しないセキュリティ脆弱性を含んでいた。

　私は、png_set_PLTE/png_get_PLTE関数のlibpng（全てのバージョン）の脆弱性に関してCVEを要求する。この関数は、8未満のビット深度を持つPNGファイルを読み書きするとき、範囲外パレットのチェックに失敗している。ビット深度が8未満の時でさえ、libpngは256エントリまでのパレットを戻すことができるが、一部のアプリケーションは、IHDRチャンクからビット深度を読み込み、メモリに2^N（2のN乗）エントリのパレットを割り当てる。
　libpngのバージョン、1.6.19, 1.5.24, 1.4.17, 1.2.54, 1.0.64が、本日（2015/11/12）この脆弱性を修正してリリースされた。libpng.sourceforge.netを参照されたい。

　BleepingComputerでは、我々は身代金要求型マルウェアの感染中のバグを決して公開していない、これは、開発者への単なる警告であり、彼らに欠陥の修正を求めたものに過ぎない。この特別なケースで、我々は、進行中の犠牲者のデータを破壊し続けないように、彼らの失敗の修正方法を開発者に教えるつもりである。我々の意見では、誰かが感染したなら、我々は、全く修復のチャンスがないことよりも、ファイルを回復できるかもしれないことのほうを望む。

　最も簡単なことは身代金を支払うことかもしれない。これらの犯罪者によって儲けられる金額は莫大である、これは、圧倒的大多数が身代金を支払うためである。

左から順に　製品名     /     　アップデートされたバージョン     /     　プラットフォーム

・　Adobe Flash Player Desktop Runtime     /     19.0.0.245     /     Windows ,Macintosh
・　Adobe Flash Player Extended Support Release     /     18.0.0.261     /     Windows ,Macintosh
・　Adobe Flash Player for Google Chrome     /     19.0.0.245     /     Windows, Macintosh, Linux
・　Adobe Flash Player for Microsoft Edge and Internet Explorer 11     /     19.0.0.245     /     Windows 10
・　Adobe Flash Player for Internet Explorer 10, 11     /     19.0.0.245     /     Windows 8.0 and 8.1
・　Adobe Flash Player for Linux     /     11.2.202.548     /     Linux
・　AIR SDK     /     19.0.0.24     /     1Windows, Macintosh, Android, iOS
・　AIR SDK & Compiler     /     19.0.0.241     /     Windows, Macintosh, Android, iOS
・　AIR for Android     /     9.0.0.241     /     Android

Fig.1 CryptoWallに感染したスパムメール

Fig.2 CryptoWall感染前のドキュメント（通常のファイル名）

Fig.3 CryptoWall感染後ドキュメント（ランダムな数字と文字のファイル名）

Fig.4 感染後のHTML脅迫文（クリックで拡大します）

Fig.5 復号サービス支払いサイト

　これは、Visual Basicコンパイル言語で記述されたプロテクタを使用している。ペイロード（【訳注】 悪意の総体）を解凍すために、この身代金要求マルウェアは、セクション マッピングを使用した独自のプロセスを再稼働し、4回上書きする。
　ファイル暗号化に対応しているペイロードは、幾つかの追加のPascalモジュール（例えば、FGIntが、大きな数を取り扱うために使用されている）を使用して、殆どDelphi言語で記述されている....。
　この身代金要求マルウェアは、ファイル暗号化の機能以外、殆ど機能を含んでいない。

引用

＜filename＞.＜original_extension＞.＜locked＞
＜filename＞.＜original_extension＞.＜kraken＞
＜filename＞.＜original_extension＞.＜darkness＞
＜filename＞.＜original_extension＞.＜nochance＞
＜filename＞.＜original_extension＞.＜oshit＞
＜filename＞.＜original_extension＞.＜oplata@qq_com＞
＜filename＞.＜original_extension＞.＜relock@qq_com＞
＜filename＞.＜original_extension＞.＜crypto＞
＜filename＞.＜original_extension＞.＜helpdecrypt@ukr.net＞
＜filename＞.＜original_extension＞.＜pizda@qq_com＞
＜filename＞.＜original_extension＞.＜dyatel@qq_com＞
＜filename＞.＜original_extension＞_crypt
＜filename＞.＜original_extension＞.＜nalog@qq_com＞
＜filename＞.＜original_extension＞.＜chifrator@qq_com＞
＜filename＞.＜original_extension＞.＜gruzin@qq_com＞
＜filename＞.＜original_extension＞.＜troyancoder@qq_com＞
＜filename＞.＜original_extension＞.＜encrypted＞
＜filename＞.＜original_extension＞.＜cry＞
＜filename＞.＜original_extension＞.＜AES256＞
＜filename＞.＜original_extension＞.＜enc＞
＜filename＞.＜original_extension＞.＜coderksu@gmail_com_id371＞
＜filename＞.＜original_extension＞.＜coderksu@gmail_com_id372＞
＜filename＞.＜original_extension＞.＜coderksu@gmail_com_id374＞
＜filename＞.＜original_extension＞.＜coderksu@gmail_com_id375＞
＜filename＞.＜original_extension＞.＜coderksu@gmail_com_id376＞
＜filename＞.＜original_extension＞.＜coderksu@gmail_com_id392＞
＜filename＞.＜original_extension＞.＜coderksu@gmail_com_id357＞
＜filename＞.＜original_extension＞.＜coderksu@gmail_com_id356＞
＜filename＞.＜original_extension＞.＜coderksu@gmail_com_id358＞
＜filename＞.＜original_extension＞.＜coderksu@gmail_com_id359＞
＜filename＞.＜original_extension＞.＜coderksu@gmail_com_id360＞
＜filename＞.＜original_extension＞.＜coderksu@gmail_com_id20＞
＜filename＞.crypt@india.com.random_characters＞
＜filename＞.＜original_extension＞.＜hb15＞
＜filename＞.＜original_extension＞.id-＜id＞_helpme@freespeechmail.org.

デモンストレーション ビデオはこちら

Skypeをインストールしている間に、@unchecky_comは、二つの望んでもいないプログラムを妨げた。強く推奨する。#anti_pup
-Hinotama（@Gohan1991）October 19,2015

Wifatchとは何か？

・　これは、Perlプログラミング言語で記述されている
・　これは、以下のアーキテクチャをターゲットにしている。ARM（83%）、MIPS（10%）、SH4（7%）。
・　これは、感染させられたデバイスをピアツーピア ネットワークに接続する。

Wifatchは、あなたを防御するのか？

私は、私のデバイスで悪いことをしないということに関して、あなたを信頼することができるか？
　そうだが、これは手助けにはならない。私がそれをどのように保護していようとも、誰かが、このキーを盗むことができる。それどころか、誰に対してもアクセスを可能にするコード中のバグがある。

結び

Linux.Wifatchは、手の込んだバックドア、あるいはデバイスをハックするために0-Dayを使用していない。これは、基本的にtelnetと幾つかの他のプロトコルを使用している、そして、本当に何もしないか、Defaultのパワード（我々のお気に入りは、”password”である）を試す。これらのパスワードはよく知られている、あらゆる秘密の鍵を盗む必要なしに、誰もがそれを実行することができる。
　基本的に、これは最初に、全く保護されていないデバイスに感染するだけである。

TeslaCryptのccc変種は、bitcoinaddress（ビットコインアドレス、【訳注】 言わば銀行の口座番号に相当するもの。ビットコインを振り込んでもらうためには、相手にこのアドレスを伝える必要がある）の生成された秘密鍵のSHA256の公開鍵だけを格納している。秘密鍵はopenssl BNとしてメモリ中で計算されるときにだけ表示される、これは割り当てられたメモリ中に存在しているので、あなたが、これを捕獲したいのであれば、全プロセス メモリ空間をダンプする必要がある、そして、SHA256、公開鍵、彼らのハードコードされた公開鍵付きのECDH（リンクは日本語サイト）共有秘密協定は、この数値から計算された後（この情報は、彼らのサーバに送信される）、廃棄される。ファイルは、別にランダムに生成された秘密鍵によって暗号化され、この鍵は暗号化プロセスの間、割り当てられたメモリ中でのみ利用可能である。ファイル ヘッダーとリカバリーファイルは、公開鍵とビットコインアドレスのSHA256の公開鍵付きECDH共有秘密協定だけを含んでいる。
　あなたがファイルを復号したいのであれば、彼らの秘密鍵もしくは、生成されたビットコインアドレスの秘密鍵、もしくは、あなたのファイル用に生成された一つ一つの秘密鍵を知る必要がある（これは、一つもしくは複数になる）。

感染

標的

・　Please pay attention to crimes aimed at domestic internet banking!（国内インターネットバンキングを狙った犯罪にご注意ください！）
・　Security measures that customers should implement:（お客様に実施していただきたいセキュリティ対策）
・　In order to protect the important personal property of customers, Financial Services Agency will make each bank enhance its security.（その為個人認定が必要のための必要な個人情報提出が必要となります。お客様の財産を守るためご協力よろしくお願いします。）

・　Please pay attention to crimes aimed at domestic internet banking!（国内インターネットバンキングを狙った犯罪にご注意ください！）
・　For each bank, there are some cases where answers to the questions below are not required.（個別の銀行では以下の質問がない場合もあります）
・　In case there is no passphrase, please ignore and click ‘Next’ button to move to the next field!（ご合言葉がない場合無視して下の次へボタンをクリックし次へと進んで下さい。）

・　Personal information: （個人情報認証）
/　Registration number（画像参照してください、中国語になっています）
/　Passphrases（画像参照してください、中国語になっています）
/　Mail address（メールアドレス）
/　Mail password（メールパスワード）
/　The second PIN（第2暗証番号）
・　We will not use personal credit data offered from Consumer Data Industry or sensitive information, which is defined by guideline for personal information protection, 2004 Financial Services Agency Notification No. 67, for purposes other than the original intent, which is limited by Ordinance for Enforcement of the Banking Act.（個人信用情報機関より提供を受けた個人信用情報、並びに金融分野における個人情報保護に関するガイドライン（平成16年金融庁告示第６７号）に定められる機微（センシティブ）情報は、銀行法施行規則等に基づき限定されている目的以外では利用いたしません。）

チャイニーズ コネクション

Indicator of Compromise（脅威の存在を示す痕跡）

Certificate thumbprint： 88 ca 78 5c e6 ef 05 ac e6 de 58 46 86 86 29 cc d0 1b cd 40
Win32/Brolux.A SHA1: 0010d0ae9c56e222c9e90d3ef7dd9a215ca1780d
Flash Exploit SHA1： a646997f716f7af7a734a5148827431d6233101e
Venik SHA1（同じ証明書に署名された）： 41188c1c88f24879745ae4649e0af37f9a47d20c
Venik SHA1（同じ証明書に署名された）： 73F1B8D4650AEC0F60C6C243B8AC68805830460E
悪意あるドメイン： dmmm.jp
フィッシング ページ： fas-go-jp-security.kensatsutyo.com
ドメイン ホスティング設定ファイル： luxurybro.co.kr

Stage 2(誘惑) -　ACEは、ターゲットに送信されたeMailを防御している。
Stage 5（ドロッパー） -　ACEは悪意あるDOCファイルとマルウェアファイルを防御している。
Stage 6（呼び戻す） -　ACEは、この脅威に関連した円うぇ阿仁よって生成された悪意あるトラフィックをライブ、リアルタイム プロテクションを行っている。

eMail感染方向

hxxp://leelazarow[.]com/345gfc334/65g3f4.exe

中間者攻撃をチェックするには

Indicator of Compromise（脅威の存在を示す痕跡）

「緊急」のバグ

差し迫ったパッチ

　この方法で設定されたインチキのクッキーは、セッション中で転送されるあらゆる個人データの漏洩を助けることができる。
　我々は、クッキーに関連する脆弱性が重要なサイト（GoogleやBank of Americaのような）に存在していることを、我々がメジャーなWebブラウザ（Chrome、Firefox、Safariのような）で発見した実装の弱点によって、一層悪くなることを発見したと、CERTは発言している。

・　あなたのデバイスに関係づけられているAdvertising ID（広告ID）
・　ブラウジングと検索履歴（メタデータを含む）
・　あなたが我々の製品に接続するために使用するインターネット サービス プロバイダ、もしくはモバイル ネットワーク
・　あなたのデバイス上の他のアプリケーションと、その使用方法に関する情報

あなたは今、Windows 10をインストールしたいか？

「我々にとって健康より重要なものはないが、NHSの患者にとって、最高のセキュリティ基準で彼等個人の医療データが取り扱われていることを確信することより重要なものはないことを、我々はまた理解しなければならない。」
「Dean Streetの外科が本日全く受け容れ難いデータの漏洩を実際にやって見せたように、真実は、NHSが、これを実行している我々の能力に関して公共の信頼を勝ち得ていなかったことである」

・　3022345:　顧客満足度及び診断テレメトリのための更新プログラム - この更新プログラムによって、診断とテレメトリーのトラッキング サービスがインマーケット デバイスに導入されます。このサービスを適用すると、まだアップグレードされていないシステムに、最新バージョンの Windows からのメリットを追加できます。この更新プログラムは、 Visual Studio Application Insights をサブスクライブしているアプリケーションもサポートします。（Microsoftのサイトより引用、機械翻訳）
・　3068708：　顧客満足度及び診断テレメトリのための更新プログラム - 診断と遠隔測定の追跡サービスを既存のデバイスにこの更新プログラムが導入されています。このサービスを適用すると、まだアップグレードされていないシステムに、最新バージョンの Windows からのメリットを追加できます。この更新プログラムは、 Visual Studio Application Insights をサブスクライブしているアプリケーションもサポートします。（Microsoftのサイトより引用、機械翻訳）
・　3075249：　Consent.exe Windows 8.1 で Windows 7 への遠隔測定のポイントを追加する更新プログラム - この更新プログラムでは、低い整合性レベルからの高度の情報を収集するためにユーザー アカウント制御 (UAC) 機能に「遠隔測定ポイントを追加します。（Microsoftのサイトより引用、機械翻訳）
・　3080149:　顧客満足度及び診断テレメトリのためのアップデート - このパッケージは、既存のデバイスに対する診断とテレメトリのトラッキングサービスをアップデートする。このサービスを適用すると、まだアップグレードされていないシステムに、最新バージョンの Windows からのメリットを追加できる。この更新プログラムは、 Visual Studio Application Insights をサブスクライブしているアプリケーションもサポートする。

引用：　諸君、Dr.Webロシアセキュリティ企業は、解決策を持っているようである。何人かの私のWeb訪問者は、ある製品（アンチウィルス、インターネット セキュリティ スーツ等）を購入した顧客がファイルを復号する無料ツール（DOCファイルは、復号するための彼等のツールでKEYを取り戻すために専門家に送信されなければならない）を持っていることを確認した。それは動作した、私は、それをチェックした、そして、送信されたKEYは、略奪者から復号器内部に配置された、また動作した、それは本物のKEYであった。

・　広告ネットワーク上で脆弱性攻撃をホストしている。これは全く正当なWebサイトで使用されている。
・　ブログによると、ブログ サーバー ソフトウェアや単純に弱い証明書の脆弱性を悪用することによって、正当なWebサイトを介してコントロールを取得する。
・　攻撃用の特別なWebサイトをセットアップし、検索エンジンの結果を巧みに操作する
・　e-Mailや他のメッセージ プログラムによって、このサイトへのリンクをあなたに送信する

　クリックすると拡大します。FiddlerデバッギングWebプロキシ中に表示された。あなたがタイプを始めるか、マシンを再起動する度にスタート メニューが実行するリクエスト。

　クリックすると拡大します。我々は、ここで何が起きているのか全く分からない。

WPBTの主たる目的は、そのオペレーティングシステムが変更されたり、「クリーン」な設定で再インストールされたときでさえ、重要なソフトウェアが存続することを可能にすることである。この機能はWindowsのコンテキスト中でシステムソフトウェアを永続的に実行するための能力を提供するために、WPBTベースの解決策は、可能な限り安全であり、悪用可能な条件にWindowsユーザを晒さないことが重要になる。

　LSEは、Microsoft Windows Platform Binary Table (WPBT)互換を使用している。Microsoftは、この機能を最高に実装する方法に関するアップデートされたセキュリティガイドラインを最近リリースした。LenovoのLSEの使用は、これらのガイドラインに一致しなかった、そこで、Lenovoは、LSEを無効化し、このシステムからLSEファイルを削除する無効化プログラムを実行することによって、このユーティリティを顧客が無効化することを推奨する。
　このLSE機能は、新しく生産されたシステムからは既に削除されている。

違反

Microsoft

緊急アップデート

　あなたが通常バージョンを使用しているのなら39.0.3を持っていることを、もしくは、あなたが拡張サポートリリースにこだわっているのであれば、ESR38.1.1を持っていることを確実にしなさい（バージョン番号は、2015/08/07協定世界時21:00に修正されている）。

Same Origin Policy（同一生成元ポリシー）をバイパスする

WindowsとLinuxが攻撃されている

・　Subversion, s3browser, Filezilla設定ファイル。これらは、開発者が彼らの知的所有権を保持しているソースコード リポジトリである。
・　Psi+とPidginのアカウント情報。開発者がチャットやファイルの転送に使用する可能性のあるインスタント メッセージ クライアント。
・　8つの異なるFTPクライアント用の設定データ。FTPもしくは、その安全な姉妹版SFTPは、ファイルのレポジトリやコンテント マネージメント　システムから、ファイルのアップロードやダウンロードにしばしば使用されている。

・　/etc/passwd のようなグローバル設定ファイル。このパスワードファイルは、もはや、実際のパスワードを格納していないが、そのコンピュータに関する全てのユーザアカウントをリストしている。
・　.bash_history, .mysql_history, 秘密鍵を含む .ssh ファイルのようなユーザ ホームディレクトリ中のファイル。あなたのSSH鍵を盗むことは、犯罪者が、あなたが通常使用している全てのサーバーに直接ログインすることを可能にする。
・　パスやアクセスを含む名前付きのテキストファイル。これらはパスワードのような平文の秘密を含んでいるかもしれない。
・　全てのシェル スクリプト。これらは、パスワードや、安全なシステムやサービスに自動アクセスするために必要とされる重要な情報を含んでいる。

実行することは何か？

・　Firefoxを直ちにアップデートしなさい。
・　上述のファイル中で露にされているかもしれない全てのパスワードの変更を考慮しなさい。（より正確なリストに関してはMozillaのブログを参照）
・　Linuxに関しては、あなたのコマンドの履歴は、しばしばパスワードや他の重要なデータを露にするので、Bashや他のプログラム中の”history”機能をOFFにしなさい。
・　二要素認証を考えなさい、そうすることで、盗まれたパスワードだけでは、犯罪者はあなたに代わってログインすることはできない。

それはe-Mailで始まる

　攻撃用e-Mailのスクリーンショット（Cisco Blogより）

　騙されるな！ このe-Mailは安全ではない（Cisco Blogより）

彼らは次に、金銭を要求する

　CTB-Lockerのメッセージ（Emsisoftより）

早期の検出が鍵である

abw,accdb,ai,aif,arc,as,asc,asf,ashdisc,asm,asp,aspx,asx,aup,avi,bbb,bdb,
bibtex,bkf,bmp,bpn,btd,bz2,c,cdi,cer,cert,cfm,cgi,cpio,cpp,crt,csr,cue,
c++,dds,dem,dmg,doc,docm,docx,dsb,dwg,dxf,eddx,edoc,eml,emlx,eps,epub,
fdf,ffu,flv,gam,gcode,gho,gif,gpx,gz,h,hbk,hdd,hds,hpp,h++,ics,idml,
iff,img,indd,ipd,iso,isz,iwa,j2k,jp2,jpf,jpeg,jpg,jpm,jpx,jsp,jspa,jspx,
jst,key,keynote,kml,kmz,lic,lwp,lzma,m3u,m4a,m4v,max,mbox,md2,mdb,
mdbackup,mddata,mdf,mdinfo,mds,mid,mov,mp3,mp4,mpa,mpb,mpeg,mpg,mpj,
mpp,msg,mso,nba,nbf,nbi,nbu,nbz,nco,nes,note,nrg,nri,ods,odt,ogg,ova,
ovf,oxps,p2i,p65,p7,pages,pct,pdf,pem,phtm,phtml,php,php3,php4,php5,
phps,phpx,phpxx,pl,plist,pmd,pmx,png,ppdf,pps,ppsm,ppsx,ppt,pptm,pptx,
ps,psd,pspimage,pst,pub,pvm,qcn,qcow,qcow2,qt,ra,rar,raw,rm,rtf,s,sbf,
set,skb,slf,sme,smm,spb,sql,srt,ssc,ssi,stg,stl,svg,swf,sxw,syncdb,tar,
tc,tex,tga,thm,tif,tiff,toast,torrent,tpl,ts,txt,vbk,vcard,vcd,vcf,vdi,
vfs4,vhd,vhdx,vmdk,vob,wbverify,wav,webm,wmb,wpb,wps,xdw,xlr,xls,xlsx,
xz,yuv,zip,zipx

ATTENTION!
The files on your computer have been securely encrypted by Encryptor RaaS.
To get access to your files again, follow the instructions at:
https://decryptoraveidf7.onion.to/vict?cust=&guid=
ACHTUNG!
Die Dateien auf Ihrem Computer wurden von Encryptor RaaS sicher verschluesselt.
Um den Zugriff auf Ihre Dateien wiederzuerlangen, folgen Sie der Anleitung auf:
https://decryptoraveidf7.onion.to/vict?cust=&guid=

　唯一の例外を除き、参加したエントリは、誤検出、スキャン スピード / パフォーマンス不良に関する大きな問題を持っていなかった。今までで初めての「次世代」セキュリティ製品は、SentineOneの末端保護セットを含んでいた。この結果は、この製品が従来のアンチウィルス製品に負けないでついて行っていることを証明している。

　「殆どのツールのマルウェア保護は、全ての0-Dayの凡そ98-99%をブロックしているので、良好なレベルとして容認できる。」　

・　成功裏に脆弱性を攻撃した攻撃者は、影響を受けたシステムの制御を完全に奪うことができる。次に、攻撃者はプログラム（データを閲覧、変更、削除したり、完全なユーザ権限で、新しいアカウントを作成したりするための）をインストールすることができる。
・　攻撃者が、この脆弱性を攻撃する方法は複数ある（特別に細工されたドキュメントをユーザが開くように説得したり、あるいは、埋め込まれたOpenTypeフォントを含む危険なWebページを訪問するように説得することによって）。このアップデートは、Windows Adobe Type ManagerライブラリがOpenTypeフォントを取り扱う方法を正しくすることによって、この脆弱性を解決する
・　このセキュリティ ブレチンが発行されたとき、Microsoftは、この情報が公開されたことを示す情報を持っていたが、この脆弱性が顧客を攻撃するために使用されたことを示す情報は持っていなかった。我々の解析は、攻撃者が一貫してこの脆弱性を攻撃することができる方法で、脆弱性攻撃コードを作成することができることを示していた。

　緊急の脆弱性（CVE-2015-5122）は、Windows、Machintosh、Linux用のAdobe Flash Player 18.0.0.204と、それ以前のバージョンで特定されている。悪用が成功すると、クラッシュや影響を受けたシステムの制御を攻撃者が奪うことを可能にする。Adobeは、この脆弱性をターゲットにしている攻撃が、公に公開されたとするレポートを把握している。Adobeは、2015/07/12の週の間にアップデートを予定している。
　Adobeは、CVE-2015-5122を報告し、Adobeの顧客を支援するためにAdobeと共に仕事したFireEyeのDhanesh Kizhakkinanに感謝している。

Hacking Teamによって開発されたFlash脆弱性攻撃の使用方法を説明する、Hacking Teamから盗まれたナレッジベース ファイル。

どうするのか？

・　Flashが必要ないのであれば、インストールしないようにしなさい。あなたがFlashを必要と仮定しているのではなく、実際に必要か否か確認するには、一週間から二週間、Flash無で生活してみなさい。あなたは嬉しい驚きを得るかもしれない。
・　偶にFlashを必要とするだけなら、Click-to-Playを使用しなさい。これは、あなたのWebブラウザにFlashを使用しているページを許可したいか否か、毎回あなたに尋ねてくるものである。もしくは、あなたがFlashプラグインを必要と認識している場合を除いて、このFlashプラグインをOFFにしなさい。
・　あなたがFlashを持っているのであれば、アップデートにタイムラグがないようにしなさい。自動アップデートでさえ到着するのに時間がかかる。これは、Adobeが無作為に、そのユーザの間で負荷を分散しているからである。あなたは手動アップデートをチェックすることで、この行列待ちを飛び越えることができる。
・　あなたが未だにWindows XPを使用しているのであれば、お願いだからXPの使用を止めなさい。Windows 7以降にこの脆弱性攻撃を詐欺師が行うことは本当に困難（実際には、殆ど不可能）であるこの脆弱性は、Windows XPに対する実効ある攻撃に、しばしば転換される。
・　アンチウィルスをONにしアップデートを維持しなさい。適切なアンチウィルスは、この種の攻撃を複数の点でブロックする。例えば、攻撃キットがホストしているWebページをブロックする、攻撃キットのJavaScriptコンポーネントをブロックする、Flashへの攻撃自体をブロックする、攻撃キットが次に掴んでくる身代金要求型マルウェアをブロックする。
・　バックアップの作成を怠るな。あなたが身代金要求型マルウェアから復旧するために十分適切なバックアップを持っていないなら、あなたには、様々な他の潜在的なデータ災害のリスクもまた存在する。これらには、偶然の削除、ハードドライブの損傷、ラップトップの紛失や盗難を含んでいる。

Samsungは、Windows Updateを無効にする

Samsungの証明書

1/　ブラウザツールバーのChromeメニューをクリックする
2/　「設定」を選択する
3/　ページの一番下にある「詳細設定を表示」をクリックする
4/　「プライバシー」セクションで「コンテンツの設定」をクリックする
5/　「メディア」セクションで、

・　サイトが、あなたのカメラやマイクロフォンにアクセスを要求する時は常に、Chromeが警告するように設定したいのであれば、「カメラやマイクのアクセスをサイトが要求するたびに確認する」オプションを選択する。
・　如何なるサイトであろうとも、カメラやマイクロフォンへのアクセスのリクエストを拒否するのであれば、「カメラやマイクへのアクセスをサイトに許可しない」オプションを選択する。

http://skslm.swiftkey.net/samsung/downloads/v1.3-USA/az_AZ.zip

../../../../../../../../data/payload

$ su -c "ls -l /data/payload"
-rw------- system   system   5 2014-08-22 16:07 payload

　我々は、我々のチームがネットワーク上での疑わしい行為を発見しブロックしたことを、金曜日に我々のコミュニティに通知した。我々の調査において、暗号化されているユーザの保管庫のデータが奪い取られた証拠も、LastPassユーザのアカウントがアクセスされた証拠も発見していない。しかしながら、この調査は、LastPassアカウントのeMailアドレス、パスワード リマインダ、ユーザ毎のソルト、認証ハッシュがセキュリティ侵害されたことを示していた。
　我々は、我々の暗号化対策が、巨大な数のユーザを保護するのに十分であったと確信している。LastPassは、認証ハッシュを強化するために、ランダムなソルトと、繰り返し回数10万回のサーバサイドPBKDF2-SHA256を使用しており、さらにクライアント側でも繰り返し計算を実行している。この追加の強化策により、問題となるほど短期間の内に盗み出されたハッシュを攻撃することは困難である。

　JavaアップデートでのAskツールバー

　Askツールバー削除ガイド

　Microsoftセキュリティソフトウェアは、この意図しないソフトウェアを検出し削除する。
　ソフトウェアの今までのバージョンは、検索プロバイダ越しにあなたのコントロールを限定するか、制限することができる。これは、あなたが検索プロバイダを無効にしたり修正することをできなくする。

　この拡張は、このクッキーリストをアップデートする特別なメカニズムを含んでいない。企業が含まれる改定を行うためには、Googleは新しいバージョンをリリースする必要がある。
　ここ数年間、Googleは、忘れていたようである。このクッキーリストの最新バージョンは2011年10月である。

Locker Unlocker v.1.0.5.0

ツールのダウンロード

有益な情報
　このバージョンの復号ツールは、この感染が犠牲者に与えているBitCoinアドレスを知っている犠牲者に関してのみ動作する。直ぐにアップデートが行われるはずなので、このアドレスを知らない犠牲者もファイルを復号できるようになるだろう。それまで、我慢されたい。

Locker Unlocker v.1.0.5.0 の使用方法

・　BitCoinのアドレスを入力する（このアドレス中にスペースや他の文字を含めてはならない。あなたのBitCoinアドレスだけにしなければならない）。
・　復号方法を選択する（List Decryptionは、このウィルスが作成したリストを使用する、最も実践的で推奨される方法である。Directory Decryptionは、与えられたディレクトリ中の全てのファイルを復号する。この方法では、フォルダ中の暗号化されていないファイルが損壊する可能性があるので注意しなさい。復号する前に検証するされるが、これに関しては信用しないようにしなさい。あなたが、この方法を使用するのであれば、暗号化されたファイルを新しいディレクトリにコピーし、それを選択するようにしなさい）
・　あなたのリストのある場所もしくは、あなたのディレクトリが存在する場所（Directory Decryptionの場合）の、どちらかを選択する。

・　Remove Encrypted files - このオプションは、このツールが、復号されたファイルの傍に暗号化されているファイルのバックアップを作成することを妨げる。初回の起動でこのオプションを有効にしないことが指示されている。
・Create Log - これは復号に成功したファイルと失敗したファイルの全てのログをデスクトップ上に作成する。

猛烈な攻撃

1. CVE-2013-2551

2. CVE-2014-6352

3. CVE-2011-3544.R

4. CVE-2014-0515.C

5. CVE-2014-1776.A

6. CVE-2010-0840.AU

7. CVE-2012-0158.A

　メインのLockerの画面

vssadmin.exe delete shadows /for=C: /all /quiet

　LockerのPaymentページ

　Lockerのステータスのページ

・ data.aa0 - このファイルは暗号化されたファイルのリストを含んでいる
・ data.aa1 - 目的不明
・ data.aa6 - 犠牲者に固有のBitcoinアドレス
・ data.aa7 - 以下に類似のRSAキー

　引用
　＜RSAKeyValue＞＜Modulus＞rvSUBZItCXDmeBBu01Imy811u41pOSTRDn9
+6FpsEvXXfoBrcLgBd5ommgeT5jFRmY1/4vvsd+uXTUOG9FPBtbx1ySB9cv6/+5dU8
v4SZTFIkCBIb5nXvYNzmm/lBB5OXOr6B8dkjyEr94LvUUg4B4XyFRjjjoXSU
XX6ND0vbt1knN6/mBSIfkvv7XTlS5IBmbxB149t79mFcr9nu1tS9edI6s+
sIUB14jFumf5xob1YG5UXOSntBDgkuIso+JXrXvB1ze4Bc7Ec1711Bmy7rfXScx
pxXFb7rByZukBN5IomrY+9rTpyC4Df+pvJz/osBS0kSBS+BvIdETT/
nKmIYm==＜MSodulus＞＜Exponent＞ImIB＜/Exponent＞＜/RSAKeyValue＞
・ data.aa9 - 目的不明
・ data.aa9 - この身代金要求マルウェアがアクティブになる日付（【訳注】 上と同じファイル名ですが原文どおりです）
・ data.aa11 - 目的不明

　以下、質問に関することや感謝の言葉等につき省略します。

輸出規制

「コップの中の嵐」

多くのホームデバイスは危険に晒されている

自分自身を保護するには

　TeslaCrypto Decryption Tool

ドロップもしくはダウンロードでき、次に感染するマルウェア作成ツール

・　ドロッパー: このケースにおいては、感染用のアプリケーションによって使用される悪意のペイロード（【訳注】 payloadには、軍事用語として一発のミサイルが搭載できる爆発物の総量の意味があります。マルウェアに適用する場合は、悪意の総体もしくは総量くらいです）は、ローカルに存在している。これは、要求される全てのコンポーネントが一つのパッケージ中に同梱されているので（メインのマルウェア・コンポーネントは、実行後、抽出されるかドロップされる）、オフラインで実行することができることを意味している。
・　ダウンローダー: ダウンローダーは、悪意あるペイロードのURLだけを含んでいる。これは、感染プロセスがインターネットから追加の材料をダウンロードすることを要求することを意味している。これは、より困難な感染プロセスのように見えるが、この脅威が実行される時には常に、新しくより危険なマルウェアがダウンロードされることが可能であることも意味している。

WMIマルウェアは攻撃者が追跡することができ、財務情報を盗むために使用することができる

・　BitCryptは、そのプログラム ファイル、AppData、ProgramData、ブート、Windows、Winnt、ゴミ箱、ダウンロード、all users、tempフォルダ中で発見された全てのファイルを暗号化するわけではない。
・　そのフォルダが画像やバックアップ文字を含んでいる場合は、拡張子に関わらず全てのファイルを暗号化する。
・　それ以外の場合は、以下にマッチした全てのファイルを暗号化する。
.odt,.ods,.odp,.odm,.odc,.odb,.doc,.docx,.docm,.wps,.xls,.xlsx,.xlsm,.xlsb,.xlk,
.ppt,.pptx,.pptm,.mdb,.accdb,.pst,.dwg,.dxf,.dxg,.wpd,.rtf,.wb2,.mdf,.dbf,.psd,
.pdd,.pdf,.eps,.ai,.indd,.cdr,.dng,.3fr,.arw,.srf,.sr2,.mp3,.bay,.crw,.cr2,.dcr,
.kdc,.erf,.mef,.mrw,.nef,.nrw,.orf,.raf,.raw,.rwl,.rw2,.r3d,.ptx,.pef,.srw,.x3f,
.der,.cer,.crt,.pem,.pfx,.p12,.p7b,.p7c,.jpg,.png,.jfif,.jpeg,.gif,.bmp,.exif,
.txt,.tc,.mov,.mp4,.rar,.zip,.iso,.vsdx,.3ds,.c4d

shadow,cmd,processhacker,mbam,sh4,spyhunter,msconfig,taskmgr,roguekiller,rstrui,
regedit,procexp

既知のBitCryptorファイル

%Temp%¥BitCryptorFileList.txt
%Temp%¥wallpaper.jpg
%UserProfile%¥filelist.locklst
%UserProfile%¥sfile

既知のBitCryptor身代金要求マルウェアのレジストリ・キー

HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥BitC "%UserProfile%¥bclock.exe"
HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥RunOnce¥*BitC "%UserProfile%¥bclock.exe"
HKCU¥Control Panel¥Desktop¥Wallpaper "%Temp%¥wallpaper.jpg"

フロー

大変な期待外れ

　（引用）　警告！ あなたは剽窃コンテンツが発見されたコンピュータを持っている！ あなたのファイルの全ては暗号化された。ファイルを復号するには、サイト http://str.fulba.com を訪問し、そのサイト上に表示されている指示にしたがう必要がある。このサイトが何らかの理由から利用できないのであれば、stoppirates@yahoo.comに問い合わせなさい。あなたのID 123456。
　あなたはパスワードを5回入力できる。この制限回数を超えると、全てのファイルは削除されるだろう！ データの復号の個人的な試みは、それらのデータの損失を導くことになる。

　（引用）　コンテンツは、H.R. 3261下院法案 SOPA（【訳注】 Stop Online Piracy Act、オンライン海賊行為防止法案）、S.968上院法案 PIPA（【訳注】 Protect Intellectual Property Act、知的財産保護法案）によって委ねられた権限によってブロックされた。

既知の関連する身代金要求ソフトのファイル

%Temp%¥.exe
%Temp%¥ag.exe
%Temp%¥.bmp
%Temp%¥in.js
%Temp%¥services.exe

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum,
.ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf,
.sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup,
.syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis,
.sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx,
.kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr,
.ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx,
.bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav,
.lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .wallet, .wotreplay, .xxx, .desc,
.py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem,
.crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf,
.nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr,
.dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2,
.rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb,
.xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odtFor

既知のAlpha Crypt身代金要求ソフトのファイル

%AppData%¥blburkg.exe
%AppData%¥log.html
%AppData%¥key.dat
%Desktop%¥HELP_TO_SAVE_FILES.txt
%Desktop%¥HELP_TO_SAVE_FILES.bmp
%Desktop%¥Save_Files.lnk
%Documents%¥RECOVERY_FILE.TXT

既知のAlpha Crypt身代金要求ソフトのレジストリキー

HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥AVSvc %AppData%¥.exe

　（インフォメーション） ところで、私が此処で、WordPressのセキュリティについて語っているとき、私は、あなたがサーバ上で実行しているセルフホスティングのWordPressを意味している。
　私は、他の誰かがセキュリティを考えている（彼らはセキュリティについて非常に良い仕事をしている）WordPress.comを意味していない。ただ、WordPress.comは、あなたのサイトの動作方法を調整する機能をあまり提供していない（典型的な一長一短）。
　wordpress.orgとwordpress.comの相違を紛らわしく思っているのは、あなた一人ではない。

　現在のWordPressのバージョンは格納されたXSSに脆弱性がある。攻撃者は認証されていなくても、WordPressコメントにJavaScriptを挿入することができる。このスクリプトは、コメントが閲覧されたとき引き金になる。
　管理者のログインによって引き金が引かれたなら、Defaultの設定の下で、攻撃者はプラグインとテーマ エディタを介してサーバ上で任意のコードを実行するために、この脆弱性を悪用することができる。
　コメントのテキストが長すぎる場合、データベースに挿入されるとき、そのコメントは切り捨てられる。MySQLのTEXT型のサイズ制限は64KBなので、コメントは大変長い必要がある。
　この切り捨ては、悪意あるHTMLをページ上に生成させる結果となる。最近公開された二つのWordPressのコアに影響を与えるXSS脆弱性と同様に、攻撃者は、許可されているHTMLタグに凡る属性を供給することができる。

　「2014年11月以来、進行中のセキュリティ脆弱性に関してコミュニケーションを取ろうとしても、WordPressは、これを拒否している。我々は、フィンランド国内当局（CERT-FI）とHackerOneを介して、e-Mailで彼らに連絡をとろうと試みた。2014年11月20日以来、いかなる種類の回答も得られていない。我々の認識では、彼らのセキュリティ対策チームは、我々が通知した問題を共同して解決しようとしたフィンランドの通信監督当局と、我々のオープン・バグチケットの状態（【訳注】 バグ管理に関してはWikiPedia参照してください）を明かにしようとしたHackerOneのスタッフへの対応を拒否している。」

HKCU¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run "WINUP" = regsvr32 "C:¥Users¥¥AppData¥Local¥Temp¥reg.dll

*.txt, *.html, *.htm, *.css, *.wmv, *.wallt, *.odt, *.ods, *.odp, *.odm, *.odc, *.odb,
*.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm,
*.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd,
*.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay,
*.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl,
*.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

サーバ・メッセージ・ブロック（SMB）から不正アクセスを可能にするまで

　SMB攻撃へのリダイレクトは、1997年にAaron Spanglerによって発見された脆弱性上に構築される。Aaron Spanglerは、単語”file”（file://1.1.1.1/ のような）で始まるURLをInternet Explorerに提供することは、SMBサーバにIPアドレス 1.1.1.1 で認証させる企てをオペレーティングシステムに発生させることを発見した者である。盗まれた証明書は、プライベート・アカウントへの侵入、データの盗難、PCの制御を行うことに使用され、ターゲットのネットワークに深く入り込み橋頭堡を築くことができるために深刻な問題である。これら”file”URLは、画像、iframe、あるいはブラウザによって解決されるあらゆる他のWebリソースとして提供されることが可能である。

アンチウィルス プログラムに影響さえ与える大規模な脆弱性

・　Symantec Norton Security Scan
・　AVG Free
・　BitDefender Free
・　Comodo Antivirus

・　洗練された計画に基づく標的型攻撃
・　マルバタイジング（悪意ある広告）を使用した攻撃
・　ホテルやコーヒーショップのような場所にある共有WiFiアクセスポイントを介しての攻撃

・　どのような暗号化アルゴリズムが使用されているか？
・　どのような暗号利用モードが使用されているか？
・　そして、最も重要なことは、どのようなマルウェアが扱われているか？

Kaspersky Lab - Ransomware Decryptor ページの和訳

CoinVault復号化ツール等の使用方法

・　 Single File Decryptionの項目の”Select File”ボタンをクリックし、あなたが復号したいファイルを選択しなさい。
・　Enter your IVの項目のIVボックスにWebページから取得したIVを入力しなさい。
・　Enter your keyの項目のキーボックスにWebページから取得したキーを入力しなさい。
・　startボタンをクリックしなさい。

　一般的に使用されているDell System Detectのバージョン

マルウェアを提供するために攻撃されたFlash脆弱性

身代金要求ソフト（ランサムウェア）が再び増加

　画像中の、"Ads by wxDownload" に注目

　広告が挿入されたニューヨークタイムズ。
　お使いのコンピュータで発見された疑わしい行動として、個人情報漏洩の可能性とコンピュータエラーが検出されました。
　公認のライブ技術者に直ちに連絡してください。 　XXXXXXXXXXXXX（無料電話番号）

・　広告の挿入はWindowsだけの問題ではない。広告挿入はWindows及びMac上で可能であると共に、全てのメジャーなWebブラウザは、この影響を受ける。
・　驚いたことにGoogleのサイトを訪問する5%の人々が、「少なくとも一つの広告挿入プログラムをインストールしていた。この群の中で、半分の人達が、少なくとも二つの広告挿入プログラムをインストールしていたし、1/3の人達が、少なくとも四つの広告挿入プログラムをインストールしていた。」　これは、一部の人々が、この様なものに本当に惚れ込む傾向にあるということを私に継げている。
・　Googleの研究は、広告を挿入するChrome拡張の34%は「剥き出しのマルウェア」として分類されることを明らかにしている。此処にグレーゾーンは無い

　これらルータ・ハイジャックが成功すると、そのルータのDNS設定は、攻撃者によって制御されているペテン用のDNSサーバに向かうように変更される。Defaultで、殆どの一般的なオペレーティング・システム（Windows, OS X, iOS, Android, Ubuntu）は、これらOSがネットワーク（DHCP経由で）に接続したとき、ルータから、それらのDNS設定を自動的に取得するように設定されている。これは、デバイスがセキュリティ侵害されたルータのネットワークに接続したとき、OSが自動的にルータと同じペテン用のDNS設定を構築することを意味している。
　攻撃者が、あなたがIPをルックアップするために使用しているDNSサーバを制御したなら、彼らは、正しいIPを彼らの制御下にあるサーバのIPに置換することができる。次に、あなたは、特定のドメインに接続していると思い（実際には攻撃者によって制御されているサーバに接続しているのだが）、このIPに接続することになる。

マルウェアが顧客のカード情報を盗む等

　【訳注】 今年1月、アメリカの小売大手Targetがこの攻撃を受けました。この件に関するKasperskyの説明があります。上図の説明にあたる部分を引用しておきます。
”攻撃者が何らかの方法でTargetの支払処理サーバーに侵入したことはほぼ間違いないと思われます。しかし問題は、カードデータがサーバーに到達したときには、情報がすでに暗号化されていたということです。とはいえ、その情報が支払の承認のために平文に復号される時間はほんの少ししかありません。そのときに、レジ自体（システムによっては近くのサーバー）が支払データを平文でランダムアクセスメモリ（RAM）に保存します。
　ここでPOSマルウェアが暗躍します。POSマルウェアは、この復号されたRAMデータをかき集めて、カード番号、ユーザー名、住所、セキュリティコードといった支払情報など、トラック1とトラック2のすべての支払カードデータを盗み出すように、特別に設計されています。この種のマルウェアはRAMスクレーパーと呼ばれており、少なくとも6年ほど前から出回っています。”

・　quartlet.com
・　horticartf.com
・　kilaxuntf.ru
・　dreplicag.ru
・　fimzusoln.ru
・　wetguqan.ru

PoSeidonはセルフアップデートできる、そして、削除が困難である

　”PoSeidonは、他のPoSマルウェアに見られない新しい能力のある迅速で回避的であるように専門的に書かれている。PoSeidonは、C&Cサーバーと直接通信でき、新しいコードを実行するためにセルフアップデートし、リバースエンジニアリングを警戒した自己防衛メカニズムを持っている。

・　CVE-2015-0332：　メモリ破損を介してのリモードコード実行の脆弱性
・　CVE-2015-0333：　メモリ破損を介してのリモードコード実行の脆弱性
・　CVE-2015-0334：　タイプの混乱によるリモードコード実行の脆弱性
・　CVE-2015-0335：　メモリ破損を介してのリモードコード実行の脆弱性
・　CVE-2015-0336：　タイプの混乱によるリモードコード実行の脆弱性
・　CVE-2015-0337：　クロスドメインポリシーをバイパスする脆弱性
・　CVE-2015-0338：　整数（Integer）オーバーフローによるリモートコード実行の脆弱性
・　CVE-2015-0339：　メモリ破損を介してのリモードコード実行の脆弱性
・　CVE-2015-0340：　ファイルアップロードの制限をバイパスする脆弱性
・　CVE-2015-0341：　解放後の使用によるリモートコード実行の脆弱性
・　CVE-2015-0342：　解放後の使用によるリモートコード実行の脆弱性

【訳注】 「KB3033929」は、昨年10月15日にリリースされた「KB2949927」を置き換えた修正版。「KB2949927」はリリース後に、インストールできなかったり、インストール後にOSの再起動に失敗するなどの問題が報告されたため、同月20日に配布が中止。アンインストールが推奨されていた。（窓の杜より）

経緯

3月11日 23：00頃　症状の報告あり、調査解析をおこなう。
3月12日 03：00 新しいシグネチャファイルに変更済み

対応策

コンピュータを再起動しないようにしてください。
隔離されたファイルを復元する取り組みを進めています。それは自動的におこないます。
但し、コンピュータを再起動してしまうと、そのソリューションが反映されなくなり
また起動しなくなる恐れがあります。
この場合には、回復ツールを現在、Pandaでは準備をしています。
準備が出来次第、すぐにご案内をさせていただきます

ヘルプファイルの何がそんなに危険なのか？

Cryptowallの感染を防ぐには？

vssadmin delete shadows /all /quiet

　Figure 4: Reader 9でファイルを開いた後

.7z;.rar;.m4a;.wma;.avi;.wmv;.csv;.d3dbsp;.sc2save;.sie;.sum;.ibank;.t13;.t12;.qdf;.gdb; .tax;.pkpass;.bc6;.bc7;.bkp;.qic;.bkf;.sidn;.sidd;.mddata;.itl;.itdb;.icxs;.hvpl;.hplg;
.hkdb;.mdbackup;.syncdb;.gho;.cas;.svg;.map;.wmo;.itm;.sb;.fos;.mcgame;.vdf;.ztmp;.sis;
.sid;.ncf;.menu;.layout;.dmp;.blob;.esm;.001;.vtf;.dazip;.fpk;.mlx;.kf;.iwd;.vpk;.tor;
.psk;.rim;.w3x;.fsh;.ntl;.arch00;.lvl;.snx;.cfr;.ff;.vpp_pc;.lrf;.m2;.mcmeta;.vfs0;
.mpqge;.kdb;.db0;.DayZProfile;.rofl;.hkx;.bar;.upk;.das;.iwi;.litemod;.asset;.forge;
.ltx;.bsa;.apk;.re4;.sav;.lbf;.slm;.bik;.epk;.rgss3a;.pak;.big;.unity3d;.wotreplay;.xxx;
.desc;.py;.m3u;.flv;.js;.css;.rb;.png;.jpeg;.txt;.p7c;.p7b;.p12;.pfx;.pem;.crt;.cer;
.der;.x3f;.srw;.pef;.ptx;.r3d;.rw2;.rwl;.raw;.raf;.orf;.nrw;.mrwref;.mef;.erf;.kdc;.dcr; .cr2;.crw;.bay;.sr2;.srf;.arw;.3fr;.dng;.jpe;.jpg;.cdr;.indd;.ai;.eps;.pdf;.pdd;.psd;
.dbfv;.mdf;.wb2;.rtf;.wpd;.dxg;.xf;.dwg;.pst;.accdb;.mdb;.pptm;.pptx;.ppt;.xlk;.xlsb;
.xlsm;.xlsx;.xls;.wps;.docm;.docx;.doc;.odb;.odc;.odm;.odp;.ods;.odt;

vssadmin delete shadows /all

%AppData%¥.exe
%AppData%¥key.dat
%AppData%¥log.html
%Desktop%¥CryptoLocker.lnk
%Desktop%¥HELP_TO_DECRYPT_YOUR_FILES.bmp
%Desktop%¥HELP_TO_DECRYPT_YOUR_FILES.txt

HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥crypto13　%AppData%¥.exe

　Vawktrakマルウェア攻撃、Virus Bulletin提供。

Nortonは、この問題に気がついており、顧客に対して可能な限り早急に修正を提供すべく作業している。当面、我々は、軽減オプションに関して顧客とともに作業している。我々の最優先事項は、顧客が保護されることを保証することであり、我々は利用可能になった情報を共有していくだろう。

・　HTTPSを含むWebトラフィックの全てをインターセプトするネットワークフィルタをインストールする。
・　あなたのHTTPSトラフィックを復号するために中間者攻撃を実行する。
・　信頼されたルート証明書をインストールするので、中間者攻撃による復号は如何なる警告も生成しない。

　”誤解の無いように言うと、Superfishは、Lenovo消費者用製品にだけ同梱されており、ユーザが視覚的に製品を検索し発見することを支援するための技術である。この技術は即座にWeb上の画像を解析し、ユーザがアイテムが何と呼ばれているのかという厳密な知識無く画像を検索したり、あるいは、一般的なテキストベースの検索エンジンにそれを説明する方法を支援するすることで、同質、もしくは、より安価であるかもしれない類似の製品を提案する。

　”Lenovoは、2015年01月において、新しい消費者システムの事前インストールからSuperfishを削除した。同時に、市場に存在しているLenovoマシンからSuparefishアクティベートを無効にした。
　Superfishは、選ばれた一握りの消費者モデルだけに事前インストールされていた。Lenovoは、Superfishに関連して浮上したあらゆる懸念を徹底的に調査中である。

E10-30, Flex2 14, Flex2 15, Flex2 14D, Flex2 15D, Flex2 14 (BTM), Flex2 15 (BTM), Flex 10, G410, G510, G40-70, G40-30, G40-45, G50-70, G50-30, G50-45, Miix2-8, Miix2-10, Miix2-11, S310, S410, S415, S415 Touch, S20-30, S20-30 Touch, S40-70, U330P, U430P, U330Touch, U430Touch, U540Touch, Y430P, Y40-70, Y50-70, Yoga2-11BTM, Yoga2-11HSW, Yoga2-13, Yoga2Pro-13, Z40-70, Z40-75, Z50-70, Z50-75

　”Netgearサポートの当初の対応は、これらの問題にも拘らず、幾つかの組み込みセキュリティ機能により「ネットワークは依然として安全なまま」であると言うものであった。サポートと共にこの脆弱性の本質を明らかにしようとする試みは失敗した。この手段は、フォローアップを待っている間に自動的に閉じられた。その後Netgearの‘OpenSource’コンタクトに送信されたe-Mailは、放置されたままであった。

av.nvc.enGB.nuancemobility.net 208.94.122.45

　SamsungスマートTVからインターセプトされたデータ。著作権： Pen Test Partners