セキュリティ情報‥


このページは、以下のサイトの和訳を中心として、セキュリティ関連のニュースを発信していくことにします。

Archive
2007まで
2008年
2009年
2010年
2011年
2012年
2013年
2014年
2015年

    セキュリティ・メーカー関連
  • ・ Emsisoft : Blog
  • ・ ESET WeLiveSecurity
  • ・ Kaspersky SecureList
  • ・ Websense Security Labs
  • ・ McAfee Blog Central
  • ・ Sophos Naked Secuirty
  • ・ Bitdefender : HOTforSecuirty
  • マスメディア
  • ・ BBC
  • ・ The Washington Post
  • ・ The Gurdian
  • ・ The Register
  • 情報サイト等
  • ・ Graham Cluley
  • ・ Krebs on Security
  • ・ The PC Informant
  • ・ BleepingComputer


Android用の身代金要求型マルウェアは、LGエレクトロニクスのスマートテレビに感染する
BleepingComputer : News>Security (2016/12/28)
 セキュリティ企業は、電話やタブレットからスマートテレビのような他のAndroidデバイスに飛び移るAndroidマルウェアの可能性に関して一年以上前から我々に警告し続けていた。
 スマートテレビ用の身代金要求型マルウェアに関連する最新の出来事は、Darren Cauthonの家族の一人が所有するLGのスマートテレビが、クリスマスに身代金要求型マルウェアに感染したことである。
Cauthonがオンラインに投稿したスクリーンショットに基づくと、このスマートテレビは、Cyber.Police(FLocker, Frantic Locker, Dogspectusとしても知られる)身代金要求型マルウェアの変種に感染したかのようである。


身代金要求型マルウェアに感染したLGのスマートテレビ

 この感染させられたテレビは、Intel, Sony, Logitechと一緒にGoogleによって開発されたスマートテレビ プラットフォームであるGoogle TVを稼働するLGスマートテレビの最後の世代の一つであった。Google TVは、2010年に稼働したが、Googleは、2014年6月に中止している。
 他方、LGは、Google TVから去り、この会社のTVは現在、WebOS(オープンソースLinuxカーネルベースのマルチタスク・オペレーティングシステム)を稼働している。

身代金要求型マルウェアはデバイスのロックを解除するために500$求め、LGは支援のために340$求める

 Cauthonは、このTVを工場出荷状態にリセットすることを試したが、オンラインで利用できるリセット手順は、動作しなかったと発言している。Cauthonは、LGに連絡した。LGは、彼のTVをリセットできる従業員がいるサービスセンターの者を訪問させると彼に告げた。
 これには、工場出荷状態への手順を秘密にすべきではないことと、このサービスセンターが、340$の請求を仄めかしたために、Cauthonを怒らせた。身代金要求型マルウェアは、彼のTVのロックを解除するために500$支払うようにCauthonに求めていた。
 Twitter上での一人の発言者が指摘していることは、新しいTVを購入したほうが安上がりだろうということである。「この『スマートテレビ』の忌避」に関して、Cauthonは以下のようなLGとの議論を追加している。

テレビは得体のしれないアプリケーションをインストールすることによって感染した

 彼は身代金要求型マルウェアに感染させられた方法を詳細に尋ねられた。Cauthonは、「彼等(親族)が映画を見るためのアプリケーションをダウンロードしたと発言している。映画の途中で、テレビはフリーズし、現在使い物にならない」と伝えた。
 Cauthonの親族が、公式のPlay Storeからダウンロードしたのか、サードパーティのソースからダウンロードしたのかは、現時点では定かでない。
 Twitterのユーザは、この確認を待たなかった。一人のユーザがCauthonに素早く応答した。「誰かが海賊版の映画を見るために古いTVにダウンロードした。突如として全てのスマートテレビが悪くなるのか?」

スマートテレビ上の身代金要求型マルウェアは大問題になるだろう

 2015年11月、Symantecの研究者はテストを指揮し、スマートテレビに身代金要求型マルウェアをインストールした。このテストを指揮した研究者は、Androidマルウェアの専門家であり、大変経験豊かな専門家である。彼は、感染したTVからマルウェアを削除することは大変困難であることを発見した。彼が述べたタスクは恐ろしく難しく、技術的な経験の乏しいユーザでは、ほぼ不可能である。
 3ヶ月後、同じテストがTrend Microの研究者によって繰り返され、同じ結論に至っている。
 スマートテレビを標的にしているマルウェアは、一般的ではないが、攻撃されてしまうと、恐ろしいほど処理することは困難である。例えば、2016年1月、一人のユーザが基本的なブラウザ スケアウェア(技術サポートスカム)を、なかなか削除できないでいた。この感染したテレビもLG製のTVであった。
 2016年6月に、Trend Microは、スマートテレビが身代金要求型マルウェア(Cyber.Police(FLocker)のような最も能動的な脅威)の通常のターゲットになっているとレポートしている。
 他方、Googleは、Android TV(Google TVに似たAndroidベースのスマートテレビ)に関する仕事を開始した。これは、Androidマルウェアが、スマートテレビ市場の大半に関して有効な脅威のまま残ることを意味している。


Netgearへ。消失させなさい。別の本当に深刻なルータのセキュリティホールを
The Register : Security (2016/12/19)
Netgearは、WNR2000系民生用ルータ中に新たに発見されたフローの重要性を軽視していた。
 この脆弱性は、仮にリモート アタッカーがコードを実行することが可能であったとすると、認証なしに、そのデバイスを乗っ取ることができると、このバグを発見したセキュリティ研究者Pedro Ribeiroは主張している。
 「これはLANベースの攻撃であるが、そのルータ中でリモート認証が有効になっていれば、インターネットを介して使用することもできる」と、RibeiroはThe Registerに説明している。
Ribeiroは、Netgearからの適切な対応を受け取っていないと主張した後、今週初めにアドバイザリを公開した。
 The Registerの質問によって、Netgearは、このフローの重要性を軽視し続けていたことを認めた。

 Netgearは、極めて限定的な例において、ルータへのリモートアクセスが可能なこのセキュリティフローを認識している(パスワードの変更やコマンドの実行を含む)。この脆弱性が発生するのは、攻撃者が内部ネットワークへのアクセスを持っていたり、リモート管理がそのルータに関して有効になっていた時である。
 リモート管理は、これらのルータに関してはDefaultではOFFになっている。この機能は我々の顧客の大部分が使用しない高度な機能である。

 Netgearは、影響を受ける製品(WNR2000v5, WNR2000v4, WNR2000v3)に関して「可能な限り早急に」リモートアクセスとコマンド実行の脆弱性を修正するファームウェアをアップデートする予定であると追加している。その一方で、このネットワーク機器メーカーは、詳細な解決策のアドバイザリを公開した。
 Ribeiroは、このフローがNetgearの対応が仄めかしていることよりもっと深刻であると主張している。脆弱性のあるデバイスは、IoT検索エンジンを使用することで簡単に発見できると、彼は主張している。
 「また、『内部ネットワークへのアクセスを持つこと』は、ルータのWLANに接続していることを意味している。それ故に、私は非常に限定的とする主張に疑問を持っている」と、彼は追加している。

KasperskyがRannohDecryptorをアップデート。CryptXXXのCrypt, Cryp1, Crypz拡張子を復号する
BleepingComputer : News>Security (2016/12/19)
 あなたがCryptXXX身代金要求型マルウェアの犠牲者であり、身代金を支払う代わりに、将来修正プログラムがリリースされることを願って、暗号化されたファイルと脅迫文をそのまま保持しているのであれば、朗報である。
 本日、Kasperskyは、CryptXXXで暗号化されたもののうち、暗号化されたファイルが .crypt, .cryp1, .crypz拡張子を持つものを復号するようにRannohDecryptorユーティリティをアップデートしたとアナウンスした。
 我々は2016年4月にリリースされて以来、CryptXXXを監視し続けてきた、そして、我々のフォーラムで最も幅広い地域から報告される身代金要求型マルウェアの一つになった。Kasperskyは、2016年4月以来、少なくとも8万回、彼等の顧客が攻撃されたことを確認している。プレスリリースによると、この半分以上は、米国、ロシア、ドイツ、日本、インド、カナダの6カ国で発見された。


2016年4月以降の国別CryptXXX攻撃

 Kasperskyは、CryptXXX身代金要求型マルウェアの多くの変種の復号キーを取得できるようにしたが、それらの全てが復元されるわけではない。これは、あなたがCryptXXXのサポートされる変種に感染している場合でさえ、この復号プログラムで、あなたのファイルが復号される保証はないということを意味している。あなたが、.crypt, .cryp1, .crypz に感染しているのであれば、このツールを試すことは明らかに価値のあることである。

CryptXXXファイルを復号するためのRannohDecryptorの使い方

 CryptXXX互換の暗号化されたファイルを復号するためにRannohDecryptorを使用するには、Kasperskyのサイトから、この復号プログラムをダウンロードする必要がある、ダウンロードしたら、ZIPファイルを解凍し、RannohDecryptor.exe実行ファイルをダブルクリックする。これで、以下に示すメイン画面が表示される。


RannohDecryptorメイン画面

 あなたのファイルが復号されるか否か確認するには、Start scanボタンをクリックしなさい。これで暗号化されたファイルの選択を要求されることになる。


暗号化ファイル選択画面

 暗号化された .crypt, .cryp1, .crypz 拡張子のファイルを選択し、Openボタンを押す。RannohDecryptorは、ここで、脅迫文を選択するように要求してくる。


脅迫文の選択を要請するメッセージ

 この画面でOKボタンをクリックすると、あなたは脅迫文を選択するように促される。CryptXXXは、犠牲者のコンピュータに感染すると、暗号化されたファイルと同じフォルダに、.txt と .html の両方での脅迫文を作成する。私が、CryptXXXに対してRannohDecryptorをテストした時に、一意のIDを取得するための適切な仕事を実行したのは、HTMLファイルよりTXTファイルであった。従って、私は、TXT脅迫文を選択するよう推奨する。
 あなたが脅迫文を選択すると、この復号プログラムは、あなたのファイルに使用できる復号キーを取得できるか否か確認する。ダメなら、ファイルは復号できないと宣言してくる。復号できるのであれば、暗号化されたファイルを復号するために、あなたのコンピュータをスキャンする。


暗号化されたファイルのスキャン

 このスキャンと復号プロセスは、かなり時間が掛かるので、我慢してほしい。この復号プルグラムが実行している間に、あなたは以下に示すように復号状況を確認するためにReportボタンをクリックすることができる。


復号レポート

 このプログラムが、そのコンピュータの復号を終了すると、あなたはログを検証し、次に、このプログラムを終了することができる。あなたのファイルは、これで、復号されており、プログラムで使用可能になっている。


RansomFree: Windowsで身代金要求型マルウェア感染を阻止しようとする最新のアプリケーション
BleepingComputer : News>Security (2016/12/19)
 Cybereasonのチームは本日、身代金要求型マルウェア感染からユーザを危険に晒されないようにしようとする新しいツールをリリースした。
 RansomFreeと名付けられたこのアプリケーションは、Windows 7, 8, 10 と Windows Server 2010 R2 と 2008 R2 のユーザを支援する。
 Bleeping ComputerのLawrence Abramsによって実行されたテストによると、内部的には、RansomFreeは、ハニーポット(【訳注】 インターネット上に置かれるサーバやネットワーク機器であって、侵入を目論むクラッカー等をおびき寄せる目的を持つもの(Weblioより))として挙動するフィルシステムを介して、ランダムに名付けられたフォルダを作成することによって動作している。  これらのフォルダ名は、ASCIIテーブルで低い順位にあり、身代金要求型マルウェアによって最初にスキャンされるために ~ や ! のような文字で始まっている。


暗号化中心のプロセス(おそらく身代金要求型マルウェア)によって目標にされたものとしてRansomFreeが検出したファイルのリスト

 RansomFreeは、これらのファイルをモニターしている。そして変更された時は常に、発生プロセスを検出し、そのプロセスを中断する。
 この段階で、RansomFreeはまた、ユーザが、このソース プロセスを停止するのか、このプロセスの実行を続けることを許可するのかをユーザに尋ねるプロンプトを表示する。


Locky(Osirisの変種)身代金要求型マルウェアを停止しているRansomFree

 Bleeping Computerによって実行された一連の限定的なテストにおいて、RansomFreeは Locky (Osiris), Cerber, Globe の最新バージョンを停止させた。
 CyberReasonによると、RansomFreeは行動検知も含んでいるが、これが上で説明されたものと同じ検出プロセスであるか否かは定かでない。CyberReasonは、40を超える異なる身代金要求型マルウェア株(Locky, Cryptowall, TeslaCrypt, Jigsaw, Cerber等を含む)を処理することができると述べている。


Cerber身代金要求型マルウェアを停止しているRansomFree


Globe身代金要求型マルウェアを停止しているRansomFree

 ローカルコンピュータや共有もしくはネットワークドライブの両方に関して、(身代金要求型マルウェアに固有の)異常な暗号化中心プロセスが開始されると、RansomFreeはこれを検出する、とCyberReasonは発言している。
 欠点は、RansomFreeが暗号化オペレーションに開始を検出するには短時間ながら時間を必要とすることである。これは、RansomFreeが、怪しげなものを検出する前に、あなたのファイルの幾つかが暗号化されることを意味している。


Lockyは、どうにか幾つかのファイルを暗号化した。

 こうした事情にも拘わらず、多くのユーザは残りのファイルが安全である場合には、幾つかのファイルを犠牲にすることを厭わないだろう。しかしながら、身代金要求型マルウェアからの危険がないようにする最善のコースは、確固たるコンピュータ バックアップ ポリシーでRansomFreeを補うことである。
 RansomFreeは、MalwarebytesのAnti-Ransomware (以前のNathan ScottのCryptoMonitor), BitdefenderのAnti-Ransomware Tool, Kaspersky LabsのAnti-Ransomware Tool for Business, Sean WilliamsのCryptostalker (Linuxのみ)のような、アンチ-ランサムウェア(ワクチンと呼ばれる)と同じカテゴリに分類される。
 CyberReasonによって提供されているRansomFreeのデモ ビデオはコチラにある。


Netgearが、脆弱性のあるルータのファームウェアをアップデートした
Graham Cluley : News (2016/12/16)
 先週私は、幾つかのNetgearのルータに、ハッカーによって簡単に悪用可能なリスクが存在することを、我々のLive Securityブログで説明した。
 Netgearは金曜日にセキュリティ アドバイザリをアップデートし、脆弱性のあることが確認されたデバイスの詳細なリストを公開した。これらのファームウェアは全て、脆弱性を解決するために利用できるベータもしくは製品版の何れかのファームウェアである
 記述している時点で、以下が製品版ファームウェアとしてアップデートされ利用可能になったルータのリストである。

R6400
R7000
R8000

 以下がベータ版ファームウェアとしてアップデートされ利用可能になったルータのリストである。

R6250
R6700
R6900
R7100LG
R7300DST
R7900
D6220
D6400

 更に、Netgearは、D700モデルが当初恐れられていたような悪用の危険はないことを確認している。
 Netgearは、誰かがセキュリティ上の脆弱性によって影響を受けるか否か確認するために、全ルータの検証を続けおり、必要ならアップデートしたファームウェアをリリースすると言い続けている。
 2017年に、我々が用意している兆候がどのようなものなのかを望むのであれば、これがその兆候である。セキュリティとなった時、大変多くのインターネット接続されたデバイスに欠点が見つかることが予期される。あなたは、可能な限り早急にパッチを適用することで自分自身と他のインターネットユーザを保護する支援となる。


Evernoteのプライバシーポリシーの変更について
訳者 (2016/12/16)
 Evernoteが、ユーザの暗号化されていなノートを一部スタッフが閲覧できるようにプライバシーポリシーを変更し、これを2017年1月23日から実施するとしたことが、ユーザの懸念を呼び、世界中で話題になっていました。
 Evernoteによれば、機械学習テクノロジーを改善するには、人間による検証が必要であるとして、プライバシーポリシーの変更を行うとしていましたが、本日のブログで、このプライバシーポリシーの変更を全面的に撤回すると発表しています。

変更しようとしたプライバシーポリシーへのリンク

プライバシーポリシーの更新に関するお知らせ(2017 年 1 月)

プライバシーポリシーの変更を見直すとした声明

お知らせ: Evernote プライバシーポリシーの変更を見直します


No More Ransomプロジェクトは、34の新規パートナ、32の新たな無料復号ツールを加えて拡大した
BleepingComputer : News>Security (2016/12/15)

 身代金要求型マルウェアに感染した犠牲者を支援するため7月に、Intel Security, Kaspersky Lab, Europol(ユーロポール、欧州連合のための警察組織), オランダ国家警察によって立ち上げられた"No More Ransom"プロジェクトは、34の新しいパートナーと、身代金要求型マルウェアの犠牲者のファイルを無料で復号する32の新しい復号プログラムを加えて本日拡大した。
 このプロジェクトは、Malware Hunter TeamのMichael Gillespieが4月に立ち上げたID-Ransomwareサービスのクローンとして7月25日に稼働した。
 当初、このサービスは標準に達しておらず、あちこちで身代金要求型マルウェアを誤認していたが、これも徐々に改善された。No More Ransomの支援チームは、秋の間にShadeとWildlife身代金要求型マルウェアファミリー用の無料復号プログラムをリリースした時、最初のトップニュースを作成した。

No More Ransomは、特別な情報セキュリティと法執行力を追加した

 現在、Europolと経験豊かなアンチウィルス産業(Intel(McAfee)やKasperskyのような)によって牽引されているこのプロジェクトは、本日新しいメンバーをアナウンスした。
 Bitdefender, Check Point, Emsisoft, Trend Microが仲間入りした。これらは、新しい固有の復号ツールや復号キーの開発に直接貢献している企業用に予約されているタイトルの下に登録されている。
 これで、No More Ransomwareプロジェクトは、既存の7つに加えて32の新しい無料の復号プログラムに拡大した。
 これに加えて、このプロジェクトはまた、幾つかの支援団体(国や国際レベルでNo More Ransomの推進を支援するために時間やリソースを提供する民間企業や公的機関)を加えて拡大した。このリストは以下を含んでいる。

AnubisNetworks
AON
Armor
Association for Preventing and Countering Frauds (APCF)
BH Consulting
CECyF (Centre Expert contre la Cybercriminalite Francais)
Cyberlaws.NET
Cylance Inc.
DATTO, Inc.
ESET
FS- ISAC (Financial Services - Information Sharing & Analysis Center)
G DATA Software AG
Heimdal Security
s21Sec
Smartfense
SWITCH
Ukrainian Interbank Payment Systems Member Association (EMA)
CERT-EU (Computer Emergency Response Team for the EU institutions, agencies and bodies)
IRISS CERT (Irish Reporting and Information Security Service)
CIRCL.LU (Computer Incident Response Center Luxembourg)
SI-CERT (Slovenian Computer Emergency Response Team)

 Europolはまた他国にその影響力を行使し、No More Ransomプロジェクトに参加し、身代金要求型マルウェアの活動を引きずり倒すために団結し、共同して努力するように幾つかの法執行機関を説得した。この新しい法執行機関のメンバーは以下であるが、EuropolとDutch National Police(オランダ国家警察)は除外してある。

eu-LISA (the European Agency for the operational management of large-scale IT systems in the area of freedom, security and justice)
Austrian National Police
Croatian National Police
Danish National Police
Finnish National Police
Maltese National Police
Romanian National Police
Singaporean National Police
Slovenian National Police

 「民間部門と法執行機関は共に、犠牲者から大金を奪うために身代金要求型マルウェアを使用しているサイバー犯罪者と戦う努力を進めている。しかしながら、認識は身代金要求型マルウェアの成功を防ぐことが主眼である」と、Europolは発言している。


Flashのバグは、攻撃者共がカメラ、マイクロフォンを介してユーザをスパイすることを可能にしていた
BleepingComputer : News>Security (2016/12/14)
 昨日の月例のセキュリティパッチで、Adobeは、攻撃者が他のFlashアップレットに許可されているパーミッションをハイジャックしたり、カメラやマイクロフォンを介してユーザをスパイすることを可能にしていたバグを修正した。
 この脆弱性(CVE-2016-7890)は、セキュリティ研究者Paulos Yibeloによって発見された。
 Yibeloによれば、このバグは、Flashの全てのバージョンが影響を受け、リリースされたAdobe Flash Player 24.0.0.186で修正された。
 Adobeは、この問題を「セキュリティ バイパスの脆弱性」として分類しているが、Yibeloは、このバグを大局的に見るために、Twitterを介してBleeping Computerに連絡してきた。

FlashはHTTPSとHTTPドメインに対するパーミッションを同時に許可していた

 「あなたが、写真を撮るために、マイクロフォンを使用するために、あるいは安全なサイトとのビデオチャットのためにFlash Playerに権限を与えていたなら、これは、危険な素性へのアクセスをも許可したことになっていた」とYibeloは説明している。
 「実際的な例を与えるとすると、いうなれば、基本的に、あなたがFacebookでビデオチャットした、あるいは、カメラやマイクロフォンのパーミッションをFlash Playerに許可したことである」と、彼は追加している。
 「現在、Facebookは、https:// 接続を実行しているが、Flashは、http://facebook.com からのアクセスも可能にしている」と、この研究者は追加している。
 「あらゆるローカル攻撃者は、悪意あるFlashアップレットを、あなたにフィードできる、そして、これはカメラ、マイクロフォン等へのアクセスを可能にする」と、Yibeloは発言している。

バグは監視作戦に使用することができる

 このバグは、攻撃者がローカルシステムにアクセスしていた場合にのみ悪用可能であるが、この脆弱性は、マイクやカメラへのアクセスを恐ろしいほど簡単にするものである。
 Flash Playerはドメインからアクセスの試みを確認し、これがユーザがアクセスを許可したドメインなので、このアプリケーションは何ら警告も、特別なプロンプトも絶対に表示しない。
 「これは監視機関にとって絶好の問題である」と、Yibeloは追加している。
CVE-2016-7890に加えて、Adobeはまた、0-Dayの脆弱性(CVE-2016-7892、Windows上でInternet Explorer を実行しているユーザに対する標的型攻撃に使用される)をパッチした。
 夏の間に、Yibeloは、Zeroroseプロジェクト(システムの脆弱性を瞬時に検出する)を稼働した。


Joomlaに数百万のWebサイトにリスクのある高レベルのセキュリティ フローが発見された。直ちにアップデートを
Bitdefender : Hot for Security (2016/12/14)
 あなたが、何らかのWebサイトを稼働しているのであれば、コンテンツ マネージメント システム(CMS)を使用している可能性がある。
 CMSは、あなたのWebサイトのコンテンツの全てを管理するソフトウェアの一部であり、訪問者が見たいと思っているWebページや画像を見られるようにするものである。そのようなものなので、多くのWebサイトに関しては、CMSは、Webサイトの訪問者に対してコンテンツの配信を管理するための必須の部分である
 50%を超える最大の市場占有率を持つCMSは、WordPress(Hot for Securityが稼働しているプラットフォームでもある)であるが、次に続くのはJoomlaとDrupalである。
 第二位ではあるが、無料、オープンソースのJoomla CMSソフトウェアは、世界中で数百万のWebサイトを稼働し続けている。
 事実、このソフトウェア奨励用のキャッチコピーは、「Joomla! Webサイトとして何百万人もの人達に信頼されているCMS」である。

 その人気の故に、Webサイトの管理者は、ハッカーにセキュリティホールを悪用されることを妨げるために、Joomlaのアップデートとパッチの適用を維持し続けることは必須である。
 Joomlaのバージョン 3.6.5 は、セキュリティ問題の解決と幾つかのバグの修正としてリリースされた
 Joomla 3.6.5 が解決している最重要問題は、Joomla 1.6.0 - 3.6.4 の全バージョン中の特権の昇格フローである。これは、悪意ある攻撃者が既存のユーザアカウントを改竄する(ユーザ名、ユーザグループの割当、パスワードの再設定を含む)ことを可能にしていた。
 これから予測されることは、攻撃者が、ターゲットにしているサイトに真新のアカウントを作成し、次に、そのサイトで「神のような」能力を持つために特権を昇格し、そのサーバを更にセキュリティ侵害するためにリモートシェルをアップロードすることさえできたということである。
 このような酷い脆弱性なので、Joomlaが、可能な限り早急にWebサイトをアップデートするようユーザに告げているのは容易に理解できる。
 実際に、悪意ある攻撃者共は、脆弱性のあるサイトを探すために既にネットを検索しているだろう。

 もちろん、懸念されることは、幾つかのWebサイトは決してアップデートしないかもしれないことである。そこで、悪意ある攻撃者達によって簡単にカモにされることになる。
 あなたがJoomlaで動作するWebサイトを稼働しているのであれば、安全性の問題を深刻に受け取りなさい。あなたのCMSを最新のバージョンにアップデートすることで、あなたのサイトをセキュリティ侵害されるリスクを減少しなさい。そして、今後新たに発生するセキュリティ問題に関して見守ることを怠らないようにしなさい。


失敗作のMicrosoft Updateは、Windows 8、10 のPCを、インターネット・サービス・プロバイダに拘わらずオフラインにする
The Register : Security (2016/12/12)

Update     2016/12/15(JST)
Microsoftが、この問題を修正したパッチをリリースしました。
問題のあったパッチは、KB3201845
修正されたパッチは、KB3206632 です。

 Windows 8と10用のブッ壊れたソフトウェア アップデートは、イギリス、ヨーロパ、おそらく海外でも、一部のISPのユーザのインターネット接続を破壊している。
イギリスのVirgin Mediaは、失敗作のコードが多くの顧客をオフラインにしていることを確認した一番新しいプロバイダである。ベルギーのProximusもまた、Windows 10のアプデートがネットワークアクセスを破壊したと発言している。
 この問題は、Microsoftの最新のパッチを実行するコンピュータとして認められている、イギリスのBTとPlusnetが、彼等のDynamic Host Configuration Protocol (DHCP)クライアントに問題があるかのようなことに起因してネットワーク接続を喪失した時点である先週に浮上していた
 基本的に、PCは、コンピュータにインターネット接続の喪失を発生させ、そのネットワーク上の他のデバイス から消えてしまうために、LAN側のIPアドレス、ルータのアドレス、彼等のブロードバンドルータのDNS設定を自動的に選択することはできない。
 これは、ISPとブロードバンドルータに拘わらず発生し、自動的にインストールされる下手糞なWindowsアップデートのパッチによるものと理解されている。あなたのルータを固定アドレスに設定しているのであれば、問題はない、もしくは、操作しているシステムネットワーク コンポーネントをリセットするために以下のコマンドを実行することができる。

netsh winsock reset catalog
netsh int ipv4 reset reset.log

 土曜日、加入者に対するメッセージで、Virgin Mediaは、Windows 10 のユーザの一部が最新のアップデートをインストールした後に、インターネットに接続することができなくなっていると勧告している。
 「Microsoftは認識しており、調査中である」とVirgin Mediaは発言している。
 読者の一人Adam Combenは、The Registerに通報してきている。「我々は個人向け修復ショップを経営している。そして、火曜日以降、この問題に関連した25の事例を見てきた。彼等が使用していたISPやルータが問題なわけではない。TalkTalk, BT, Plusnet, Sky, 何処であろうと、この問題を確認した。彼等はDHCP経由でIPを取得できていないという、全て同じ問題である。」
 彼は、この問題が明らかに、ブッ壊れたWindowsアップデートによって発生させられたDHCP問題であるとし、「我々が発生原因を特定することはできないが、これは、迷惑千万な修正である」と発言している。
 彼は更に、「これは、我々が電話を介して説明できなかった人々に関してホームページへのアクセスを必要としたので、我々の法人顧客に多大な混乱を発生させた」と付け加えている。
 このバグの原因は、現時点で不明であるが、Plusnetは、詳細不明ながら「サードパーティー アップデート」の責任にしている。主たる問題は、最近のWidowsアップデートのリリースであるかのうようであるが、どれが失敗であるのかを説明することは困難である。これは、Microsoftが、各アップグレートに何がバンドルされるのかを大変に隠したがるためである。
 The Registerは繰り返しMicrosoftに説明を求めたが、彼等は沈黙したままである。


詐欺師共は、Microsoft Edgeを欺いてインチキのセキュリティ警告を表示することが可能である
Bitdefender : Hot For Security (2016/12/12)
 願わくば、今頃はもう、多くの読者が、あなたのコンピュータにはリスクがあるかもしれないと告げ、「テクニカルサポート」用の特別な番号に電話するように告げてくるポップアップが、スカム メッセージであると気がついてくれていればいいのだが。
 もちろん、このスカム警告は、正当なものではないし、あなたが電話をする相手は、真のMicrosoftのサポート・エンジニアではない。そうであるにも拘わらず、多くのコンピュータ ユーザは、騙されてコンタクトし、結局、高額で不必要な請求をされるか、ハッカーに彼等のPCへのアクセスを承諾することで終わっている。
 この詐欺は、彼等の警告表示を信じれば信じるほど、詐欺師共にとっては、より首尾よくいくものである。
 セキュリティ研究者は、詐欺師共がMicrosoft Edgeブラウザのメカニズムを蝕むことができる方法を発見した。この機能は、危険なWebサイトからユーザを保護することを意図して組み込まれているものであるが、実際には詐欺を働くことの手助けにもなっている。
 もちろん、Microsoft Edgeは、Windows 10 のDefault Webブラウザであり、EdgeのSmartScreen機能は、印象的で、無視しようのない、赤い警告画面で危険なWebサイトをユーザに警告してくる。

 この画面は何の問題もない。
 しかしながら、アルゼンチン人研究者Manuel Caballeroは、弄くり回した後に、Microsoft Edgeによって表示されるSmartScreen警告メッセージは、注意深く巧みに細工されたURLを介して悪意ある目的のためにハイジャックすることができることを発見した

 攻撃者は、疑うことを知らないユーザを欺いて、正当なように見える警告メッセージに詳細な個人情報を盗み出せる可能性のある番号に電話するよう強制することさえ可能である。

 【引用】 ”特別サービスとして、我々は電話番号類似の数値を置いておく。リンクは、ユーザが一回クリックするだけで我々に電話するように、自動的に作成されている。詐欺師共にとっては大変便利である。”

 詐欺師共が、このバグを悪用すると、彼等は、生来の、正当なように見え、疑うことを知らないコンピュータユーザを欺き、彼等のコンピュータが危険であると信じこませ、不適切な決定をさせる可能性の高い警告メッセージを表示することが可能になる。
 Microsoftが現在、このフローを修正するために何かを実行中であるか否か不明であるが、この脆弱性が将来のアップデートで修正されると聞いたところで全く驚くことではない。
 何れにせよ、テクニカルサポート詐欺師によって齎されるリスクに常に気をつけるようにしなさい。そして、彼等が依頼していることを実行する前に、あなたのコンピュータの画面に表示される警告メッセージを信じるか否か、貴方自身に尋ねなさい。
 覚えておこう、あなたは、詐欺師によって実行されるトリックと詐欺への認識があるかもしれないが、あなたの友人、家族、同僚は、そうではないかもしれない。この休暇期間にチョットしたセキュリティ感覚を共有することによって彼等自身を保護する方法を学習する支援をしなさい。


新計画: 無料で復号キーを入手できる可能性をチラつかせてPopcorn Time身代金要求型マルウェアを拡散させる
BleepingComputer : News>Security (2016/12/08)
 昨日、新しく開発中の身代金要求型マルウェアがMalwareHunterTeamによって発見された。この身代金要求型マルウェアはPopcorn Timeと呼ばれ、犠牲者に彼等のファイル用の復号キーを無料で取得する極めて変わった、嘆かわしい方法を与えることを意図しているものである。Popcorn Timeでは、犠牲者はファイルを取り戻すためには、身代金を払う以外に、別の二人に感染させ、その犠牲者に無料の復号キーを取得するために身代金を支払わせようとする。
 更に悪いことに、この身代金要求型マルウェア中には、ユーザが間違った復号キーを4回入力した場合には、ファイルの削除を開始することを示唆する未完成のコード(【訳注】 Popcorn Timeは現在開発段階のために)が存在している。
 注意すべきは、この身代金要求型マルウェアは著作権で保護された映画をダウンロードしたり、ストリーミングしたりするためのアプリケーションであるPopcorn Timeとは何の関係もないということである。

無料で復号したい? 当に、嫌な奴 !

 他の如何なる身代金要求型マルウェアにも見られない策として、この身代金要求型マルウェアの開発者は、犠牲者に、この身代金要求型マルウェアの拡散を手助けさせることによって無料の復号キー取得する「汚らわしい方法」を提供している。犠牲者が「紹介しているリンク」を介して二人の人が感染させ、この人々が身代金を支払うと、この犠牲者は、おそらく無料で復号キーが得られるのだろう。
 これを促進するために、このPopcorn Timeの脅迫文は、この身代金要求型マルウェアのTORサーバに配置されたファイルを指し示すURLを含んでいる。現時点で、このサーバはダウンさせられているので、このファイルが表示される方法、あるいは、このマルウェアをインストールさせるために人々を欺こうとして、どのように装わされているのかは定かでない。


Popcorn Time紹介URL(クリックで拡大します)

間違った復号コードを4回入力すると、ファイルが削除される可能性

 Popcorn Timeが実行されると、図の様なロック画面が表示されるが、各犠牲者固有の設定に関連する様々な情報で満たされている。例えば、[UID]は、犠牲者の一意のIDで置き換えられるだろうし、[WADDRESS]フィールドは、あなたが支払いを送信すべきBitcoinアドレスで置き換えられるだろう。
 また、犠牲者が身代金を支払った場合、その犠牲者に与えられる復号コードを入力するフィールドもある。


Popcorn Time画面

 この身代金要求型マルウェアのソースコードは、4回間違った復号キーを入力すると、犠牲者のファイルを削除する機能を、この開発者が追加する可能性を示している。


ファイル削除ソースコード(クリックで拡大します)

 この身代金要求型マルウェアは開発段階なので、これが単に脅しの作戦なのか否か、ファイルを削除するコードが必ず追加されるかどうか定かでない。この開発者は、この身代金要求型マルウェアの拡散に手を貸す人々に対して無料で復号キーを取得できるチャンスを申し出ることによって、既に(【訳者挿入】 身代金の)安値を更新しているので、4回間違った復号キーを入力すると、犠牲者のファイルを削除する機能が追加されたところで意外なことではない。

Popcorn Time身代金要求型マルウェアがコンピュータを暗号化する方法

 一旦起動すると、Popcorn Time身代金要求型マルウェアは、この身代金要求型マルウェアが様々なファイル(%AppData%\been_here と %AppData%\server_step_one のような)をチェックすることによって既に実行されているか否かチェックする。been_hereファイルが存在している場合、これは、そのコンピュータが既に暗号化されており、この身代金要求型マルウェアがそれ自体を終了するだろうことを意味している。そうでなければ、このマルウェアは、バックグラウンドに使用する様々な画像をダウンロードするか、暗号化プロセスを開始するかのどちらかを行う。


 この身代金要求型マルウェアは現在開発段階なので、Efilesと呼ばれる犠牲者のデスクトップ上のテスト フォルダだけをターゲットにしている(12月09日、この記事はアップデートされ、この身代金要求型マルウェアが、My Documents, My Pictures, My Music, desktopに配置されているファイルを暗号化するようにアップデートされたと伝えている)。このマルウェアは、特定の拡張子に一致するファイルを検索し、次に、AES-256暗号化を使用して、それらを暗号化する。ファイルが暗号化されるとき、このマルウェアは、暗号化されるファイルに .filock 拡張子を追加する。例えば、test.jpg という名のファイルは、test.jpg.filock として暗号化される。
 標的にされる拡張子は以下。

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb,
.accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet,
.agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3,
.asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb,
.bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob,
.bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw,
.cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact,
.cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar,
.das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs,
.ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp,
.dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb,
.dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff,
.ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh,
.fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk,
.hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml,
.idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm,
.iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key,
.kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf,
.ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max,
.mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw,
.mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp,
.mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw,
.ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab,
.obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg,
.oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct,
.pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt,
.plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm,
.ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx,
.pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic,
.r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf,
.rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda,
.sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt,
.sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4,
.st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf,
.sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm,
.tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx,
.vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet,
.wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla,
.xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm,
.xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

 ファイルを暗号化している間に、このマルウェアは、プログラムをインストールしているかのような画面を表示する。


インチキのインストール画面

 このマルウェアが、コンピュータの暗号化を終了すると、このマルウェアは、二つのBase64文字列を変換し、restore_your_files.html と restore_your_files.txt と呼ばれる脅迫文として、これらを保存し、次に、このHTML脅迫文を自動的に表示する。


HTML脅迫文(クリックで拡大します)

 既に述べたように、この身代金要求型マルウェアは、現在開発段階なので、時間が経つにつれ、多くのことが変更されるかもしれない。この身代金要求型マルウェアが開発されていくにつれ、我々は新しい情報をリリースするだろう。

Popcorn Time身代金要求型マルウェア関連ファイル

    restore_your_files.html
    restore_your_files.txt
    popcorn_time.exe

Popcorn Time身代金要求型マルウェア関連レジストリエントリ

    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run     "Popcorn_Time" [path_to]\popcorn_time.exe

Popcorn Time身代金要求型マルウェア関連ネットワーク コミュニケーション

    https://3hnuhydu4pd247qb.onion
    http://popcorn-time-free.net

インストーラ ハッシュ

    SHA256: fd370e998215667c31ae1ac6ee81223732d7c7e7f44dc9523f2517adffa58d51


ハッカーがリヒテンシュタイン公国の銀行をクラックし身代金を要求している
The Register : Security (2016/11/29)
 ハッカーが、数日前リヒテンシュタインの銀行を破り、伝えられるところでは、身代金を支払わない場合は口座データをリリースするとする脅しを顧客にブラックメールしている。
 攻撃者は、ドイツと他国に跨る政治家、俳優、個人資産家を含む顧客の情報を吸い上げることで、中国の資本下にあるValartis Bank Liechtensteinから口座データを取得したと、Bild am Sonntagは報道している。

Valartis Bank(バラティス銀行)に関する情報:
バラティス銀行は、元々オーストリアの伝統ある銀行から派生したプライベート投資銀行(旧Hypo)で通常のリテール業は一切やらず、ある一定の資産額以上の(数年前までは最低1億円)運用を投資家に対して行い最大の利回りを上げること、機密性を保つことに主眼がおかれた銀行です。リーマンショック以来、中国マネーが増えたこともありデポジットを10,000USDまで下げ、インターネットでの決済も行われるようになりました。(「未来を想像する」より引用)

 伝えられるところでは、ハッカーは、公開を差し控えている情報に関して、勘定残高の10%をBitcoinで支払うように要求している。
 この攻撃者は、身代金が12月07日までに支払われなかった場合、この情報を当局及びメディアに対してリリースすると脅している。
 この銀行はコメントの要求に対して直ちに対応しなかった。
 取締役Andreas Insamは、当局に警報を発し、その調査は現在進行中であると、Bild am Sonntagに告げている。
 パブリケーション(有料)によって公開された三つの手紙は、今年10月から取得された数ギガバイトのアカウント情報とコレスポンデンスを主張している。
 ドイツ語で書かれたこの手紙は、伝えられるところでは、脱税を明らかにすると犠牲者を脅し、Bitcoinの支払いが、攻撃者と身代金の支払いを選択した犠牲者の双方を保護すると追加している。
 攻撃者は、「危害を加える意図はない」が強要を「用いる」必要があると主張して、セキュリティサービス(正当なテストではなく、多分バグポーチング)に支払おうとしていない、この銀行の取締役会を糾弾している。
 Bild.deは、Bitcoinアドレスを隠蔽したので、如何程の身代金が支払われたのか追跡することは未だできていない。


Kangaroo身代金要求型マルウェアは、データを暗号化するだけでなく、あなたをWindowsから締め出そうとする
BleepingComputer : News>Security (2016/11/28)
 Kangaroo身代金要求型マルウェアは、Apocalypse Ransomware、Fabiansomware、Esmeraldaの背後にいる開発者による最新の身代金要求型マルウェアである。このバージョンを多少目立たせているものは、犠牲者がコンピュータにログインする前に全ての犠牲者に表示する脅迫文としてリーガルノーティス(【訳注】 通常、正当な企業のサイトであれば免責事項と訳します。ここでは注意喚起くらいの意味に解釈してください)を使用していることである。これは、Windowsにログインできるようになる前に、犠牲者が脅迫文を閲覧しなければならないようにしている。
 また、この身代金要求型マルウェアによって、Explorerプロセスが終了され、Task Managerの起動が妨げられるので、犠牲者が身代金を支払い、感染を削除するまで、ユーザはWindowsから必ず閉めだされる。このスクリーンロックは、セーフモードで無効化することができるし、[Alt]+[F4]キーコンビネーションを押すことで無効化することができるが、多くの初級のコンピュータユーザにとっては、これは必ず彼等のコンピュータの使用を妨げることになるだろう。

Kangarooは手動でのハッキングによってRDPにインストールされる

 殆どの他の身代金要求型マルウェア感染と異なり、このファミリーは、脆弱性悪用キット、クラック、セキュリティ侵害されたサイト、トロイを介して拡散することはないが、代わりに、リモート デスクトップ(RDP)を使用しているコンピュータを手動でハッキングした開発者によってインストールされる。この開発者がコンピュータをハッキングし、この身代金要求型マルウェアを実行すると、犠牲者の一意のIDと彼等の暗号化キーを含むものを表示する画面になる。


暗号化キーを表示しているKangaroo

 開発者がCopy and Continueをクリックすると、この情報はWindowsのクリップボードにコピーされるので、開発者は、この情報を保存することができる。この身代金要求型マルウェアは、次に、そのコンピュータのファイルの暗号化を開始し、暗号化されたファイルの名前に .crypted_file 拡張子を追加する。この身代金要求型マルウェアは、暗号化されたファイル毎に個別の脅迫文を作成するという奇妙なことを実行する。これらの脅迫文は、filename.Instructions_Data_Recovery.txt のフォーマットになっている。例えば、test.jpg.Instructions_Data_Recovery.txt。
 終了すると、Kangarooは、このコンピュータには重要な問題があり、データが暗号化されたことを仄めかすインチキの画面であるロック画面を表示する。これは次に、データを復元するには kangarooencryption@mail.ru で、この開発者にコンタクトするように指示している。


Kangarooのロック画面(画像をクリックすると拡大します)

 この身代金要求型マルウェアは、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon     "LegalNoticeText" レジストリ値を設定するので、ユーザがWindowsログオン・プロンプトを表示される前に読まされることになるリーガルノーティスが表示されることになる。これは、犠牲者もしくは、コンピュータの管理者が、次回のログインでこの脅迫文を見ることを保証することになる。


Kangarooのリーガルノーティス(画像をクリックすると拡大します)

 現時点で、暗号化されたファイルを無料で復号する方法は存在していないが、スクリーンロックを削除することで犠牲者が再びコンピュータを使用できるようにすることは可能である。この件で支援を必要とする人々には、次のセクションで指示を提供する。

Kangarooのスクリーンロックを削除するには

警告: あなたが身代金を支払うつもりがないのであれば、このステップに従いなさい。この身代金要求型マルウェアの実行ファイルを削除すると、あなたは身代金の支払いができなくなる。そして、ファイルの復号は後日を待つことになる。(【訳注】 記述の内容から、後日、復号プログラムがリリースされる可能性が高いと思われますが、必ずリリースされることは保証されていませんし、何時になるかも不明です。身代金の支払いは厳に謹んで欲しいのですが、現時点では、必ず復号できるという保証もありません)

 Windowsデスクトップへの再アクセスを獲得するには、稼働中のKangaroo実行ファイルを無効にする必要がある。これを実行するには、犠牲者はコンピュータをセーフモードで起動する必要がある。これで、犠牲者は再びWindowsデスクトップにアクセスできることになる。Windowsセーフモードでログインしたら、msconfig.exeを実行し、このマルウェアを実行しないように無効化しなさい。
 Msconfigを起動するには、スタートボタンをクリックし、検索フィールドにmsconfigと入力する。検索結果は以下の画像のようにmsconfig.exeを表示しているので、これをクリックしなさい。


検索結果の表示画面

 msconfigが起動したら、Startup(スタートアップ)タブをクリックし、以下の図で強調表示されているエントリ、C:\Program Files (x86)\Windows NT\explorer.exe コマンドを持つエントリのチェックを外しなさい。


msconfgの画面

 この関連するエントリのチェックを外したら、Apply(適用)をクリックし、OKボタンをクリックしなさい。しかし、コンピュータの再起動を、ここで許可してはならない。
 我々はTask Scheduler(タスク・スケジューラ)コントロールパネルを起動し、作成されている可能性のある関連するタスクを削除する必要がある。Task Schedulerを起動するには、スタートメニューでTask Schedulerで検索し、検索結果に表示されたTask Schedulerをクリックする。起動したら、一連の文字と数字を含むタスクに着目する。例えば、私のテストコンピュータでは、、このタスクは、CA334104-D8EF-4C36-BCD7-2ECE003D03B6}と名付けられていた。
 あなたが見つけたものが正しいタスクであることを間違いのないものにするには、それをダブルクリックしてプロパティを開きなさい。次に、実行されているプログラムがKangaroo身代金要求型マルウェアの実行ファイルであることを確認するためにAction(アクション)タブをクリックしなさい。以下のスクリーンショットに、このタスクの例を示す。

注意: このプロセスで支援を必要とするのであれば、気兼ねなくフォーラムもしくは、このページで我々に尋ねなさい。けれども、支援を求める前に、正しいタスクを特定するために様々なタスクのスクリーンショットを作成しなさい。


Task Scheduler(画像をクリックすると拡大します)

 適切なタスクを特定したら、それを右クリックし、削除する。
 Kangaroo身代金要求型マルウェアは、これでコンピュータから削除された、そして、再起動することで、Windowsは通常通り起動する。Windowsにログインしたら、お気に入りのアンチウィルスやアンチマルウェア製品でセキュリティ スキャンしなさい。

Kangarooで暗号化されたファイルは無料で復号することはできない

 残念なことに、Kangaroo身代金要求型マルウェアで暗号化されたファイルは無料で復号することはできない。
 暗号化されたファイルを復元する唯一の方法は、バックアップからである。もしくは、あなたが物凄く幸運な場合には、シャドー・ボリューム・コピーから復元できる。Kangarooは、シャドー・ボリューム・コピーを削除しようとするが、稀ではあるが、身代金要求型マルウェア感染は、何らかの理由から、それを実行することに失敗する。これにより、あなたが実行可能なバックアップを持っていない場合、最後の手段として、私は常に、シャドー・ボリューム・コピーから暗号化されたファイルを復元することを試みるように人々に提案している。

Kangaroo身代金要求型マルウェア関連ファイル

C:\Program Files (x86)\Windows NT\explorer.exe

Kangaroo身代金要求型マルウェア関連レジストリエントリ

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows     NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows     NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon     "LegalNoticeCaption"="Attention!"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon     "LegalNoticeText"="Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenenience.

You have to contact the email below along with your Personal Identification ID to restore the data of your system.

Your Personal Identification ID: E557162BUS

Email: kangarooencryption@mail.ru

You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instructions will be sent to you by email."

Kangaroo身代金要求型マルウェア関連eMailアドレス

kangarooencryption@mail.ru


Keygen WebサイトがGatakバックドア・トロイを配布していた
BleepingComputer : News>Security (2016/11/25)


Getakに感染したkeygenを配布していたWebサイト(Symantecより)

 様々な企業向けソフトウェア・アプリケーション向けに無料のkeygenを提供していたWebサイトは、犯罪者がGatakマルウェアを配布することの手助けをしている。このマルウェアは、感染したコンピュータにバックドアを開き、企業の内部ネットワーク攻撃の手助け、もしくは、重要な情報を盗む。
 Gatakは、2012年に初めて現れたバックドア・トロイである。この脅威の別名は、Stegoloaderであり、主な顕著な特徴は、ステガノフラフィー(【訳注】 ある情報を他の情報の中に埋め込んで存在を隠ぺいすること(トレンドマイクロより))を介してコマンド&コントロール・サーバと通信する能力である。

Gatakは痕跡を隠すためにステガノグラフィーに依存している

 ステガノフラフィーは、ありふれた場所の中にデータを隠蔽するテクニックである。サイバーセキュリティの世界では、ステガノフラフィーは、PNGやJPG画像の内部に悪意あるコード、コマンド、マルウェア設定データを隠蔽することの実践である。
 このマルウェアは(今回の場合はGatak)、オンラインC&Cサーバに接続し、新しいコマンドをリクエストする。全てのセキュリティソフトウェアが警戒していることを認識しているので、HTTPネットワーク・リクエストを受け取る代わりに、通常のWebトラフィックのように見せるために、無害の画像のようにして、このデータを送信している。
 このマルウェアは、画像中に隠蔽されたデータを読み込み、そのコマンドを実行する。ローカルのアンチウィルスは、その間ずっと、ユーザがインターネットを通してイメージをダウンロードしたと思っている。

Gatakを配布している企業向けソフトウェア用Keygen

 セキュリティ企業Symantecは、以下のようなアプリケーション用に無料のkeygenを提供しているWebサイトを悪用してマルウェア拡散キャンペーンを実行していることが明らかになったと発言している。

    ・ SketchList3D - 木工設計用ソフトウェア
    ・ Native Instruments Drumlab - サウンド・エンジニアリング・ソフトウェア
    ・ BobCAD-CAM - 金属加工/製造ソフトウェア
    ・ BarTender Enterprise Automation - ラベルやバーコード作成ソフトウェア
    ・ HDClone - ハードディスク クローン ユーティリティ
    ・ Siemens SIMATIC STEP 7 - 産業用オートメーション・ソフトウェア
    ・ CadSoft Eagle Professional - プリント基板設計ソフトウェア
    ・ PremiumSoft Navicat Premium - データベース管理ソフトウェア
    ・ Originlab Originpro - データ解析及びグラフ化ソフトウェア
    ・ Manctl Skanect - 3Dスキャン・ソフトウェア
    ・ Symantec System Recovery - バックアップ及びデータ復元ソフトウェア

 上述の全てのソフトウェアは特定用途のアプリケーションであり、企業環境中に配備されている。このキャンペーンの背後にいるグループは、彼等がハックし、データを盗み、可能なら、それを地下で販売することのできる価値のある標的に感染することを期待して、正当なライセンス無しで、業務でこれらのアプリケーションを使用しているユーザを特に標的にしている。

Keygenは動作しない、ただGatakでユーザを感染させるだけ

 このWebサイトを介して配布されたKeygenは全く動作しないツールである。それらはランダムな文字列を生成するが、その目的は、ユーザを欺き一度だけkeygenバイナリを実行させることにある。犠牲者に感染するにはこれで十分。
 Symantecが、感染した全コンピュータの62%だけにしか第2ステージの攻撃を確認していないように、このハッカーは、ターゲットにする企業への好みがうるさい。
 攻撃者共は、ターゲットの基本情報を収集するためにGatakを使用している、そこで、彼らが価値があると見做すと、最終ステージで他のマルウェアを配備する。ある場合には、このハッカー共は、セキュリティ侵害したPCにログインした攻撃者と共に、犠牲者のネットワークでLateral Movement(【訳注】 攻撃者が、アクセス可能なネットワーク資源を次々に取得しながら移動すること(Qiitaより))を用いる。
 攻撃者は洗練されていないし、ハッカーはローカルネットワーク内部の弱いパスワードを悪用しているだけである。Symantecは、何の0−Dayも、ハッカーが他のデバイスやローカル・ネットワークに感染しようとする時に使用する、自動化されたハッキングツールも検出していないと発言している。


業種あたりのGetak感染(Symantecより)

 テレメトリ・データは、Gatak感染全体の62%が、企業ネットワークのコンピュータに発見されたことを示している。
 これらの攻撃の多くは、医療分野をターゲットにしているが、他の業種の企業も攻撃されているので、このハッカー共が、この業種を特にターゲットにしているわけではないようである。
 医療機関は、自動車産業、ギャンブル、教育、建設、あるいは、それ以外の業種と比較して、彼らが盗むことが可能なより詳細なユーザ・データを通常格納しているので、攻撃者共は、より医療機関に集中したのかもしれない。
 「ある場合には、攻撃者共は、他のマルウェア(様々な身代金要求型マルウェアやShylockファイナンシャル・トロイを含む)でコンピュータに感染していた。それらは、彼等が攻撃が明らかにされたと確信した時、捜査の目を逸らすために、このグループによって使用されている可能性がある」と、Symantecはレポートで注意している。


Princess Locker身代金要求型マルウェアの復号プログラムがリリースされた
BleepingComputer : News>Security (2016/11/22)


 ポーランドのセキュリティ研究者Hasherezadeは、この身代金要求型マルウェアの暗号化システムをクラックし、無料の復号プログラムをリリースすることで、Princess Locker身代金要求型マルウェアの犠牲者を支援する方法を発見した。
 Princess Lockerは、9月末に現れ、Dark Webポータルを介して賃貸可能にしたRansomware-as-a-Service(RaaS、【訳注】 知識を持つサイバー犯罪者が、ランサムウェアを利用した自作のサービスを、RaaSとして志望者向け材料キットの形で提供すること(Trendmicroより))利用できるようにした身代金要求型マルウェア ファミリーである。
 この身代金要求型マルウェアは、決して巨大な拡散キャンペーンの中心的存在ではないが、その背後にいる犯罪者は、ファイルをアクセス不能にされたままになっている何人もの犠牲者を作っている。

Keygenと復号プログラムはダウンロードすることができる

 この身代金要求型マルウェアの動作形態を着目して数日を費やした後、Hasherezadeは、昨日Twitterで、彼女が、この脅威によってロックされたファイルを取り戻す方法を発見したとアナウンスした。
 この復号パッケージは、こちらのGoogle Driveのページからダウンロードすることができる。このアーカイブは、以下のファイルを含んでいる。


 二つのメインファイルはPrincessKeygenとPrincessDecrypterである。ファイルは共にCLIツールなので、あなたは、コマンドライン インターフェース(cmd.exe)を起動し、これら二つのファイルを配置したフォルダに移動する必要がある。
 あなたが稼働する最初のプログラムは、PrincessKeygenである。名前が仄めかしているように、これは、あなたのファイルをロックするために使用されている暗号化キーを抽出するためのツールである。このファイルを実行するには、このツールのフォルダに移動した状態にあるcmd.exeで、以下のコマンドをタイプする。

PrincessKeygen.exe [encrypted file] [original file] [added extension] [*unique id]

 プレースフォルダの説明:

[encrypted file] - 暗号化されたファイルの名前。このファイルはPrincessKeygen.exeファイルと同じ場所に配置されていなければならない。
[original file] - [encrypted file]に入力したファイルの暗号化されていないオリジナルのファイル名。このファイルも同様に、PrincessKeygen.exeファイルと同じ場所に配置されていなければならない。あなたは、このファイルをバックアップ、古いeMail、オンライン・ファイル格納ポータルから取ってくることができる。一つのファイルで十分である。あなたがロックされたファイルの暗号化されていないファイルを持っていない場合には、Hasherezadeがheaders.zipファイルで提供しているサンプルファイルの一つを使用することができる。
[added extension] - 夫々の暗号化されたファイルの末尾にファイル拡張子として追加されたランダムな文字列。
[unique id] - 脅迫文の"Your ID"中に含まれているランダムな文字列。これは任意のパラメータである。Hasherezadeは、ここを指定しなくてもkeygenは動作するだろうと発言しているが、結果が生成されるまでに長い時間が掛かるだろう。


PrincessKeygen.exeの使用中

 暗号化キーを入手したら、復号プロセスに移動することができる。cmd.exe類似のウィンドウで、以下のコマンドをタイプする。

PrincessDecryptor.exe [key] [added extension] [*file/directory]

 プレースフォルダの説明:

[key] - keygenで生成されたキー
[added extension] - 夫々の暗号化されたファイルの末尾にファイル拡張子として追加されたランダムな文字列。前のステップと同じ。
[*file/directory] - 特定のファイルや特定のフォルダだけを復号するための任意のパラメータ。

 Hasherezadeは、復号プロセスをユーザに説明するためのビデオも記録している。同じ復号の指示は彼女のWebサイトでも利用可能になっている。あなたが特別な支援を必要とするのであれば、Bleeping ComputerのPrincess Locker help and support topicに支援を求めることができる。
 あなたが、フードに隠れたPrincess Lockerが動作している方法に関する詳細な技術解析を読みたいのであれば、HasherezadeのPrincess Lockerレポートは、Malwarebytesのブログで利用することができる。


Facebookスパム・キャンペーンは、NemucodダウンローダとLocky身代金要求型マルウェアを拡散している
BleepingComputer : News>Security (2016/11/21)
 進行中のFacebookスパム・キャンペーンは、ユーザの間にNemucodマルウェア・ダウンローダを配布している。そしてこれは、ある場合には、最終段階でLocky身代金要求型マルウェアをダウンロードすることが確認されている。
 セキュリティ研究者Bart BlazeとPeter Kruseは、週末にかけてFacebookのIMシステムを介して拡散しているスパム・メッセージのフォーム中のキャンペーンに注目した。
 スパマー達はSVGイメージを回していた。SVGイメージは、今日ベクトル画像を保存するために使用されている比較的新しいイメージ・フォーマットである。


Facebook SVGスパム・メッセージ

 犯罪者が共有するためにSVGイメージを選択した理由は、SVGがXMLベースであり、ダイナミック・コンテンツを可能にしていることにある。犯罪者は、写真自体の内部に正しく悪意あるJavaScriptコードを追加していた。これは、今回の場合では、外部ファイルへのリンクである。


SVG画像ソースコード(画像をクリックすると拡大します)

 この画像をクリックしたユーザは、Youtubeを真似たWebサイト上にいる自分自身を発見するだろう。このWebサイトは、彼等がビデオを閲覧するために拡張をインストールしなければならないとするポップアップを表示する。


Chrome拡張を押し付けてくるインチキのYouTube Webサイト。

 「この拡張は、アイコンを持たないことで不可視にしているようである」と、Bart Blazeは言及している。また、そのようなWebサイトにいる自分を発見したあらゆるユーザのために、警鐘が打ち鳴らされていなければならないとも指摘している。


悪意あるChrome拡張

 この拡張は、十中八九スパムを拡散する方法である。この拡張は、同じSVGイメージ・ファイルをあなたの友人に大量送信するために、あなたのFacebookアカウントに対するブラウザのアクセスを悪用している。

悪意あるChrome拡張はNemucodをダウンロードしていた

 更に、Blazeは、この拡張がNemucodをダウンロードしていたとも発言している。これは、一般的に他の脅威を連れ込みインストールするために使用されてきた一般的なマルウェア・ダウンローダーである。
 同日、CSIS Security Groupの創設者Peter Kruseは、彼が同じキャンペーンを検出し、LockyペイロードをダウンロードするNemucodを確認したとTwitter上で発言している。
 BlazeとKruseは、悪意あるChrome拡張が二つの名前(UdoとOne)で使用されていると発言している。この研究者達は、FacebookとGoogle Chromeチームの両方に対して警告を発している。

KruseのTwitterでの発言、その1

KruseのTwitterでの発言、その2


Ask.comが、マルウェアのダウンロードに乱用されていた
BleepingComputer : News>Security (2016/11/19)

 セキュリティ企業Red Canaryは、マルウェアを末端ユーザに拡散するための方法としてAsk.comツールバーを使用して実行されているマルウェア作戦を停止させたと述べている。
 昨日公開されたインシデント(【訳注】 情報セキュリティ分野ではコンピュータやネットワークのセキュリティを脅かす事象を意味する(ITトレンドより))レポートで、Red Canaryチームは、10月末と11月初めに見つけた一連の攻撃を詳細に説明している。
 この会社は、そのセキュリティ製品が、今まで無害であったプロセスの実行中に異常を感知したと述べている。

Ask.comは、疑わしいプロセスを生成していた

 Red Canaryのマルウェア・アナリストJoe Molesは、この会社の脅威検出システムが、Ask.comアップデートシステム(apnmcp.exe)が第二段階のプロセスを生成している時に奇妙なイベントを検出したと発言している。これは、この会社の従業員に警告を発した(このイベントを調査するために)。
 apnmcp.exeプロセスが、合法的な証明書であるかのように見えるものによって署名されており、理論的に、如何なる警告も発生してはならない場合でさえ、何らかの奇妙さが、脅威監視システムを反応させる引き金となった。
 研究者達は、apnmcp.exeが、logo.pngと名付けられたファイルを起動する第二段階のプロセス(次にネットワーク接続を開き、最終ステージで2-3のバイナリをダウンロードする)を生成することを素早く発見した。

犯罪者は、Ask.comのツールバーのアップデートプロセスを乗っ取る方法を発見した

 「イメージファイルは、明らかに独自に実行するはずはなく、他のプログラムによって開かれなければならない。更に調査すると、ソフトウェアのアップデートプロセスが取り込まれている症例であることが即座に判明した」と、Molesは発言している。
 どうにかして、この攻撃者達は、Ask.comツールバーのアップデートプロセスを巧みに取り扱う方法を発見し、攻撃者の命令でコマンドを実行することを、このアップデートプロセスに強制した。
 良いことは、彼等が10のコンピュータだけからしかこの種の攻撃を検出していないとMolesが発言していることである。
 「このプロセスが犠牲者の端末で僅かなアクションしか取っていないので、我々が持っている疑念は、我々は開発の初期段階もしくはテスト段階でこれを捕獲したということである。これは、意図的であるかもしれないし、邪悪なペイロードや設定に起因しているのかもしれない」と、Molesは発言している。
 このセキュリティ企業は、感染した犠牲者とAsk.comツールバーチームの両方にコンタクトした。このチームは、攻撃方法を削除するパッチを素早く配置した。


Locky身代金要求型マルウェアは、インチキのFlash Playerアップデート サイトを介して拡散している
BleepingComputer : News>Security (2016/11/17)
 インチキのFlash Playerアップデート サイトは、アドウェアや他の不要なプログラムを拡散するためのお気に入りの方法であリ続けている。本日、インチキのFlashアップデート サイトがExecuteMalwareによって発見された。このサイトはLocky身代金要求型マルウェアを押し付けようとしている。このサイトを訪問した者は、Flash Playerが期限切れであるとするページで迎えられ、次に、自動的に実行ファイルがダウンロードされる。あなたがブラウザのアドレスバーのURLを注意深く見たならば、fleshupdate.comが正しいスペルではないことに気がつくだろう。


インチキのFlash Update Webページ

 このサイトによって自動的にダウンロードされた実行ファイルは、FlashPlayer.exeと名付けられ、以下にみられるようにFlash Playerのアイコンを含んでいる。


ダウンロードされたファイルのFlashアイコン

 あなたが、このファイルのプロパティを確認したなら、奇妙に思うだろう。


Lockyインストーラのプロパティ

 最終的に、ユーザがFlashがアップデートされるだろうと思い、このプログラムを実行すると、とても驚くことになる。Flash Playerがアップデートされる代わりに、この身代金要求型マルウェアが、犠牲者のファイルの暗号化を終了すると、彼等は、Locky脅迫文を表示されるだろう。


Locky脅迫文

 私がテストしたこの変種に関するLockyDump情報は以下である。MalwareHunterTeamはまた、このサンプルが以前には確認できなかった、19のアフィリエイトIDを使用していることを確認した。

Verbose: 0
The file is a PE EXE
affilID: 13
Seed: 9841
Delay: 30
Persist Svchost: 0
Persist Registry: 0
Ignore Russian Machines: 1
CallbackPath: /message.php
C2Servers: 85.143.212.23,185.82.217.29,107.181.174.34
RsaKeyID: 85D
RsaKeySizeBytes: 114
Key Alg: A400
Key: RSA1
Key Bits: 2048
Key Exponent: 10001

 分かっていると思うが、身代金要求型マルウェアを押し付けてくるのは添付ファイルや脆弱性悪用キットだけではない。全ての人が、Webをブラウズするとき、緊張感を持ち注意深くある必要がある。更に、プログラムのアップデートは、何をインストールされるのか分かっていないサード・パーティーのサイトではなく、そのメーカーのメインの製品サイトからダウンロードしなければならない。
 冷静さを保て !


研究者は、Karma身代金要求型マルウェアが、Pay-per-Installネットワークを介して拡散していることを発見した
BleepingComputer : News>Security (2016/11/14)
 slipstream/RoLと名乗るセキュリティ研究者が、Karma身代金要求型マルウェアを発見した。このマルウェアは、Windows最適化プログラム(Windows-TuneUpと呼ばれる)を装っている。最悪なことは、人々がインターネットからフリーソフトをダウンロードした時に、このサンプルが、Pay-per-Install(【訳注】 指定されたソフトウェアのインストール台数に応じて対価を得る(Trendmicroより))ソフトウェア収益企業によって配布されていることである。
 私はアドウェアやPUA(【訳注】 不要なアプリケーション(Sophosより))の提供者を、あらゆる時に激しく避難してきた。今回の件は、バンドルされているソフトウェアが、如何に危険であるかを示している。

KarmaのTwitterへのリンク

 ユーザが、このソフトウェア収益企業の収益となるフリーのプログラムをダウンロードしインストールすると、彼等は、Windows-TuneUpと呼ばれるWindows最適化プログラムに関するオファーで迎えられる。多くの人々は、これらのタイプのプログラムが、あなたのコンピュータに望まれているものではないことを認識しているが、残念なことに、このことを認識していない人々も沢山いる。このような人々は、このプログラムが、彼等の動きの鈍くなったコンピュータを最適化する支援となるだろうと考え、このオファーを受け入れる。
 このプログラムを実行すると、彼等は様々なパフォーマンス統計を表示する画面と、おそらく彼等のコンピュータのパフォーマンスを向上するためのツールを提示される。

 また、彼等が、このプログラムのWebサイトを訪問すると、彼等は正当なソフトウェア企業であるように見えるWebページを表示されるだろう。


Windows-TuneUp Webサイト

 残念ながら、これは策略である。そして、この犠牲者がインチキのプログラムに弄ばれ、このWebサイトを読まされている間に、このプログラムはコッソリと犠牲者のコンピュータと接続されているドライブのデータとを暗号化している。これは、彼等がKarma身代金要求型マルウェアの脅迫文を表示されるまで、騙されていることを、コンピュータに深刻な問題が発生していることを認識しない。


Karma身代金要求型マルウェアの脅迫文

 良いニュースは、この身代金要求型マルウェアが大変短命であり、コマンド&コントロールサーバーは既にシャットダウンされていることである。それ故、この身代金要求型マルウェアが依然として拡散させられているとしても、犠牲者が感染することはない。
 けれども、大変重要なレッスンを提供している。インターネットからフリーのソフトウェアをダウンロードする全ての人は、提供されているあらゆるオファーを拒否しなければならない。私の経験では、フリーのダウンロードによって提供されるあらゆるオファーは、何ら価値のないものであり、単純に回避すべきものである。ともかく、アドウェアやPUP(不審なプログラム)を取り除いたダウンロード プログラムだけをインストールしなさい。

Karma身代金要求型マルウェアがコンピュータを暗号化する方法

 この身代金要求型マルウェアを明瞭化したMalwareHunterTeamのおかげで、私はソースコードをシッカリと観察することができた。Karmaが最初に実行されると、このプログラムが、バーチャル・マシンで実行されているのか否かをチェックする。そうであれば、このプログラムは終了させられ、このコンピュータとは互換性がないと述べてくる。
 これがバーチャルマシンを検出しない場合は、犠牲者のファイルを暗号化するために使用するための暗号化キーを取得するために、コマンド&コントロールサーバーに接続する。次に、暗号化するための特定のファイルタイプに関して全てのドライブ(接続されているネットワークドライブを含む)を検索する。ターゲットになっているファイル拡張子は以下である。

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3gp2, .3gpp, .3pr, .7z, .7zip, .aac, .ab4, .abd,
.acc, .accda, .accdb, .accdc, .accde, .accdr, .accdt, .accdu, .accdw, .ace, .ach,
.acr, .act, .adb, .ade, .adn, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .amr, .aoi,
.apj, .apk, .arj, .arw, .asax, .ascx, .asf, .ashx, .asm, .asmx, .asp, .aspx, .asset,
.asx, .atb, .au, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt,
.bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .bz, .bz2, .c, .caf, .cash, .cdb, .cdf,
.cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm,
.cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw,
.cry, .cs, .csh, .cshtml, .csl, .csproj, .css, .csv, .d3dbsp, .dac, .das, .dat, .db,
.db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der,
.des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .dochtml, .docm, .docx, .docxml,
.dot, .dothtml, .dotm, .dotx, .drf, .drw, .dsw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb,
.eml, .eps, .erbsql, .erf, .exf, .fdb, .fdf, .ffd, .fff, .fh, .fhd, .fla, .flac,
.flb, .flf, .flv, .flvv, .forge, .fpx, .fs, .fsi, .fsproj, .fsscript, .fsx, .fxg,
.gbr, .gho, .gif, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .htaccess,
.html, .htpasswd, .ibank, .ibd, .ibz, .idx, .iff, .iif, .iiq, .incpas, .indd, .info,
.info_, .ini, .ipsw, .iqy, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json,
.k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lha, .lit,
.litemod, .litesql, .lock, .log, .ltx, .lua, .lzh, .m, .m2ts, .m3u, .m4a, .m4p, .m4v,
.ma, .mab, .mapimail, .master, .max, .mbx, .md, .mda, .mdb, .mdc, .mdf, .mdp, .mdt,
.mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp2,
.mp2v, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpg, .mpga, .mpv, .mpv2, .mrw,
.msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd,
.nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf,
.odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .onepkg, .onetoc, .onetoc2,
.orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas,
.pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pdfxml, .pef, .pem, .pfx, .php, .pif,
.pl, .plc, .plus_muhd, .pm, .pm!, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd,
.png, .pnx, .pot, .pothtml, .potm, .potm, .potx, .ppam, .pps, .ppsm, .ppsm, .ppsx,
.ppt, .ppthtml, .pptm, .pptm, .pptx, .pptxml, .prf, .private, .ps, .psafe3, .psd,
.pspimage, .pst, .ptx, .pub, .pwm, .pwz, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx,
.qby, .qcow, .qcow2, .qed, .qtb, .r00, .r01, .r3d, .raf, .ram, .rar, .rat, .raw,
.rax, .rdb, .re4, .resx, .rm, .rmm, .rmvb, .rp, .rpt, .rt, .rtf, .rvt, .rw2, .rwl,
.rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .settings,
.sh, .sldm, .sldx, .slk, .slm, .sln, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm,
.sqlitewal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc,
.std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw,
.tar, .tax, .tbb, .tbk, .tbn, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .tlx, .txt,
.upk, .usr, .utorrent, .vb, .vbe, .vbhtml, .vbox, .vbproj, .vbs, .vcf, .vcproj,
.vcs, .vcxproj, .vdi, .vdx, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd,
.vsd, .vsix, .vss, .vst, .vsx, .vtx, .wab, .wad, .wallet, .war, .wav, .wb2, .wbk,
.web, .wiz, .wm, .wma, .wmf, .wmv, .wmx, .wpd, .wps, .wsf, .wvx, .x11, .x3f, .xdp,
.xis, .xla, .xla, .xlam, .xlk, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb, .xlshtml,
.xlsm, .xlsm, .xlsx, .xlt, .xltm, .xltm, .xltx, .xlw, .xlw, .xml, .xps, .xslt,
.xxx, .ycbcra, .yuv, .zip

 このマルウェアが、上述のファイルタイプの一つに遭遇すると、AES暗号化を使用して暗号化し、.karma 拡張子をファイル名に追加する。例えば、test.jpgは、test.jpg.karmaになるだろう。ファイル暗号化の中で、このマルウェアは、以下の文字列を含む全てのフォルダーをスキップする。

\$recycle.bin\
\$windows.~bt\
\boot\
\drivers\
\program files\
\program files (x86)\
\programdata\
\users\all users\
\windows\
\appdata\local\
\appdata\locallow\
\appdata\roaming\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\

 最終的に、このマルウェアが、ファイルの暗号化をし終わると、# DECRYPT MY FILES #.html と # DECRYPT MY FILES #.txt と呼ばれる脅迫文を作成し、デスクトップ上に表示する。
 最後に、大事なことを言い忘れていたが、このマルウェアが終了した後に、Windows-TuneUp.exeを自動起動するスケジュールタスクを作成する。このスケジュールタスクは、pchelperと呼ばれる。

Karma身代金要求型マルウェア関連ファイル

Windows-TuneUp.exe

Karma身代金要求型マルウェア関連レジストリ エントリ

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer      "auth"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\      "Saffron"= "%Desktop%\\# DECRYPT MY FILES #.html"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\      "Safron"= "%Desktop%\\# DECRYPT MY FILES #.txt"

IOCs

SHA256: 6545ae2b8811884ad257a7fb25b1eb0cb63cfc66a742fa76fd44bddd05b74fe8
SHA256: cf5fda29f8e1f135aa68620ce7298e930be2cb93888e3f04c9cd0b13f5bc4092

ネットワーク コミュニケーション

karma2xgg6ccmupd.onion
windows-tuneup.com/web293/xUser.php


CrySiS身代金要求型マルウェア用のマスター復号キーと復号プログラムがリリースされた
BleepingComputer : News>Security (2016/11/14)
 驚きの行動であった。CrySiS身代金要求型マルウェア用のマスター復号キーが今朝早くBleepingComputer.comのフォーラムへの投稿としてリリースされた。おそらく、午前一時(米国東部時間)、crss7777と名乗るメンバーが、実際のマスター復号キーを含むCヘッダーファイルのあるPatebin(【訳注】 テキストデータを保存し公開することができる、ウェブアプリケーションサービス(Wikipediaより))へのリンクと、それを利用するための情報と共にBleepingComputerのCrySiSサポート トピックに投稿した。
 これらのキーは既に、Kasperskyが、彼等のRakhniDecryptorプログラム(CrySiSの犠牲者のファイルを復号するために使用される)をアップデートするためにKaspersky Labsによって使用されていた。


マスター復号キーがリリースされたことに関するBleepingComputer.comの投稿(画像をクリックすると拡大します)

 crss7777が誰なのかは、現在分かっていないが、マスター復号キーの構造に関して持っている詳細な知識と、Cヘッダーファイルとして、このキーをリリースしたという事実は、彼等がCrySiS身代金要求型マルウェアの開発者の一人であるかもしれないことを示している。
 このキーがリリースされた理由は定かでないが、身代金要求型マルウェア感染と背後の開発者に関する法執行機関による圧力の高まりに起因しているのかもしれない。


Patebinに投稿されたヘッダーファイル(画像をクリックすると拡大します)

 このリリースされたキーはKaspersky Labsによって検証され、正当なキーであることが判明した。これらのキーを使用して、Kasperskyは、彼等のRakhniDecryptor復号プログラムをアップデートしたので、CrySiSで暗号化されたファイルは、現在復号することができる。

CrySiSで暗号化されたファイルをRakhniDecryptorで復号するには

 CrySiS身代金要求型マルウェアの犠牲者は、暗号化され、[filename].id-[id].[email_address].xtblの形式にリネームされた彼等のファイルによって特定される。例えば、最も最近の変種は、test.jpgという名前のファイルをtest.jpg.id-ABADG125.alex-king@india.com.xtblにリネームさし暗号化する。
 今までに確認された幾つかの他の変種は、Vegclass@aol.com.xtbl, gerkaman@aol.com.xtb, johnycryptor@hackermail.com.xtbl, Milarepa.lotos@aol.com.xtblを含んでいる。
 CrySiS身代金要求型マルウェアによって暗号化されたファイルを復号するには、最初にRakhniDecryptorをダウンロードする必要がある。ダウンロードすると、このプログラムを解凍し実行しなければならない。実行すると、このプログラムは、以下に示したようなメイン画面を表示する。


RakhniDecryptor

 始める前に、あなたは、必ずバージョン1.17.8.0を使用していなければならない。このバージョンから、CrySiS身代金要求型マルウェアがサポートされている。RakhniDecryptorのバージョンをチェックするには、上の画面の左下隅にあるAboutリンクをクリックしなさい。これは、RakhniDecryptorのバージョンを示す小さなウィンドウを表示する。


RakhniDecryptorのAbout画面

 あなたがバージョン1.17.8.0、もしくは、それ以降を使用しているのであれば、Start scanボタンをクリックしなさい。RakhniDecryptorは、あなたに暗号化されたファイルを選択するように促してくる。CrySiSで暗号化されたファイルを含むフォルダに移動し、.Word, Excel, PDF, ミュージック, 画像ファイルを選択しなさい。テキストファイルは、あなたのファイルの残りを復号するために使用することができないので、選択してはならない。


CrySiSで暗号化されたファイルを選択する。

 ファイルを選択したら、Openボタンをクリックする。RakhniDecryptorは、ここで暗号化されたファイルに関してコンピュータ全体をスキャンし、それらを復号する。


CrySiSで暗号化されたファイルをスキャンする。

 このプロセスは、かなり長い時間が掛かる。この復号プログラムが、あなたのコンピュータをスキャンし、ファイルを復号する間は、どうか我慢しなさい。
 終了すると、RakhniDecryptorによって復号されたファイルのリストが表示される。あなたは、ここで、RakhniDecryptorを終了する。あなたは、再びファイルへのアクセスが可能になっているはずである。


4億1千200万ユーザの記録が、Adult Friend Finderの親会社から盗まれていた
BleepingComputer : News>Security (2016/11/14)
 アダルトをテーマとする49,000のWebサイトの親会社Friend Finder Networks(FFN)がハックされており、412,214,295ユーザに関するデータが、先月のハッキング地獄で変更されていた。
 この漏洩の公開は最近実行されたものであり、6つのFriend Finder Network(Adultfriendfinder.com, Cams.com, Penthouse.com (現在はPenthouse), Stripshow.com. iCams.com, 及び未知のドメイン)の過去20年間の履歴データを含んでいた。サイトあたりのセキュリティ侵害状況は以下である。

Webサイト名 影響を受けたユーザの数 平文パスワードの数
Adultfriendfinder.com 339,774,493 103,070,536
Cams.com 62,668,630 21,422,277
Penthouse.com 7,176,877 495,720
Stripshow.com 1,423,192 342,889
iCams.com 1,135,731 272,409
未知のドメイン 35,372 --

 盗まれたファイルに含まれていた最終ログイン日は、2016/10/17である。これは、十中八九ハッキングが行われた日付である。

このハッキングの起源

10月18日、CSO Onlineは、TwitterでRevolverもしくは@1x0123(現在停止されているアカウント)と名乗る自称セキュリティ研究者の話題(彼は、Adult Friend FinderのWebサイトにLocal File Inclusion(【訳注】 ローカル・ファイル・インクルージョン。攻撃者がWebサイトに想定外のファイルを読み込ませる攻撃)の脆弱性が存在していることを特定し通知したと発言していた)を取り上げた。
 興味深いのは、Revolverが、この問題をFNNに通知し、彼がTwitterに書き込む一日前には、「顧客の情報は彼等のサイトに残ったままである」、もし「彼等が再びこれをデマであると言うのであれば、私は全てをリークするだろう」と発言していた。
 昨年、Revolverは、彼がNaughty America(【訳注】 米国のサンディエゴにあるポルノ制作会社)のWebサイトにアクセスしたと主張し、Twitter上にスクリーンショットを投稿した。一週間後、Naughty Americaユーザ データベースは、TheRealDeal暗黒Web市場で売りに出された(Peace of Mindとして知られる別のハッカーによって売りに出されたとされているが)。
 夏の間、Revolverは、PornHub(【訳注】 アダルトサイト)のサーバーにアクセスしたと主張したが、PornHubの代表者は全くのデマだと発言した。本日、新しく作成したTwitterアカウントで、RevolverはRedTube(【訳注】 アダルトサイト)のサーバーにアクセスしたことを示すスクリーンショットをポストした。

FFNは、十中八九2016/10/17にハックされた

 実際、Adult Friend Finderがハックされた噂は、RevolverがFFNにこの問題を通知したにも拘わらず、CSO Onlineが少なくとも1億のユーザアカウントが盗まれたことを嗅ぎつけた10月20日に沸き起こった。
 このハックのデータは最終的に、LeakedSource(公開された漏洩データに索引を付け、そのデータをこのサイト上で検索可能にしているWebサイト)の所有することろとなる。
 LeakedSourceが解析した後に初めて、世界は、1997年以来の複数のFFN Webサイトでのデータ損失で、この攻撃の本当の広がりを発見した。
 SQLテーブル スキーマファイルに基づくと、このデータベースは、性的嗜好やデートでの習慣のような詳細な個人情報は含んでいない。
 2015年に、同じAdult Friend FinderのWebサイトは、同様の漏洩を受け、390万ユーザの詳細な個人情報を失った。
 今回は、ユーザ名、eMail、ログインした日付、言語選択、パスワード、他に幾つかだけである。

大部分のアカウントは平文パスワードを含んでいた

 パスワードに関しては、LeakedSourceが、パスワードの99%はクラックされると主張している。LeakedSourceは、パスワードの大部分は平文テキストで格納されていたが、この会社は過去のある時点でSHA-1アルゴリズムに切り替えていたと発言している。それであるにも拘わらず、FFNは重大な失敗を犯していた。
 「何れの方法も、如何に想像を逞しくしても安全であるとは考えられない、そして更に、ハッシュされたパスワードは格納される前に全て小文字に変換されたいたかのように思われる。これは攻撃することを大幅に容易にするものであるが、この認証は、悪意あるハッカーが現実世界で乱用するには多少役に立たないものにすることを意味している」と、LeakedSourceの代表は発言している。
 使用されている大部分のパスワードの解析は、250万を超えるユーザが、"12345"あるいは、その変形形式の簡単なパスワードを使用していたことを明らかにした。

 データの解析はまた、"email@address.com@deleted1.com"のようなフォーマットでの15,766,727のeMailの存在を明らかにした。この種のフォーマットは、ユーザがアカウントを削除した後にもデータを維持したい企業によって採用されている。
 LeakedSourceは、さしあたり、検索可能データ漏洩の索引にこのデータを追加していない。
 記述している時点で、FFNは、この件に関するパブリック ステートメントを発行していない。LeakedSourceは、これが2016年最大のデータ漏洩であると発言している。2016年9月に明るみに出たYahooの5億のユーザアカウントの漏洩は、実際には2014年に発生している。


WordPressとJoomlaサイトはSpamTorteボットネットの復活を刺激している
BleepingComputer : News>Security (2016/11/10)
 犯罪者達は、7つの異なるサーバー・レイヤーに跨る複雑なボットネット構造を使用して大量のスパムを送信するために、WordPressとJoomlaのサイトを使用している。  このボットネットは、2014年以降セキュリティ企業に認識されていたが、最近生まれ変わっており、今までのバージョンより小さくなっているにも拘わらず、このボットネットを同定することが困難になっている。
 何らかの胡散臭さを発見した最初のセキュリティ企業はSymantecである。2014年、この企業のエンジニアが、セキュリティ侵害されたLinuxサーバー(彼等はある種のスパム・オペレーションに使用されたと推定していた)上にSpalookiマルウェアを探していた時のことであった。
 詳細は、2015年11月に公開されたAkamai SIRTのレポート(これは、Torteと名付けられた、総数83,000のボットネットのオペレーションを詳細に説明している)のおかげで明るみにでた。Akamaiは、犯罪者達は脆弱なテーマとプラグインを介してWordPressとJoomlaのサイトをセキュリティ侵害し、スパムを送信するために使用していると発言している。

Torteボットネットは、基盤構造を改良したSpamTorteとして再び現れた

 今週リリースされたレポートでは、サイバーセキュリティ企業Verint(米国を本拠とする)は、Torteボットネットの新しい、そして、改良されたバージョンが現れ、現在僅か数千のボットで構成されていると発言している。彼等は、これをSpamTorteと名付けている。
 その2015年のレポートでは、Torteボットネットは、スパム・オペレーションを実行するために4つのレイヤー構造を使用していると説明している。Verintは、この新しく改良されたSpamTorteは、7つのレイヤー・システム(一番上にコマンド&コントロール・サーバー、この下にアッセンブリ サーバのレイヤー、そして、スパム・キャンペーン活動のためのデータ格納用の5つのサーバー・レイヤー)を使用していると発言している。

 Verintは、感染プロセスを説明するために上の画像を提供している。総てのオペレーションは、WordPressとJoomlaインストレーション中に犯罪者が(彼等が様々な脆弱性を活用してハッキングできる)脆弱性を発見することで始まる。
 ボットネット・オペレーションは、Linuxサーバにだけ関心を示し、Windowsシステムは完全に無視されている。32-bitシステムも64-bitシステム共にサポートされている。

使用されているアッセンブリ サーバーは、スパムメッセージを集めている

 このマルウェアがサーバに感染すると、第一段階は、「第一レベル」のサーバーから悪意あるELF(【訳注】 Executable and Linkable Formatの略。コンパイラが生成するオブジェクト、および、ライブラリとリンクされた実行ファイルのファイルフォーマット(Wikipediaより))バイナリをダウンロードし、再ダウンロードするcronjob(クロンジョブ)を作成することである。この繰り返されるダウンロードは、このマルウェアの作者が彼のボットをアップデートしたい場合に、自動アップデート システムとして挙動する。
 ELFマルウェアがダウンロードされインストールされると、「第二レベル」のサーバと連絡をとる。この第二レベルのサーバは、eMailテンプレートのコレクションを、このマルウェアに提供する。
 同じ操作が「第三レベル」のサーバに連絡を取ることによって繰り返される。これは、eMailアドレスをこのマルウェアに提供する。
 次のステップは、「第四レベル」のサーバに連絡を取る。これは、ボットネットのオペレータが別のスパム実行の結果を追うことができるようにするためのキャンペーンIDと共に、eMailテンプレート中に挿入する必要のあるURLのリストで応答する。
 最後のステージは、eMailテンプレートを集め、base64とXORテキストとして、それらを、このボットネットのオペレータが、現実のスパム送信の処理をする高度なメール・スクリプトをインストールした「第五レベル」のサーバに送信することである。

SpamTorteボットネットはアダルトと医薬品スパムを活用している

 様々なレベルに広がるこれら全てのサーバは、ハックされたWordPressとJoomlaサイトである。Verintは、様々なアダルトと医薬品サイトに代わってスパムを送信しているSpamTorteボットネットを検出したと発言している。
 このボットネットが、Akamaiが2015年に確認した最初のバージョン程大きくないのは、このマルウェアが適切なコンパートメント化が行われているためであり、同定し、停止することが困難になっている。  「このような巨大なスパム・オペレーションが依然として活動的であるのは驚きであるが、ボットネットのレイヤー化された構造は、素晴らしい支援を提供している」と、Verintは、SpamTorteの挙動に関するレポートで記述している。「この郵送者がブロックされブラック・リスト入りすると、コマンド&コントロール・サーバは、秘密のまま、手付かずのまま残る。」


DDoS攻撃は、フィンランドの小さな町の二つの建物の暖房システムをダウンさせた
BleepingComputer : News>Security (2016/11/08)
 フィンランドのLappeenranta(ラッペーンランタ)の二つの建物の居住者は、サービスプロバイダを狙ったDDos攻撃が、彼等の共同住宅に設置されているコンピュータ化された建物暖房システムに間接的に影響を与えたために、数日を寒さの中で費やすことになった。
 フィンランドのメディアによると、この攻撃は短いものであったが、コンピュータ化された住居管理システムを妨害する不幸な結果をもたらした。このシステムは繰り返し再起動され、最終的にシャットダウンした。
 Yle UutisetとTiviは、この攻撃は、建物の暖房システムを管理しているValtiaと呼ばれる地方企業を狙ったものであると伝えている。

DDoS攻撃は、建物の暖房システムを直接ターゲットにしたものではなかった

 Simo Rounela(ValtiaのCEO)が、Metropolitan.fiに告げたところによると、このDDoS攻撃は10月末から先週の11月03日まで継続した。RounelaがまたViceに告げたところによると、この攻撃は、この会社が使用しているDNSサーバーを標的にしたものであった。
 これは、コンピュータ化された住居管理システムがサーバに接続できなくなり、再起動することとなり、最終的にシャットダウンを引き起こした。
 DDoS攻撃の気紛れな性質と、技術者が通常ローカルソフトウェアとハードウェア問題を探すことに起因して、この会社が、発生していることを認識するまでに数日間を要した。
 Rounelaは、コンピュータ化された住居管理システムをインターネットから切り離した後に、このシステムは通常通り動作し始めたと発言している。

この会社は、これが居住者に不便をかける前に問題を修正した

 一年のこの時期、ラッペーンランタの気温は摂氏0度以下である。
 Rounelaは、この攻撃が二つの建物の居住者に過大な不快感を発生させておらず、あらゆるテナントを移転させる必要もなかったと発言している。
 この事件は、Twitter, Imgur, Reddit, GitHub, Etsy, Soundcloud, Spotifyのような多数のサービスと、Dynがジャンク トラフィックで攻撃されることを原因として接続できなくなった人々に間接的に影響を与えた、Dyn(管理されたDNSサービス)への攻撃を思い起こさせる。


Tesco Bankは、2万アカウントから現金を奪われた後、オンライン取引を凍結した
The Guardian : Business (2016/11/07)
 Tesco Bankは、顧客が不正な行為で影響を受けた後、オンライン取引を凍結し、週末にかけて影響を受けた口座から金銭を奪われた顧客への返済を誓約した。
 Benny Higgins(このスパーマーケット チェーンの銀行部門の最高責任者)は、オンライン取引停止の決定は、顧客を保護するためであったと発言している。彼は、4万の顧客が影響を受け、彼が「オンライン犯罪行為」として説明している行為によって、この内の半分が現金を引き出されていたと発言している。Tescoの株はFTSE(ロンドン株価指数)で大きく下げている(3%の下落)。
 週末にかけて、顧客は、700万の顧客を持つこの銀行への電話が繋がらなかったとする不満付きで、金銭が口座から無くなっていることを報告した。
 「我々は顧客に与えた心配と不便について謝罪し、顧客のアカウントを保護するために、あらゆるステップを取っていることを強調できるだけである。これが、予防措置として、我々が当座預金からのオンライン取引を一時的に停止することを本日決定した理由である」と、Higginsは発言している。
 「オンライン取引が利用できない間、当座預金の顧客は今まで通り、カード、ICカードを使用して現金引き出すことは可能であり、そして、既存の全ての請求書の支払いと自動引き落としは、通常通り行われる。我々は可能な限り早急に、当座預金のサービスを復旧するために一生懸命作業している」と、彼は発言している。
 Tesco Bankは、急速に成長し、Lloyds, RBS, HSBC and Barclaysの「ビッグ4」から当座預金マーケット・シェアを奪おうとしていた。他行が自称チャレンジャーと称していた時点では、銀行(特にSantander)は、当座預金に支払う利率を減少しているが、Tesco Bankは、3000£(約39万円)を超える残高に 3% の利息を提供し、顧客が二つの口座を持つことを可能にしている(【訳注】 ここで言う当座預金(Current Account)は、日本の普通預金口座に近いもので、日常の金銭の出し入れや自動引き落としに利用される口座です。また、小切手帳もついてきます)。
 Higginsは、アカウントがセキュリティ侵害された理由に関する詳細を提供していない。
 「我々は、この詐欺を解決するために当局や監査機関と共に作業している。我々は、Webサイト、Twitter、直通通信を定期的にアップデートすることで顧客に情報を提供し続けるだろう」と、彼は発言している。
 「我々は、この問題の結果としてのあらゆる経済損失は、Tesco Bankによって完全に解決されるだろう、そして、可能な限り早急に、詐欺の対象となった口座に返金するために作業している」と、Higginsは発言している。
 この銀行は、複数の口座で不審な行動が検出された土曜日遅くに、口座所有者にテキストでの警告を送信した。顧客は、600£も口座から消滅していたと報告していた。
 FCA(金融行動監督機構)は、状況を見守っている。NCA(国家犯罪対策庁)は、この問題はTesco Bankによって通知され、法執行機関の間で対応を調整していたと発言している。


未パッチのWIX.COMの脆弱性は数百万のサイトを危険に晒している
Kaspersky : Threatpost (2016/11/02)
 クラウドベースのホストWix.comは、DOMベースのクロスサイト スクリプティングに対する脆弱性がある。これは、攻撃者が、このプラットフォームにホストされている数百万全てのWebサイトの制御を奪取可能な脆弱性である。
 「Wix上に作成された任意のサイトに対し単一のパラメータを追加するだけで、攻撃者は、ターゲットWebサイトの一部として彼等のJavaScriptをロードし実行させることができる」と、Contrast Securityの上席セキュリティ研究技師Matt Austinは発言している。
 Austinが水曜日に語ったところによると、10月初旬以降、この脆弱性は繰り返しWix.comに警告され通告されているにも拘わらず未パッチのままである。Wix.comの見積もりによれば、このプラットフォームには8600万ユーザが存在している。
 OWASPによると、従来のクロスサイトスクリプティング(HTTP(s)リクエストに対するレスポンス中のページにペイロードをドロップする)の悪用とは異なり、DOMベースのXSS攻撃は、クライアントサイド スクリプトを使用しているブラウザ中のDocument Object Model環境をセキュリティ侵害し、悪意あるコードは、クライアントサイド コードの実行に影響を与える。
Austinは、二つのReflected型DOMベースの攻撃シナリオを説明している。一つは、ターゲットのブラウザセッションをハイジャックできるように、特別に細工されたJavaScriptをロードする悪意あるURLを訪問するように誘導されたそのWebサイトのオーナーに関連するものである。そこで攻撃者は、認証されている犠牲者のブラウザセッションを装うことができる(そのユーザとして、あらゆる行動を実行することが可能となる)。これは、犠牲者によって制御されているWix Webサイトをセキュリティ侵害することを含んでいる(Webサイトの管理者権限を第三者に与えることになる、あるいは、クレジットカード番号を盗むためにWixの電子商取引サイトに侵入することができるようになる)。
 「Wix.comサイトの管理者コントロールは、広汎にマルウェアを拡散するために、ダイナミックで拡散型のブラウザベースのボットネットを作成するために、仮想通貨を採掘するために、その他の点では、それを使用しているユーザ同様にそのサイトのコンテンツを、一般的に制御するために使用することができる」と、Austinは発言している。
 二つ目のシナリオは、特別に細工されたURLでWix Webサイトにユーザが誘導された場合を説明している。このURLは、DOMベースのXSS攻撃を介してターゲットにしたWix WebサイトにJavaScriptをロードできる。一つのシナリオでは、Wix.comベースのファンによって作成されたWebサイトは、特定のブラウザセッションが、音楽のダウンロードの代わりにマルウェアのダウンロードを提供したり、PayPalへの支払いをサードパーティのアカウントに振り向けられるような、セキュリティ侵害される可能性がある。
 このDOM XSS攻撃の例では、攻撃者が実行する必要のある唯一のことは、サーバに悪意あるJavaScriptをホストし、URLでそれに差し向けることである。例えば、“http://matt4592.wixsite.com/music?ReactSource=http://m-austin.com” とするようなことである。この例では、ルートドメイン “http://matt4592.wixsite.com/music” は、Reflected型DOMベースXSS攻撃が、ペイロードを配布するための条件を作成するために付随している “?ReactSource=http://m-austin.com” URLによる影響を受ける。
 Contrast Securityが発言している最悪のことは、サイバー犯罪者がこのフローを使用して、攻撃を拡大でき、それを、ソーシャルネットワーク サイトに伝搬するように設計されている全てのWixサイトに拡散するワーム(悪名高き2005 SamyワームやMySpaceワーム類似の)に変換できることである。
 「MySpaceワームがガイドであるのなら、Wixにホストされている数百万のWebサイト全てを乗っ取るのに、長くはかからないだろう」と、Austinは発言している。


Nymainマルウェアが、メジャー アップグレードしていると、Verintが述べている
The Register : Security (2016/11/01)
 Nymainマルウェア ドロッパーの背後にいる悪漢共は、彼等のコードをアップデートした。このアップデートは、より適切な難読化とセキュリティ ソフトウェアをブラックリストへ記載することを含んでいる。
 解析チームVerint(この最新のバージョンを発見し、コチラにその解析を提供している)は、新しいコードベースが、このマルウェアの最初のバージョンによって気に入られていたアプローチであるドライブ-バイ-ダウンロードよりはむしろフィッシングをターゲットにしていると、発言している。
 Nymainは、2013年から徘徊しているが、バージョンアップを繰り返そうともせず、脅威の研究者の前に居座っていた。Verintは、この攻撃は前年比63%の増加であると主張している。
 この変種は、「新しい配布メカニズム、難読化方法、PowerShellの使用、『アンチ-セキュリティ ソリューション / 解析』をブラック・リストする興味ある形態さえ」搭載していると、彼等は記述している。
 このブラック・リスト チェックは、このペイロードが起動すると間をおかずに発生する。これは犠牲者のマシンがインターネットに接続している方法を学習するためにMaxmindクエリーを使用している、そして、このクエリーが戻してきた、一般的なセキュリティ ソリューション名(Fortinet, Cisco, Trend Micro等のような)をチェックしている。
 このチェックがブラック・リスト中の文字列に一致すると、Nymainペイロードは、次の段階のペイロードをダウンロードすることなく停止する。
 Verint研究者が手にしたサンプルは、セキュリティ侵害するためのWordドキュメント中のマクロとして到着している。


Google: 既に攻撃されているMicrosoftカーネル脆弱性を公開
Kaspersky : ThreatPost (2016/11/01)
 Windowsの0-Dayの脆弱性は、不確定な数の攻撃に使用されていることを、Googleが本日(この問題を、内密にMicrosoftに通知した10日後)公開した。
 Microsoftは、未だに、このフロー(Googleによると、Windowsカーネル中のローカル特権の昇格に関する脆弱性)に関するアドバイザリもパッチも公開していない。この脆弱性は、Sandboxをエスケープするために使用することができ、セキュリティ侵害したマシンでコードを実行することができる。Microsoftは、Googleの公開は顧客をリスクに晒すものであると発言している。
 「我々は、脆弱性の公開を協調してできると信じている、Googleによる本日の公開は、顧客に潜在的なリスクを与える。Windowsは、報告されたセキュリティ問題を調査し、可能な限り早急に影響を受けるデバイスを積極的にアップデートするという顧客への献身をしている唯一のプラットフォームである。」 更に、「我々は、最高の防御のために顧客にWindows 10 と Microsoft Edge ブラウザを使用するように推奨している」と、Microsoftのスポークスマンは発言している。
Googleの追加コメントの要請に関しては、現時点で回答は発表されていない。
 Google Threat Analysis GroupのNeel MehtaとBilly Leonardは、10月21日に、この脆弱性をMicrosoftに公開し、同日、Googleは、Adobeに対してFlash Playerのコード実行フローを公開したと発言している。Adobeは、先週の水曜日、CVE-2016-7855に関する緊急のパッチをリリースした。この脆弱性は、標的型攻撃で組織に対しても使用されていた。このFlash Playerのバグは、Windows 7, 8.1, 10に影響を与えると、Adobeは発言していた。
 Googleは、本質的にユーザとその存在を共有し、同時に独自の修正を大急ぎでリリースするようMicrosoftに圧力を掛けるために、このバグに関する詳細を共有していない。Googleのこのバグに関する不十分な説明:
 「このWindowsの脆弱性は、Windowsカーネル中のローカル特権の昇格である。これはセキュリティSandboxをエスケープするために使用することができる。これは、win32k.sysシステムコールNtSetWindowLongPtr()を引き金にする(hWndは、GWL_STYLEがWS_CHILDに設定されていること。nIndexがGWLP_IDであること)」
 Googleは、この脆弱性は、Chromeブラウザでは緩和されていると発言している。
 「ChromeのSandboxは、Windows 10に関してwin32kロックダウン(【訳注】 セキュリティ強化のために、OSやアプリケーションなどの機能やリソースを制限すること(大塚商会IT用語辞典より))緩和を使用しているので、win32k.sysシステムコールをブロックする。これは、このSandboxをエスケープする脆弱性の悪用を妨げる」と、Googleは発言している。
 Googleの公開ポリシーは、緊急の脆弱性のパッチ、もしくはリスクに関するユーザへの通知と任意の解決策や一時的な緩和措置に関して、ベンダに60日間の猶予を与えている。このポリシーは2013年に公開され、積極的な悪用の下にある緊急のフローに関するデッドラインは7日間とすることも含まれている。
 「この特別な指定の理由は、毎日、活発に悪用されている脆弱性が公に公開されずに、あるいは未パッチのまま残ることが、より多くのコンピュータをセキュリティ侵害することになるからである。」、同時に「7日間はアグレッシブなタイムラインであり、一部のベンダにとっては製品のアップデートには短すぎるかもしれないが、可能な緩和策に関するアドバイス(一時的なサービスの無効化、アクセス制限、そのベンダが多くの情報に接するような)を公開するには十分な期間である」と、Googleは発言している。
 Googleは、彼等の厳しいデッドラインに基づいて行動することを厭わない。2015年の初め、Googleは、Patch Tuesdayの数日前に三つのWindowsのバグの詳細を公開した。これは、改善された協調的な公開を要求するMicrosoftから厳しい対応を強制するためであった。数週間後、Googleは、Macがコード実行に対して晒されているとする三つのOS X のバグに関する詳細を公開した。しかしながら、これらの脆弱性は何れも、本日の脆弱性のように、公に攻撃されているものではなかった。
 「我々は、自動アップデートが既にFlashをアップデートしていることを検証するよう(【訳注】 ChromeがFlashを自動アップデートすることを意味している)、もしもアップデートされていないのであれば、手動でアップデートするようにユーザに要請する。そして、今回のWindowsの脆弱性に関するMicrosoftからのパッチが利用できるようになれば、適用するようにユーザに要請する」と、Googleは発言している。


開発中の身代金要求型マルウェアは、コンピュータのロックを解除する前にサーベイすることを強制する
BleepingComputer : News>Security (2016/10/28)
 最早、サーベイは煩わしいことではないかもしれないのだろうか、新しい身代金要求型マルウェアは、犠牲者のコンピュータを解除する前に犠牲者にサーベイさせるためにFileIceサーベイ プラットフォームを利用している。GDataのセキュリティ研究者Karsten Hahnによって最初に発見されたこの身代金要求型マルウェアは、現在開発段階であり、現時点で、積極的に拡散していないことは間違いない。


サーベイ選択画面

 このマルウェアが起動すると、上の画像に示した、犠牲者のコンピュータのロックを解除するために選択しなければならない幾つかのサーベイを含む、サーベイ選択フォームを表示する。この身代金要求型マルウェアは、以下のソースコードに見られるように、URL: www.fileice.net/download.php?t=regular&file=3lhzu から、これらのサーベイを取得している。


サーベイを取得しているフォームを示しているソース

 犠牲者がサーベイを完了すると、このマルウェアは、ThxForYurTyme.txt と呼ばれるファイルをダウンロードする。このファイルは、"Thank you for supporting me." メッセージを表示する。


Thank Youファイル

 私の推測は、最終的に、このファイルがロック画面を解除し削除するために使用されるコードを含むということである。

全てが機能するわけではない

 この身代金要求型マルウェアは現在開発モードであるが、今のところ動作しない様々な機能を実行するためのコードを含んでいる。例えば、あなたがログインした時に、このプログラムが稼働するように自動実行を作成できるが、キチンと実行されない他の多くの機能を含んでもいる。例えば、[Ctrl]+[Alt]+[Del] を無効にするコードや、このマルウェアを削除することを困難にするために、様々なWindowsポリシーを設定するためのコードを持っているが、私のテストでは、作成することに失敗している。
 有効にしようとしているポリシーは以下である。

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System      "DisableTaskMgr" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System     "DisableLockWorkstation" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System     "DisableChangePassword" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer     "NoClose" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer     "NoLogoff" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System     "HideFastUserSwitching" = 1

 これが依然として開発段階であることを真に示しているとは、このUnlock Your PC画面である。この画面は、この身代金要求型マルウェアをテストするために使用された多くのデバッグ オプションを含んでいる。


Unlock Your PC画面

 例えば、このStartupボタンは、この身代金要求型マルウェア用の自動スタートエントリを有効にし、Closeボタンは、このプロセスを終了するだろう。Clear Ctrl Altチェックボックスは、このポリシーを有効化 / 無効化する。 Disable keysチェックボックスは、キーが動作しないようにキーボードをフックしようとする。
 発見されている多くの他の身代金要求型マルウェアのように、この身代金要求型マルウェアが、決して拡散しないことは十分に可能性のあることだが、例え、拡散させようとしても、簡単に打ち負かされるだろう。

このサーベイ身代金要求型マルウェア関連ファイル

C:\Users\User\Downloads\ThxForYurTyme.txt
C:\seo\Sdchost.exe

このサーベイ身代金要求型マルウェア関連レジストリ エントリ

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Sdchost     C:\seo\Sdchost.exe

このサーベイ身代金要求型マルウェア関連ネットワーク トラフィック

http://www.fileice.net/download.php?t=regular&file=3lhzu

ハッシュ

SHA256: 60fba97585c3a48720bffdb1e11fb5be537e6b6344220015bc9740d084f58c0b


Adobeは、マルウェアが今当に悪用しているFlashのセキュリティホールに対するパッチを発行した
The Register : Security (2016/10/26)
 Adobeは、Flash Playerをアップデートするようにアドバイスしている。これは、マルウェアが、Windows PCをハイジャックするためにインターネットの虫除けドア中に新たに発見された穴を悪用しているためである。
 この緊急のパッチは、一つの脆弱性CVE-2016-7855を解決している。この解放済みメモリの使用(use-after-free())プログラミングの大失敗は、ユーザが特別に細工されたFlashメディア ファイルを閲覧している時に、攻撃者にリモートコード実行の達成を可能にする。
 この脆弱性は、GoogleのThreat Analysis GroupのNeel MehtaとBilly Leonardによって発見され報告されていたが、パッチは、攻撃者がインターネットで悪用するまでリリースされなかった。
 Adobeは、現在マルウェア感染させるためにWindowsマシン(Windows 7及び、それ以降)を標的にしている攻撃を認識していると発言している。
 Windows、macOS、LinuxでFlash Playerを実行しているマシンのユーザと管理者は、更なる攻撃を回避するために可能な限り早急に、彼等のソフトウェアをアップデートするようにアドバイスされている。
 Google Chromeブラウザを使用している人々は、自動アップデートされるだろうし、Microsoft EdgeとInternet Explorerのバージョン 11 以降を使用している人々は、Microsoftから直接この修正を得るだろう。
 その他のユーザに関しては、WindowsとOS X/macOSのFlash Playerのパッチされたバージョンは、23.0.0.205 である。Linuxのパッチされたバージョンは、11.2.202.643 である。
 このアップデートは、人気のあるブラウザ プラグイン用にCVEにリストされている12の異なるセキュリティ フローを解決したFlash Playerの定例アップデートの後、丁度2週間で出現している。
 この最新の脆弱性攻撃は、バグだらけのFlash Playerを削除し、より新しい物(より安全なマルチメディアWebコンテンツに関するHTML5規格)を選択しなさいとするセキュリティ コミュニティーの議論を更に強調することになるだけだろう。
 Webコンテンツ制作者は、FlashからHTML5アプリケーションへの統合を大規模に始めているが、Mozilla Firefoxチームのようなブラウザ開発者は、更に一歩進み、Falshファイルが、彼等のブラウザ ウィンドウ中で実行できる方法に関してより厳しい制限を設け始めている。
 Mozillaは来年までに、Firefoxが、ユーザが実行することを明確に選択したコンテンツだけは許可するが、Defaultでは、全てのFlashコンテンツをブロックするだろうと発言している。


Joomla!アップデートは、二つの緊急の問題と二要素認証を修正している
Kaspersky : ThreatPost (2016/10/26)
 Joomla!コンテンツマネジメントシステムを運営しているWeb開発者は、彼等のサイトで即座にアップデートするよう強く要請している。
 Joomla!プロジェクトによって公開されたリリース アップデートによると、この企業は火曜日に、アカウントの作成と権限の昇格に繋がる二つの緊急の問題を修正したJoomala!の最新バージョン 3.6.4 をリリースした。
 この企業に大変厳しい烙印を押したこの二つの問題は、今月初旬に発見され、影響を受けるバージョンは、3.4.4から3.6.3までである。
 不十分なチェックのために、アカウント作成のバグは、その登録が無効にされている時でも、そのユーザが新規ユーザとして登録することが可能であった。権限の昇格バグは、登録を脱線的に処理していた。Joomla!は、「フィルターされていないデータの不正使用は、そのサイトに昇格された権限での登録をユーザに可能にしていた」と述べている。
 このアップデートはまた、先週このCMSで浮上した二要素認証も修正している。10月18日、直前のバージョン 3.6.3 のリリースの後、二要素認証を使用している少数のユーザは、彼等のWebサイトにロックアウトされたとJoomla!のGithubのページにレポートした。これらのユーザは、"Must match character set"エラー通知を表示され、アクセスを取得するために彼等のサイトのデータベースを介して二要素認証を削除することを強制されたと主張している。
 この問題は、Joomlaが最近FOF(Framework on Framework、このCMS用のサードパーティ高速アプリケーション開発フレームワーク)を新しいバージョンにアップグレードしたことに起因している。このCMSは、FOFEncryptAesMcryptを使用していたが、ユーザのMcryptキーを無効にするために、このアップデートでFOFEncryptAesOpensslに移行した。
 JoomlaのProduction Leadership Teamの一人であるRobert Deutzによると、Joomlaは、この問題を修正し、データが、Mcryptで暗号化された場合には、現在データをOpenSSLに変換しているとしている。


中国のWebカメラメーカーは、サイバー攻撃に関連した後、デバイスをリコールしている
The Guardian : Tech (2016/10/24)
 中国の電子機器会社Xiongmai(雄邁)は、米国東海岸の多くのインターネットを引きずり倒し、金曜日には欧州にも影響を与えた巨大なハッキング攻撃の後、製品のリコールを始めている。
 分散型DDoS攻撃の形態を採ったこの攻撃のルートは、Xiongmaiによって製造された多くのWebcam、デジタルレコーダのようなハックされたIoT(Internet of Things)デバイスのネットワークであった。
 研究者達は、基本的なセキュリティエラー(接続の一部形式に関してパスワードの設定ができない。これは、"Mirai"ボットネット(ハッキングされたデバイスの数百万のネットワーク)に勝手に用いられた)と共に、この製品を出荷した企業を告発している。
 この告発の後、Xiongmaiは、米国で販売された一部の製品に関してのリコールをアナウンスした。
 監視カメラ用に多くの部品を製造しているこの電子部品企業は、公式のマイクロブログ上のステートメントで、米国で販売された早期の製品の一部をリコールし、強力なパスワード機能と、昨年4月以前に製造された製品に関しては、パッチをユーザに送信するだろうと発言している。
 最大の問題は、ユーザがDefaultパスワードを変更していないことにあると、更に、全体的に、その製品はセキュリティ漏洩から良く保護されているとも発言している。この企業は、彼等の製品がこの攻撃においてターゲットにされた殆どであるとするレポートは、虚偽であると発言している。
 「セキュリティ問題は、全ての人々が直面する問題である。業界最大手は、それを経験してきたので、Xiongmaiもまた、このような問題を一回経験することを恐れない」と、この企業はステートメントで述べている。
 金曜日のサイバー攻撃は、この新しいタイプの脅威が、Webcamのような単純なデジタルデバイスの増加に根差しているために、セキュリティ専門家を警戒させた。この問題は、しばしば適切なセキュリティの欠如があり、そして、ハッカーがターゲットに処理できない程の大量のトラフィックを送りつけるために数百万のIoTを悪用する方法を発見したことにある。
 Xiongmaiがリコールした主たる製品は、全てWebcamモデルであると、Xiongmaiは発言している。
 セキュリティ ジャーナリストBrian Krebsが語ったところによると、Flashpointの研究者Zach Wikholmは、多くの脆弱性のあるデバイスには基本的なセキュリティエラーが存在していた。「これらの特定のデバイスでの問題は、ユーザが、このパスワードを都合よく変更できないことである」と、WikholmはKrebsに告げている。続けて「このパスワードはファームウェア中でハードコードされており、これを無効化するための必須のツールが存在していない。更に悪いことには、このWebインターフェースは、これらの認証情報が存在していることさえ認識していない。」
 このボットネットを作成するために使用されたMiraiマルウェアは、影響を受けたデバイスを単純に再起動することでクリアすることができる。しかし、インターネット上には大変多くのハッキングされたデバイスが存在し、他の防御が適切に配備されている場合を除き、脆弱性のあるシステムは再起動後5分以内に再感染させられるだろう。
 この脆弱性のあるデバイスの制御を奪うためのコードを最初に記述したハッカーは、10月になって、他の日和見主義的攻撃者が、彼等の所有するハッキングしたWebcam、ルータ、デジタル ビデオレコーダのネットワークを、彼等の思うがままにすることができるように、そのソースコードを公開した。


Microsoftは、邪悪なSecurity Essencialsに関しミレニアル世代を観察している
The Register : Security (2016/10/25)
 Microsoftは、Security Essentialsのインチキのコピーを警告している。これが実行されると、そのマシンにインチキのBlue Screen of Deth(死のブルースクリーン)が投入され、ユーザを技術サポート詐欺に導く。
 Microsoftは、典型的には同梱されているソフトウェア インストーラやドライブ-バイ-ダウンロードを介して、PCをセキュリティ侵害する重大な脅威であるHicurdismosと呼ばれる脅威に注意を払っている。
 Microsoftのアンチ・マルウェア担当者Francis Tan Sengとセキュリティ担当者Alden Pornasdoroは、顧客にHicurdismosは全画面表示のBleu Screen of Dethを投げ、ユーザがこれをバイパスすることを妨げるために、タスクマネージャを起動するための[Ctrl]+[Alt]+[Del]キーコンビネーションを無効にし、正当であるように見せかけるために、マウスカーソルを非表示にしていると警告している。
 Hicurdismosは、ユーザを誤誘導し、「インチキの技術サポート詐欺に導く番号に電話するようにユーザを誘惑している」と、この二人は発言している。
 「技術サポート詐欺の脅威は、数年に渡って存在しているが、最近増加していることが観察されている」
 「我々は、攻撃者がより高度になってきている(ソーシャルエンジニアリングを使用してユーザに技術サポートに電話するように誤誘導し、そのPC上に存在しない「問題を修正する」ために支払いを要求する戦略)ことを確認している」
 このBlue Screen of Deathは、正当なものの、そして毛嫌いされているカーネルパニックのキチンとしたクローンであり、以下の一行を追加している。"If you would like to resolve the issue over the phone you can call our support at 1-800-418-4202."(この問題を電話で解決したいのであれば、我々のサポート 1-800-418-4202 に電話しなさい)
 この記事のライターは、詐欺師たちのオペレーションを密告するために彼等を金で操ろうとして詐欺師達に電話したが、この番号は不通であった。
 Webブラウザ スクリプトブロッカーやゴミソフト インストーラ回避が、これに遭遇する可能性を減少する支援となるが、適切なアンチウィルス製品は、この脅威を削除する。
 Microsoftは、この警告をスラングとGIFで撒き散らしている。先週リリースしたMicrosoftの技術的概説は、ミレニアル世代が、年老いた人達より技術サポート詐欺に関するあらゆることに陥りやすい存在であることを発見している。
 これは、現在破滅させられたKick Ass Torrentsのような人気あるTorrentサイト上のBlue Screen of Deth 技術サポート詐欺の増加と、依然として流通しているPirate Bayによって判明したことでもある。
 一部のセキュリティ マニアは反撃している。8月、Ivan Kwiatkowskiは、技術サポート詐欺師が彼の仮想マシンにアクセスすることを許可し、彼のマシンをLocky身代金要求型マルウェアに感染させたファイルを開かせることで、このオペレータを欺いた


Joomla!は、話せない程緊急な中核的脆弱性をパッチする準備をしている
The Register : Security (2016/10/25)
 世界で二番目に人気のあるコンテンツ マネージメント システム Joomla!は、その開発者が何を修正したのか言えない程酷い緊急のセキュリティホールを警告している。
 The Registerは、ミステリーなセキュリティホール用のパッチが、バージョン 3.6.4 と名付けられていることと、本日(10月25日)の協定世界時 14:00 くらいに公開されるであろうことを理解している。
 Joomla!は、7500万回を超えてダウンロードされており、McDonalds, Ikea, General Electric, Linux.com, その他メジャーなニュースサイトを含む大きなチケットサイトで稼働している。
 WordPressは、凡そ1億4000万ダウンロードでオープンソース コンテンツ マネージメント パックを主導している。
 Joomla!のセキュリティ出撃チームは、「大変重要なセキュリティ フィックスである」ところの「Joomla!コア中の緊急のセキュリティ問題を通知する」としか発言していない。
 「このリリースが公開されるまで、我々は如何なる詳細な情報も提供することはできないことを理解されたい」と、このセキュリティ チームは述べている
 可能性ある脆弱性に関して思いを巡らすことや、管理者が、来るパッチのリリースに関しての準備に慎重なステップを採ることは困難である。
 しかしながら、パッチする前に詳細を公開することに対するJoomla!の寡黙さは、この問題が、データ吸い上げのバグもしくはサーバへのセキュリティ侵害の何れかを可能にするとされる緊急のバグの説明と結びついて発生している。
 このケースが、何れかのシナリオであれば、管理者は、悪者共が悪用を構築できるようになると直ぐに、このフローを攻撃してくることを予期しておかなければならない。
 そこから(歴史的メジャーな脆弱性の悪用に基づき)、攻撃者共は、その後の数日もしくは数週間に未パッチのままのJoomla!インスタンスの改竄を拡げることができる。


MBRをセキュリティ侵害する身代金要求型マルウェアに対抗するMBRFilterをテストする
BleepingComputer : News>Security (2016/10/20)
 あまり一般的ではないが、マスターブートレコード(MBR)を暗号化する、あるいはセキュリティ侵害する身代金要求型マルウェアに攻撃されると悲惨な結果を引き起こす。これは、このようなマルウェアが、実際のファイルを暗号化するのではなく、代わりに、そのドライブのマスター ファイル テーブル(MFT)を暗号化するのが理由である。これで本質的に、身代金が支払われるまで犠牲者のファイルの一切にアクセスできなくなる。
 この種のマルウェアと戦うために、Cisco Talosは、プログラムがMBRをセキュリティ侵害しようとしていることに聞き耳を立て、そのようなプログラムをブロックするMBRFilterと呼ばれるWindowsディスク フィルター ドライバをリリースしている。MBRFilterは、これらの種類の身代金要求型マルウェアがインストールされたり、MBRを暗号化しようとする行為を効果的にブロックする。
 以下は、MBRFilterがインストールされているシステムにSatana, Petya, Petya+Mischaをインストールしようとした時に発生することをデモした、私が作成したビデオである。

ビデオ(Youtube)へのリンク

 ビデオを見て分かるように、MBRFilterは、MBRに感染しようとする全ての身代金要求型マルウェアをブロックする優秀な仕事を行っている。テストとして、私はまたPetya+Mischa 結合インストーラをインストールし、UAC(ユーザ アカウント制御)プロンプトで No を押した。これは、Mischaをインストールさせた、このことは、そのコンピュータのファイルの暗号化を可能にした。
 Mischaが稼働できたという事実は、MBRFilterの価値を減じるものではない。これはこの種の身代金要求型マルウェアをブロックするようにデザインされていないためである。けれども、MBRFilterは、身代金要求型マルウェアのインストーラが、MBRをセキュリティ侵害しようとし、このインストールに失敗した場合には、代わりにファイルを暗号化する身代金要求型マルウェアがインストールされる可能性があることを示唆した。

MBRFilterのインストールは簡単である

 MBRFilterをインストールするには、単純にこのプロジェクトのリリースページを訪問し、そのドライバの32-bitもしくは64-bit バージョンのどちらかをダウンロードする。ダウンロードしたら、フォルダを解凍する。あなたは二つのファイルを見るだろう。MBRFilter.infが、インストレーション inf ファイルであり、MBRFilter.sysはドライバである。

 このドライバをインストールするには、INFファイルの上を右クリックし、以下の画像に示したようにInstallを選択する。

 このドライバがインストールされると、Windowsはコンピュータを再起動するように促してくる。コンピュータを再起動すると、このドライバはインストールされ、あなたのMBRがセキュリティ侵害されることを防衛する。
 身代金要求型マルウェアや他の感染がコンピュータのMBRを改竄しようとした場合、このドライバは、この要求をインターセプトし、それをブロックする。次に、ブロックされたことを示す以下のようなメッセージを表示する。


 このディスク上のセクタ 0 に書き込むことはできません。あなたが、これを実行したいのであれば、セーフモードで再起動してください。
 あなたがDisk Management(ディスク管理)アプリケーションで新しいディスクを初期化しようとしているのであれば、このアプリケーションを終了し再起動してください。

 あなたが将来MBRFilterをアンインストールしたい場合には、このプロジェクトのGithubのページの the instruction に従いなさい。


ハッカーは、あなたのルータを狙っている
The Register : Security (2016/10/19)
 サイバー犯罪者は、消費者の家庭にあるルータを益々ターゲットにしている。
 Fortinetは、この種の攻撃が、7月以降の直近の3ヶ月で、一日あたりのTop 10 IPS(侵入防止システム)検出リストのエントリとして定期的に現れているとレポートしている。このセキュリティ ベンダは、家庭用のルータがサイバー犯罪者のお気に入りのターゲットになってきたと見做している。
 ハッカーは、とりわけ Netcore, D-Link, Asusデバイス中の未知の、あるいはパッチされていないフローを探している。ルータをハッキングすることは、悪党が、それらの背後にあるネットワークやデバイスに侵入することを可能にする。脆弱性のあるルータは、Miraiボットネット(8月後半にサイバーセキュリティ ブロガーBrian Krebsや、その他に対して巨大なDDoS攻撃の出発点になったボットネット)のコンポーネントの一つでもあった。
 Fortinetの警告は、ルータ、IPカメラ、デジタル ビデオレコーダのようなIoTデバイスは、サイバー犯罪者のためのプロキシになっていると発言した Krebs によって裏付けられている。
 これとは別に、セキュリティ ソフトウェア企業ESETは、12000を超えるホームルータのテストにおいて、殆どの場合、ユーザ名として "admin" を残したままにすると共に、15%が脆弱なパスワードを使用している。テストされたルータ中の 1/14(7%)は、深刻度が「高」もしくは「中」のソフトウェア脆弱性を示した。


DXXD身代金要求型マルウェアは、ユーザ ログインの前に法的通知を表示する
BleepingComputer : News>Security (2016/10/10)
 9月末以来、DXXD身代金要求型マルウェアが、サーバを標的にし、そのファイルを暗号化している。過去、Michael Gillespieは、彼のID-Ransomwareサービスに提出された暗号化されたファイルに基づき復号プログラムを作成していたが、開発者が暗号化アルゴリズムを修正したために、この復号プログラムは短命に終わった。
 良いニュースは、我々が、このサンプルを追跡して捕らえ、研究者が、その弱点を現在解析していることである。それ故、あなたが、この身代金要求型マルウェアに感染しているのなら、身代金を支払わないようにしなさい。その代わりに、アカウントを登録し、DXXD Help and Supportトピックに応答しなさい。これで、復号プログラムが作成されると、あなたは通知されるだろう。
 一般的に、脅迫文を表示する興味ある方法を除き、この身代金要求型マルウェアに目を惹くものは何もない。典型的には、身代金要求型マルウェアは、様々な脅迫文を作成し、コンピュータの周りに、それらを撒き散らす。これに加えて、DXXD身代金要求型マルウェアはまた、Windowsレジストリ キーを改竄し、ユーザがWindowsにログインする前に脅迫文を表示する。

DXXD身代金要求型マルウェアは、Windowsにログインする脅迫文を表示する

 この身代金要求型マルウェアは、コンピュータを暗号化するとき、暗号化されたファイル全てに dxxd を追加し、ReadMe.txtと呼ばれる脅迫文も作成する。この脅迫文は、犠牲者が支払いの指示を受けるためにrep_stosd@protonmail.com もしくは rep_stosd@tuta.io に接触するための指示を含んでいる。このマルウエアが検索し、ネットワーク共有上(それらが感染したコンピュータにマップされていない場合でさえ)のファイルを暗号化することにも注意を払う必要がある。


 この身代金要求型マルウェアの興味あることは、人々が、このコンピュータにログインする時に、法的通知を表示するように、Windowsレジストリを設定していることである。これらレジストリ キーを設定することで、この身代金要求型マルウェアの開発者は、サーバにログインしようとしているユーザ全てが、この脅迫文を確認することを認識している。
 法的通知の設定例を以下に示す。


DXXDの法的通知

 この脅迫文は、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption と HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText のレジストリ値を設定することによって表示される。これらの設定が構築されると、ユーザが、このコンピュータにログインしようとすると、ユーザはログイン プロンプトの前に、このメッセージを表示される。

マルウェア開発者は、助力者を愚弄するためにBleepingComputerフォーラムに参加していた

 暗号化アルゴリズムが変更された後、数日経った10月06日、この開発者は、復号を困難にした新しいバージョンを作成し、犠牲者と研究者を愚弄するために BleepingComputer.com にアカウントを登録した。


画像をクリックすると拡大します。

 サーバへの彼のハッキングについて尋ねると、彼は 0-Dayの脆弱性を使用していると主張した。


画像をクリックすると拡大します。

 発見された情報に基づいて、私は、この身代金要求型マルウェアの開発者が、Remote Desktop Servicesを使用し、パスワードをブルートフォースすることでサーバをハッキングしたと確信している。あなたが、DXXD身代金要求型マルウェアに感染しているのであれば、あなたは、影響を受けているマシンの全てのパスワードをリセットしなければならない。

次は何か ?

 研究者達は現在、サンプルを解析し、弱点を探している。誰かが発見したなら、復号プログラムは無料でリリースされる。それ故、DXXD身代金要求型マルウェアに感染した全ての者は、支払いをする理由が存在しない。
 代わりに、アカウントを登録し、DXXD Help and Supportトピックに応答しなさい。これで、復号プログラムがリリースされたなら、あなたは通知されるだろう。

DXXD身代金要求型マルウェア関連ファイル

ReadMe.txt

DXXD身代金要求型マルウェア関連レジストリ エントリ

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption     "Microsoft Windows Security Center. Dear Administrator, Your server hacked. For more informations and recommendations, write to our experts by e-mail: rep_stosd@protonmail.com or rep_stosd@tuta.io"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText     "When you start Windows, Windows Defender works to help protect your PC by scanning for malicious or unwanted software."

DXXD身代金要求型マルウェア関連eMailアドレス

rep_stosd@protonmail.com
rep_stosd@tuta.io


我々のインスリン ポンプはハックされる可能性があると、Johnson & Johnsonが警告している
ESET : WeLiveSecurity (2016/10/06)


Animas OneTouch Pingインスリン ポンプは、悪意あるハッカーが、インスリン注射を遠隔から発生させるように悪用することのできる脆弱性を含んでいる。
 セキュリティ研究者Jay Radcliffe(彼自身がI型糖尿病患者である)は、このフローを発見し、彼の発見したことに関して記述した。
 Radcliffeが発見したことは、この医療機器が無線で通信する方法中にセキュリティ上の脆弱性があったというものである。取り分け、暗号化の欠落は、指示が平文で送信されていたことを意味している。リモートとポンプの間の弱い組み合わせは、リモートの攻撃者がコントローラに成り済まし、無許可のインスリン注射を誘発する機会を開くことになる。
 このユーザが、ポンプのインスリン放出をキャンセルしない場合、潜在的には、攻撃者が危害を加えたり、低血糖反応を引き起こす可能性が存在している。
 このフローが広汎に悪用されるリスクは、相対的に低いと考慮されているし、パニックになる必要はないが、Animasの親会社Johnson & Johnsonは、インスリン輸注ポンプのユーザに対してアドバイザリをリリースした。


 「我々は、特にOneTouch Pingのサイバーセキュリティに関する問題(誰かが暗号化されていない無線通信システムを介して、このポンプに無許可でアクセスを取得する可能性)に気付かされた。我々は、患者の安全とセキュリティを保証するための方法を常に評価し続けている。Animasがこの問題を調査しており、適切な規制当局やセキュリティ エキスパートと共同作業していることを、諸氏が認識することを我々は望む。」

ユーザへのアドバイス ?

 もちろん、あなたが、このポンプの無線機能をOFFにすることで、この脅威を軽減することはできる。しかしながら、これは、あなたのポンプとメーターが、もはや相互に通信しないことを、そして、血糖レベルを、ポンプに手動で入力しなければならないことを意味している。これは、明らかに全く満足のいく解決策ではない。
 Animasはまた、OneTouch Pingユーザにバイブレーション警告機能を有効にするように提案している。バイブレーション機能は、服用が遠隔管理されていて、ユーザにキャンセルのオプションが与えられている場合、ユーザに連絡してくる機能である。また、投与可能なボーラス インスリン投与(【訳注】 短時間で薬物を投与すること(Wikipediaより))の量を制限するために、OneTouch Pingポンプをプログラムすることも可能である(最大もしくは特定期間の何れかで)。
 これらの軽減措置は、まことに結構であるが、根本的な問題(暗号化された通信と適切な認証を使うことに関する、このデバイスの怠慢)の修正にはならない。彼等のセキュリティを改善するためにデバイスをアップデートするユーザのための簡単な方法の欠落も問題とされている。
私は、ESETのセキュリティ スペシャリストMark Jamesに、このような脆弱性が医療機器で見つかっていることをどのように感じているのか尋ねた。

 「医療・健康産業におけるセキュリティに関して頻発している問題は、経済的な指向にある。コストは、経営と使用される機器の供給の両面における大きなファクターである。これらの例での、最大のファクターは、しばしば、機器を必要とする多数の人々のためになるようにしていることである。これらの製品のセキュリティはコストに含まれる必要があり、或る場合には、全くファクターにさえならないかもしれない。我々は、あらゆるものが接続されるIoT環境に向かって働いているので、場合によっては、これらのデバイスの安全性は、あまり重要ではない関心事である。」
 「コストは常にファクターであるが、今日では、セキュリティも同様に重要である。彼等が生き続けるために頻繁に使用する大変重要なものの安全性を、国民は感じる必要がある。」

 彼の発見にも拘わらず、Radcliffeは、糖尿病患者が、脆弱な機器を使用していることはないという理由から、セキュリティ問題の軽減策を使用する必要があると、信じていないと発言している。

 「常に、まず糖尿の世話をすることである。我々は皆、高血糖と低血糖の危険性を認識している。これらのリスクは、しばしば、これらの研究で強調されているリスクを遥かに上回る。
我々の子供達の誰かが、糖尿になり、医療スタッフが、彼等にポンプを推奨したなら、私は、彼等にOneTouch Pingを与えることに躊躇することはない。それは完全ではないが、完璧なものなぞ無い。このプロセスにおいて、私は、Animasと、その親会社Johnson & Johnsonと共同作業した、そして、彼等が患者の面倒を見ることに、正しいことを実行しようとしていることに一生懸命なことを認識した」

【訳注】 JVN(Japan Vulnerability Notes)に、この件に関する報文(JVNVU#95089754 Animas OneTouch Ping に複数の脆弱性)があります。


Kaspersky: TeamXRatの身代金要求型マルウェアを復号
BleepingComputer : News>Security (2016/09/29)
 Kasperskyが、TeamXRat身代金要求型マルウェアの解析と、その犠牲者のための復号プログラムを、どのようにして作成できたのかに関する素晴らしい記事を投稿した。9月中旬に我々のフォーラムで報告があったが、私と他のセキュリティ研究者達は、このマルウェアの実際のサンプルを発見することができなかった。この理由は、このマルウェアが手動でハックされたRDP(【訳注】 Windows Server 2008 R2 におけるサーバーの役割であり、リモート デスクトップ セッション ホスト サーバー上にインストールされたWindowsベースのプログラムへのアクセスや、完全なWindowsデスクトップへのアクセスを可能にするテクノロジを提供するもの(Microsoft Technetより))サービスを介してインストールされ、インストレーション終了後に手動でクリーンアップされていたためであると判明している。

ハックされたリモート デスクトップ サービスを介してインストールされる

 Kasperskyによると、この身代金要求型マルウェア(これらはXpan Ransomwareと名付けられている)は、TeamXrat あるいは CorporacaoXRat という名前で通っているブラジルのサイバー犯罪者によって作成された。このグループは、リモート デスクトップ サービスを稼働しているサーバとコンピュータをターゲットにし、アクセスを取得するために、パスワードを総当り攻撃(brute force)している。一旦アクセスを取得すると、彼等は手動で、この身代金要求型マルウェアをインストールし、犠牲者のデータを暗号化する。
 この身代金要求型マルウェアのバージョンに依存して、ファイルが暗号化される時、このマルウェアは、そのファイル名に ___xratteamLucked もしくは ____xratteamLucked 拡張子を追加する。脅迫文もまた Como descriptografar os seus arquivos.txt と名付けられて作成される。このファイルは、How to decrypt your files(犠牲者のファイルを復号する方法)として、ポルトガル語から英語に翻訳されている。
 以下が、この脅迫文の例である。


Xpan / TeamXrat身代金要求型マルウェアの脅迫文

 この身代金要求型マルウェアはまた、デスクトップの壁紙をいかに変更する。


デスクトップの壁紙

 犠牲者は、支払い指示を得るために、この身代金要求型マルウェアの開発者にeMailすることを要求される、ここで、この開発者は、1 Bitcoinの身代金を要求するだろう。この身代金要求型マルウェアに関連しているとしてKasperskyがレポートしているeMailは、xRatTeam@mail2tor.com と corporacaoxrat@mail2tor.com である。

Kasperskyによるレスキュー

 良いニュースは、Kasperskyが、Xpan Ransomware / TeamXrat 身代金要求型マルウェアによって使用されている暗号化をクラックできたことである。この身代金要求型マルウェアに感染した人々と、___xratteamLucked (アンダースコア 3つ)と、____xratteamLucked(アンダースコア 4つ)の拡張子の付いた暗号化されたファイルに関しては、身代金を支払う必要はない。代わりに、Kasperskyのサポートページにコンタクトしなさい。


Kaspersky復号ページ

 Kasperskyが、このサービスに課金しているか否かは不明であるが、今まで彼等は復号プログラムを無料でリリースしている。Kasperskyは、この身代金要求型マルウェアを開発したサイバー犯罪者の復号アルゴリズム中の弱点を学習することを妨げるために、この復号プログラムを公開していないのではないかと、私は推測している。


妃殿下(Princess Locker身代金要求型マルウェア)の紹介
BleepingComputer : News>Security (2016/09/28)
 本日、我々は皆さんにPrincess Lockerを届ける。この身代金要求型マルウェアは、ロイヤリティだけを愛している。暗黒世界のフォーラムでSenseCyによって最初に発見され、その後に、Michael GillespieのID-Ransomewareプラットフォームを介して彼によって発見されたPrincess Lockerは、犠牲者のデータを暗号化し、復号プログラムを購入するために、3 Bitcoin(もしくは、凡そ $1,800 USD、約18万円)という大変高額な身代金を要求する。支払いが指定の期間中に行われなかった場合は、身代金は倍の 6 Bitcoin になる。
 Princess Lockerに関しては、幾つかの暗号化されたファイルと脅迫文が、ID-Ransomewareにアップロードされた以外は、殆ど知られていない。収集された収穫物から、人々が感染すると、この身代金要求型マルウェアは、犠牲者のファイルを暗号化し、暗号化されたファイルにランダムな拡張子をつけ、その犠牲者用の一意のIDを作成する。このID、拡張子、暗号化は、十中八九、この身代金要求型マルウェアのコマンド&コントロール サーバに送信される。
 脅迫文はまた、!_HOW_TO_RESTORE_[extension].TXT と !_HOW_TO_RESTORE_[extension].html と名付けられて作成され、表示される。

 これらの脅迫文は、犠牲者のIDと、犠牲者が支払い情報を確認するためにログインする場所であるTOR支払いサイトへのリンクを含んでいる。

Princess Locker支払いサイト

 Princess Locker支払いサイトは、特別な機能もない標準的な身代金要求型マルウェアのサイトである。犠牲者が、Princess Locker支払いサイトにアクセスすると、犠牲者は、Cerberの言語選択ページと殆ど同じに見える言語選択要求ページで歓迎されるだろう。


言語選択画面

 犠牲者は次に、この脅迫文で提供されている犠牲者IDを入力する必要のあるログイン プロンプトを表示されるだろう。ログインすると、犠牲者は、メインの支払いサイトを表示されるだろう。此処では、身代金額、支払いを送信する Bitcoinアドレス、一般的な質問に関する回答のような情報を含んでいる。


Princess Locker支払いサイト(画像をクリックすると拡大します)

 この支払いサイトはまた、1つのファイルを無料で復号する能力も提供している。残念ながら、我々は、この身代金要求型マルウェアのサンプルを持っていない、そして、私は、犠牲者が無料復号で時間を浪費することを望まないし、この機能が動作するか否かさえ知らない。


Princess Locker支払いサイト(画像をクリックすると拡大します)

 この支払いサイトに欠落しているアイテムは、犠牲者が、このマルウェア開発者に接触するために使用することのできるサポートページである。この身代金要求型マルウェアが広汎に拡散された場合、この機能が追加されていても驚かないだろう。
 我々は、この身代金要求型マルウェアのサンプルを依然として積極的に探しているので、誰かが遭遇したなら、それを、こちらにアップロードしてほしい。


Nagini(ナギニ)身代金要求型マルウェアは、あなたのファイルにヴォルデモートをけしかける
BleepingComputer : News>Security (2016/09/26)
 過去数ヶ月に渡り、私は、多くの「マイナー」あるいは、然程拡散していない身代金要求型マルウェア感染が、彼等のロック画面を、支払いを中心にするよりむしろポップカルチャーを含めることに専念していることを確認した。これは、ヴォルデモート(人気のハリーポッター シリーズの悪者)に敬意を表するMichael Gillespieによって発見された新しい身代金要求型マルウェアに見ることができる。


Nagini(ナギニ)ロック画面。(【訳注】 ナギニは、ヴォルデモートが飼っている巨大な雌蛇の名前)

 ヴォルデモートのペットの蛇に因んでNagini(ナギニ)と名付けられたこの身代金要求型マルウェアは、現在開発下にあり、特別なテストシステム上だけで動作するように設計されている。関心を惹くことは、Bitcoinで身代金を要求する代わりに、犠牲者にクレジットカード番号を入力することを要求することである。
 実行ファイル中の文字を閲覧している時に、我々は興味ある幾つかのことを発見した。例えば、埋め込まれているPDB(プログラム データベース)文字は、この身代金要求型マルウェアを作成した開発者がColosseumの名前で通っていることを示している。

C:\Users\Colosseum\documents\visual studio 2013\Projects\Cryptolocker\Release\Cryptolocker.pdb

 更に、この身代金要求型マルウェアは、現在開発モードなので、C:\Users\Colosseum\Desktop\files\ フォルダで発見される、.doc、.docx、.ppt、.pptx、.xls、.xlsx、.bmp、.png、.jpg、.jpeg、.exe、.pdf ファイル拡張子だけをターゲットにしている。大事なことを言い忘れていたが、この身代金要求型マルウェアは、C:\Temp\voldemort.horcrux と名付けられているファイルを探すが、このファイルの目的は現時点で分かっていない。

Nagini身代金要求型マルウェア関連ファイル

Nagini.exe

Nagini身代金要求型マルウェア関連レジストリ エントリ

HKLM\Software\Microsoft\Windows\CurrentVersion\Run     "Voldemort" = "[path_to]\Nagini.exe"

IOC(Indicator of Compromise、脅威を示す痕跡)

SHA256: a1b0c47cc5d2ecb8ea634f436764c0b17c8ed59cc144739c77c069970642a102


MarsJoke身代金要求型マルウェアは、.EDU, .GOV 機関を標的にしている
Kaspersky : Threatpost (2016/09/26)
 研究者によると、新しい身代金要求型マルウェアが、国・地方政府機関と、脅威を撃退もしくは軽減するために多大な予算を持つ傾向の少ない教育機関をターゲットにしていることが表面化した。MarsJokeと呼ばれるこの身代金要求型マルウェアは、Kelihosボットネットを介して配布された、先週の巨大なスケールのeMailキャンペーンで検出されたと、Proofpointは説明している。
 「eMailは、明らかに、このキャンペーンをサポートする目的で最近登録されたドメインの様々なサイトにホストされている ‘file_6.exe’ と名付けられた実行ファイルへのURLリンクを含んでいる」と、土曜日のブログ ポストでProofpointは発言している。
 このテクニックは、Lockyのような変種で一般的に使用される大変一般的な悪意あるマクロベースのドキュメント攻撃とは異なっている。MarsJokeキャンペーンの特質は、人気のある航空輸送会社と船会社のブランドをハイジャックするための説得力のあるスパムメールである。一般的なメッセージは、「以下のファイルに提供されている問い合わせ番号を使用と簡単です」と記してある。
 このファイル(file_6.exe)は、ダウンロードされ実行されると、即座にファイルを暗号化するMarsJokeマルウェアをインストールするが、本来のファイル拡張子を変更することはない。しかしながら、暗号化プロセスの間に、ファイル名の拡張子は、一時的に “.a19” と “.ap19” に置き換えられると、Proofpointは発言している。
 MarsJokeでの感染は、Windowsデスクトップの背景を、脅迫文を表示した黒い画面(下の画像参照)に変更する。Proofpointによって提供された、この身代金要求型マルウェアのスクリーンショットによると、ダイアログボックスは、「ドキュメント、スクリプト、写真、他の重要なファイルが、強力な暗号化アルゴリズム AES-256と一意のキーでの暗号化が、このコンピュータで発生した」ことを示している。


 脅迫文は、Defaultでは英語で配布されているが、ロシア語、イタリア語、スペイン語、ウクライナ語を含んでいると、Proofpointは発言している。犠牲者は、ファイルが削除される前に、96時間の猶予があり、その間に身代金 0.7 Bitcoin(320 US$)を送金するように告げられている。
 MarsJokeの背後にいる攻撃者共は、CryptFile2身代金要求型マルウェアの作戦を盗んでいると、Proofpointは発言している。このCryptFile2身代金要求型マルウェアのスパム キャンペーンもまた、Kelihosボットネットを介して拡散していた。MarsJokeに似て、CryptFile2もまた、類似の政府・教育機関をターゲットにし、受信者が悪意あるファイルをダウンロードするように導く埋込み型の悪意あるURLを使用していた
 この二つの主たる相違は、CryptFile2では、悪意あるファイルは、悪意あるマクロの付いたWordドキュメントであり、暗号化アルゴリズムは異なっていた。Proofpointは、このマルウェア コード中に発見された文字列 “HelloWorldItsJokeFromMars” に基づいてMarsJokeと名付けた。
 「けれども、MarsJokeは、『ありきたりの身代金要求型マルウェア』であるとは思えない。このメッセージの量と、このキャンペーンに関連付けられているターゲットは、攻撃者が新しい変種を収益化しようとするので、より詳細なモニタリングが必要である。そして、古い株の潜在的犠牲者は飽和している」と、Proofpointは発言している。


Donald Trump(ドナルド・トランプ)身代金要求型マルウェアは、あなたのファイルの周りに壁を構築しようとしている
BleepingComputer : News>Security (2016/09/26)
 Hillary Clinton(ヒラリー・クリントン)とDonald Trump(ドナルド・トランプ)による今夜の大統領候補討論会の熱狂の中で、私は、これらの対立する候補者に基づいた何らかのマルウェアを発見できるか否か確認することにした。私は、Hillary Clintonに関しては何も発見することができなかったが、Donald Trump身代金要求型マルウェアの開発版を見つけた。


Donald Trump身代金要求型マルウェア

Donald Trump身代金要求型マルウェアは、現在開発段階であるが、最初のコンパイルは一月以上前であり、積極的に拡散していない可能性が高い。この身代金要求型マルウェアは、AESを使用してファイルを暗号化する機能を含んでいるが、現在の形式では、実際に何も暗号化できない。
 代わりに、暗号化フォルダ中のファイルを探し、ファイル名をBase64エンコードし、次に特定のファイル拡張子にマッチした、あらゆるファイルに .ENCRYPTED 拡張子を追加する。このプログラムによってターゲットにされる拡張子は、以下である。

.zip, .mp3, .7z, .rar, .wma, .avi, .wmv, .csv, .tax, .sidn, .itl, .mdbackup, .menu,
.icarus, .litemod, .sav, .lvl, .raw, .flv, .m3u, .xxx, .pak, .jpg, .png, .docx, .doc,
.ppt, .odt, .csv, .jpeg, .psd, .rtf, .cfg, Minecraft,
alts.json, .wolfram, .dat, .dat_mcr, .mca, .Ink, .pub, .pptx, .php, .html, .yml, .sk,
.txt, .mp4, .vb, .swf, .ico, .xcf,
bukkit.jar, .log, .sln, .ini, .dll, .xml, .tex, .assets, .resource, .java, .js, .css,
.gif,

 このバージョンでは、ファイルをオリジナルのファイル名に戻すには、Unlockボタン(【訳注】 上の画像の右上)を一回クリックするだけである。
 私は、これらの候補者に対応する如何なる深刻な感染も発見していないが、私は、全ての人に選挙期間中に受け取る如何なるeMail添付ファイルにも特別な注意を払うように促す。マルウェアの開発者が、現在のニュースに関連した内容を装って悪意ある添付ファイルを送信してくることは大変一般的なことである。

Donald Trump身代金要求型マルウェア関連ファイル

CRPT-TRX.exe

IOC
SHA256: 4cea9dbc941756f7298521104001bc20cb73cfdda06a60a9e90760188661f5e4


無制限のアップロードを可能にするWordPressテーマ中の脆弱性が修正された
Kaspersky : Threatpost (2016/09/20)
WordPressのテーマのパブリッシャーDynamic Pressは、月曜日にフローを修正した。このフローは、誰もが、ビジネステーマNeosense WordPressテンプレートを実行しているサイトに悪意あるファイルをアップロードすることを、そのサイトと、可能なら、それをホストしているサーバをセキュリティ侵害することを可能にするものであった。
 オランダを本拠とするセキュリティ企業Silkのセキュリティ研究者Walter Hopは、先週これを発見した。このフローは、Neosenseテーマのバージョン 1.7 に影響を与える。月曜日、DynamicPressは、この脆弱性をパッチしたアップデート バージョン 1.8 をリリースした。Hopは、この脆弱性を月曜日に一般に公開した。
 「顧客が、サイトをアップデートするには時間がかかるが、可能な限り早急に実行することが重要である。Neosenseの最新のアップデートなしでは、顧客は、自分自身を攻撃に晒したままにすることになる」と、Hopは発言している。
 DynamicPressは本日、Neosense中のフローを確認した。このWordPressテンプレート メーカーは、Envato Marketのようなサードパーティのサイトを介して、凡そ14の異なるテーマを販売している。DynamicPressの代表者は、このバグがNeosenseテーマのみに限定され、彼等の他のテーマには影響を与えないとThreatpostに告げた。
 この脆弱性は、DynamicPressが使用しているオープンソースのソースコード“qquploader”(セキュリティ無しで実装されているAjaxベースのファイル アップローダ)に関係している。攻撃者は、.php もしくは .phtml 拡張子の悪意あるPHPスクリプトを、そのサイトのダウンロード ディレクトリにアップロードすることによって、バージョン 1.7 のNeosenseテーマをターゲットすることができる。Neosenseテーマは、アップロード ディレクトリへのアクセスに、ユーザ名もパスワードも要求しない。
 「攻撃者は、簡単にファイルをアップロードでき、WordPressのサイトの制御を取得するために、これを実行することができる」と、Hopは発言している。Neosenseサイトがサンドボックス化されていなかったり、コンテナ中に存在していない場合には、攻撃者は、ホストしているサーバへのアクセスを取得することができる。「ユーザの認証なしで、このサイトを誰もが訪問でき、あらゆるものをアップロードすることができる。彼等はCurlを使用してバックドアをアップロードでき、次に、そのURLをクリックすることで、即座に、そのバックドアを実行することができる」と、Hopは発言している。


HDDCryptor身代金要求型マルウェアは、オープンソース ツールを使用してMBRを上書きする
BleepingComputer : News>Security (2016/09/18)
 HDDCryptor(HDD Cryptorとも書かれ、Mambaとしても特定される)は、コンピュータのMBR(Master Boot Record)ブートセクタを書き改め、ユーザをPCから締め出す新しい身代金要求型マルウェアの変種である。我々は、Petyaのクローンとして、これを分類するための確認を急いでいたが、HDDCryptorは、PetyaとSatanaの両方に先立っていた(BleepingComputerのフォーラムで今年の1月末にスポットを当てられていた)。
 この身代金要求型マルウェアは、巨大な拡散キャンペーンのようなフォーカスポイントを決して存在させなかった。これが、セキュリティ ベンダや個人のセキュリティ研究者の如何なる注意も惹かなかった理由である

改良されたHDDCryptorの回帰

 入手可能な、Morphus LabsのRenato MarinhoとTrend Microチームの研究で、8月末日に開始されたと思われる活動のうねりは、HDDCryptorに注目を集めることとなった。
 Trend Microは、この身代金要求型マルウェアは、ユーザが悪意あるWebサイトからファイルをダウンロードすることでコンピュータに到達すると発言している。悪党共は、直接コンピュータに、もしくは、後のステージでダウンロードされた中間ペイロードを介して、悪意あるバイナリをドロップする。
 この初期化のバイナリは、ランダムな3桁の数字を使用して 123.exe の形式で名付けられている。ファイルのハイブリッド解析は、殆ど手がかりを露わにしなかった。
 実行されたこの初期化のバイナリは、コンピュータのシステム ルートのフォルダに以下のファイルをドロップする。

    dcapi.dll
    dccon.exe (ディスクドライブを暗号化するために使用される)
    dcrypt.exe
    dcrypt.sys
    log_file.txt (マルウェアの挙動をログする)
    Mount.exe (マップされているドライブをスキャンし、ドライブに保存されているファイルを暗号化する)
    netpass.exe (今までにアクセスされているネットワーク フォルダをスキャンするために使用される)
    netuse.txt (マップされているネットワーク ドライブに関する情報を格納するために使用される)
    netpass.txt (ユーザ パスワードを格納するために使用される)

 これらのファイルのうちの二つは、フリーで利用可能であり、正当なツールである。Netpass.exeは、フリーのネットワーク パスワード復元ツールであり、dcrypt.exeは、DiskCryptor(オープンソース ディスク暗号化ユーティリティ)のための実行ファイルである。
 boot persistence(【訳注】 説明はこちら(英文)を参照してください)を獲得するために、HDDCryptorは、"mythbusters"と名付けられた新しいユーザを、パスワード"123456"で作成し、如何なるブートであっても実行される"DefragmentService"と呼ばれる新しいサービスを追加する。このサービスは、この身代金要求型マルウェアのオリジナルのバイナリ(三桁の数字の exe ファイル)をコールする。
 この netpass.exe ツールは、最初に今までにアクセスされたネットワークフォルダのスキャンを実行し、認証を抽出する。これらのネットワーク ドライブの情報は、二つのローカル テキストファイル(マップされているドライブの詳細、存在している場合には、あらゆる認証を維持している)に格納される。

HDDCryptorは、ファイルを暗号化し、MBRを上書きする

 この感染プロセスは、dccon.exe と Mount.exe を続ける。これら二つのファイルは、DiskCryptorを使用してユーザのファイルを暗号化する。dccon.exe は、ユーザのハードドライブ上のファイルを暗号化し、Mount.exe は、マップされている全てのネットワーク ドライブ(現在接続されていないものでさえ。物理的には到達可能なので)のファイルを暗号化する。
 暗号化が終了すると、この身代金要求型マルウェアは、カスタム ブートローダーの存在する全てのハードドライブ パーティションの全てのMBRを書き直す。次に、ユーザと対話することなく、ユーザのコンピュータを再起動し、以下のメッセージを表示する。


HDDCryptorの脅迫文(9月版)

 この身代金要求型マルウェアの1月版は、以下のメッセージを、別の言葉と別のeMailアドレスを使用して表示していた。


HDDCryptorの脅迫文(1月版)

 1月のバージョンは、4桁の数字の犠牲者IDを使用していたが、8月-9月の感染は、代わりに、6桁の数字の同定子を使用している。
 1月では、この身代金要求型マルウェアの作者は、700 US$と等価のBitcoinを要求していたと、Bleeping Computerに投稿した犠牲者の一人が暴露している。身代金要求のeMailの全文は、以下である。

Here are our standard payment instructions.

Our bitcoin wallet address is (removed) $700 is approx. 1.0520 BTC according to current exchange rate.

In case you have no prior experience with Bitcoin (and can't find someone who has - which is the best option) here's a summary on different ways to buy bitcoin: https://en.bitcoin.it/wiki/Buying_Bitcoins_%28the_newbie_version%29

For example, you can buy bitcoins on coinbase.com (using your bank account), localbitcoins.com (multiple payment methods, depending on vendor), bitquick.co (cash deposit in local bank, seems to work pretty fast but we have no personal experience with them) or virwox.com (they accept cards and paypal, and on virwox.info you can find a tutorial on buying bitcoins there).

Please note that for security reasons some websites will delay payment for up to 48 hours (that's true for purchasing on virwox with paypal) so please pay attention to terms of service. We won't be able to confirm your transaction and send you the password during that delay period.

In our experience your best chance to make the transfer quickly is to find an online seller with good reviews on localbitcoins.com. If you use cash deposit to pay that seller your transaction should only take a few hours. Also vendors can be really helpful on that website.

Alternatively you can look up bitcoin ATMs in your area - their fee is usually a bit higher but that's one of the fastest ways to buy bitcoins.

For amounts up to $300 you can use circle.com - it allows to send money from credit and debit cards almost instantly. You can also break up bigger amounts and make several payments from different accounts if you find it convenient.

After you purchase $700 worth of bitcoins you can just send them to our bitcoin wallet directly from the website you've chosen - this way you won't have to install bitcoin software, manage your own wallet etc. If you find it difficult to transfer the indicated amount in a single transaction you can break up the sum and make several transactions to the same bitcoin address (possibly using different methods of purchasing bitcoins).

After that we'll send you the password that'll let you boot Windows and further instruction on permanently decrypting hard drives. We'll also tell how we got in so you can fix it and prevent future incidents.

 9月にMarinhoによって受信されたこの脅迫文は、1月のものと比べると冗長でもなく、あまり役に立たないものになっている。この悪党は、現在、1 Bitcoin(~600 US$)を要求している。

Your HDD Encrypted By AES 2048Bit

send 1BTC Per HOST to My Bitcoin Wallet , then we give you Decryption key For Your Server HDD!!

My Bitcoin Wallet Address : (removed)

We Only Accept Bitcoin , it’s So easy!

you can use Brokers to exchange your money to BTC ASAP

it's Fast way!

Here:

https://localbitcoins.com/

if You Don't Have a Account in Bitcoin , Read it First :

https://bitcoin.org/en/getting-started

bitcoin Market :

https://blockchain.info/

https://www.okcoin.com/

https://www.coinbase.com/

https://bitcoinwallet.com/

----------

 記述している時点で、この9月のキャンペーンに関連するBitcoinウォレット アドレスは、4人の犠牲者が今までに支払いしたことを示している。
 ユーザが身代金を支払うと、そのユーザは、プレブート画面で入力するためのパスワードを受け取ることになる。
 この感染に関するリサーチの殆どは、Marinhoによって実行された。彼は、ブラジル、インド、アメリカの子会社のコンピュータが影響を受けた多国籍企業に、大量感染を調査、修正することを依頼されたことがあると発言している。


攻撃者は、どのようにしてWindowsセーフモードを悪用し、ユーザパスワードを盗んでいるのか
GrahamCluley : News (2016/09/18)
 セーフモードは、Windowsオペレーティング・システムを適切に機能させるために重要なソフトウェアだけを実行するものなので、ユーザが、通常モードで一般的に解決できない問題を解決することを可能にする、Windowsコンピュータの素晴らしい機能である。
 しかし、セーフティーとセキュリティは、同じものではない。
 Windowsセーフモードは、PCのブートに必須ではないサードパーティ製ソフトウェア(アンチウィルス ソフトウェアを含む)の実行を妨げる。従って、攻撃者共は、通常モードでは、実行することを妨げられるかもしれない攻撃を、セーフモードでは、これを悪用して実行することができる。
 この点を説明するために、CyberArk Labsの研究者達は、攻撃者共がPCのセーフモードを悪用して、pass-the-hash攻撃(【訳注】 本来の認証で使うパスワードではなく、パスワードハッシュを用いて認証を行う手法のこと。パスワードの使い回しを行っている場合、一度何らかの方法でパスワードハッシュを取得してしまえば、他のホストについても芋づる式に侵入できる(@ITより))や、他のキャンペーンを実行する方法を説明している。
 攻撃は、企業ネットワーク上の少なくとも一つのマシンのローカル管理者権限を取得するために、悪意あるハッカーによって開始される。彼等が攻撃を実行する方法は重要なことではないが、彼等が選択する必要があるのなら、悪意あるeMailで組織の特定の個人をターゲットにすることを選択するかもしれない。
 そこから、ハッカー共は、ネットワーク全体をLateral Movement(【訳注】 最初に入り口となるコンピュータのセキュリティを侵害し、マルウエアが攻撃者との通信を確立したあとの段階を指す。Lateral Movementでは、攻撃者は通常、コンピュータの標準機能を使って、気づかれないようにネットワーク内を動き回る(IT Proより))し、盗んだログイン認証を再使用できる攻撃可能なエンドポイントを探す必要がある。
 これが、Dron Naim(CyberArkの上級セキュリティ研究者)によって説明されているように、セーフモードが出現するところである。

 「意図的に、セーフモードは、Windowsの操作に重要ではない如何なるソフトウェアやドライバーもブートしない。結果として、セーフモードでの再起動を遠隔から強制することで、セキュリティ侵害されたシステム内部の攻撃者共は、殆どのエンドポイント防御が有効になっていないので、自由に操作することが可能になる。Virtual Secure Module(VSM)は、通常モードでのみ有効なので、pass-the-hashリスクが軽減されるとするMicrosoftの主張にも拘わらず、攻撃者共は、その環境をLateral Movementするために必要なクレデンシャル ハッシュを取得することもできる。」

 ハッカーは、この攻撃を引き起こすために三つのことを実行しなければならない。

    1. 感染したマシンをセーフモードで再起動するための遠隔からの設定。これはBCDEditを使用して実行できる。
    2. 攻撃ツールがセーフモードで実行するための設定。ハッカーは、彼等の当初のペイロード(【訳注】 一つのマルウェアが搭載することのできる悪意の総量くらいの意味)にセーフモード中でだけ実行する悪意あるサービスを含むことができる。代わりに、彼等は、explorer.exeが実行される度に、悪意あるCOMオブジェクトを実行するよう登録することができる。
    3. マシンをセーフモードで再起動する。攻撃者は、次の再起動を待っているだけ、もしくは、犠牲者にコンピュータの再起動を促す、インチキのアップデート ウィンドウを作成することができる。

 そこから、攻撃者は、幾つかの成果を達成する(Lateral Movementや、認証を盗むことさえ含む)。Naimの観察として、

 「攻撃者の目的が、将来的な使用のために認証を盗み出すことにあるのなら、次に、攻撃者は、そのユーザが、そのシステムに実際にログインすることを望むことになる。ユーザがログインすると、攻撃者は、その認証を取得できる。この場合、攻撃者は、バックグラウンドとセーフモードの外観や雰囲気を変更するコード(これは、ユーザが依然として通常モードに存在していると見せかける)を実行するために、おそらくCOMオブジェクト テクニックを使用するだろう。ユーザが、彼等の認証を入力すると、直ちに、第二弾の『アップデート』ウィンドウが表示され、ユーザに本当の通常モードでマシンを再起動するように促してくる。上述したように、この第二弾の再起動プロンプトは、あらゆる疑いをユーザに持たせないために、正当なWindowsプロンプトを真似している。」

 インターネット中のマルウェアは、彼等の活動を隠すために、その種の1-2のアップデート計画を示していた。これには、Cerber身代金要求型マルウェアの変種の一部が含まれる。
 テストで、CyberArkの研究者達は、彼等がMinimal Safe Mode(最小構成(ネットワーク機能なし)でセーフモードを起動)でレジストリキーを改竄すると、彼等はMimikatz(WinDbg のデバッガーエクステンション。mimikatz を使用すると、lsass.exe のプロセスダンプから、ユーザーパスワードの抽出が可能になる)を実行し、これらの悪意あるプログラムをマシンから削除するためのセキュリティ ソフトが存在していないので、認証を盗むことが可能になる。
 この種のタイプの攻撃(Naimは、システム管理者の権限を制限するように推奨している)に関連するリスクが与えられた場合、セーフモードで動作するセキュリティ ツールを使用し、セーフモードに入ってくる者と、その者がそこで何を実行しているのかを全体的に監視することである。彼等が実行できる全てのことは...、この一連の行動を起動するためには、誰かがマシンをセキュリティ侵害していなければならないとして、Microsoftは、修正することを拒否していた。
 私見であるが、それが第二弾の攻撃ベクトルとして提供されている場合を含み、セキュリティホールは、セキュリティホールである。


Stampado身代金要求型マルウェア、仁義なき段階に
BleepingComputer : News>Security (2016/09/15)
 身代金要求型マルウェアに感染し、あなたのファイルの全てを暗号化されることは恐怖である。犠牲者は、冒涜され、失望し、恐怖し、怒りを感じていると、私は告げられてきたが、更に悪いことに、現在、犠牲者がファイルを取り戻すには、或る犯罪者に多額の金銭を支払う必要がある。
 一般的に、身代金要求型マルウェア感染は、暗号化のために特定のファイル拡張子をターゲットにしている。これは、特定の身代金要求型マルウェアが、ドライブ上の全てのファイル タイプを暗号化する場合を除き、既に暗号化されているファイルは、連続して身代金要求型マルウェアに感染したとしても暗号化されないことを意味している。
 私見ではあるが、身代金要求型マルウェアによって既に暗号化されているファイルを具体的にターゲットにすることによって身代金要求型マルウェアを過去最低にした者(Stampado開発者)が現れた。EmsisoftのFabian Wosarは、Stampadoの新しいバージョンに対応するために彼の復号プログラムを改良している間に、Stampadoの新バージョンが、身代金要求型マルウェアで暗号化されたファイル拡張子をターゲットに追加していたことを発見した。これは、誰かが既に身代金要求型マルウェア感染に対応している最中に、Stampadoに感染した場合には、犠牲者はファイルを取り戻すために、現在二倍の金額を支払う必要があるだろう。


身代金要求型マルウェアで暗号化されたファイルをターゲットにしている(画像をクリックすると拡大します)

 上のソースコードの断片において、我々は、Stampadoの開発者が、他の身代金要求型マルウェアよって暗号化されたファイルとして知られる50以上の異なる拡張子を積極的にターゲットにしていることを確認できる。私は、Kimcil, Cerber, TeslaCrypt, LeChiffre, Locky, Coverton, PadCrypt、その他多くの身代金要求型マルウェアの拡張子を確認している。
 Stampadoは、Fabian WosarのStampado Decryptor(Stampado復号プログラム)を使用して簡単に復号できるが、これは、Stampado開発者に関しては、盗人社会の仁義を持っていないことを我々に示している。


殆どの接続されているSeagate Central デバイスは、Moner採掘トロイに感染していた
BleepingComputer : News>Security (2016/09/13)
 Sophosは、感染したコンピュータに NsCpuCNMiner32.exe と呼ばれる仮想通貨採掘プログラムをインストールし、それ自体を他のコンピュータとFTPサイトに拡散するトロイに関して最近レポートした。この採掘プログラムは、Monero(Bitcoinより追跡される可能性が少ないので犯罪地下サイトの間で人気になっている)と呼ばれるデジタル・コインを採掘する。


Moneroは、AlphaBay地下サイトで受け入れられていた

 特に注目すべき点は、このトロイが、殆ど全てストレージ デバイスに装着されインターネットに接続されたSeagate Centralネットワークに対して拡散していることにある。これは、Seagate CentralデバイスがDefaultで、もしもインターネットに接続していたなら、誰もがそこにファイルを格納することが可能であり、何処からでも書き込み可能なPublicフォルダを持っていることが理由である。このトロイが実行されると、FTPサイトに関してインターネットを検索し、共通のユーザ名とパスワードを使用してログインすることを企てる。
 Seagate Central FTPサイトは、匿名ユーザ名を使用して、ユーザがPublicフォルダにアクセスすることを可能にしているので、この感染は、Photo.scr や Info.zip のようなそれ自体のコピーをPublicフォルダにアップロードすることができる。Photo.scrは、フォルダのように見せかけたアイコンを持っている。これは、人々が、それをフォルダと思い、その上をダブルクリックさせ、それ自体に感染させようとするものである。


セキュリティ侵害されたSeagate Central FTPサイト

 この自己増殖テクニックの一部として、このトロイはまた、特定のファイルがセキュリティ侵害されたFTP サイトに存在するか否か確認する。存在すれば、このトロイは、Photo.scr実行ファイルに向けられたiframeを含んでいるので以下のファイルタイプを改竄するだろう。

.php,.PHP,.htm,.HTM,.xml,.XML,.dhtm,.DHTM,.phtm,.xht,.htx,.mht,.bml,.asp, .shtm

 そこで、誰かが、このWebサイトを訪問すると、このページは、このトロイ自体を更に拡散するために自動的に Photo.scr 実行ファイルのダウンロードを促してくる。

NsCpuCNMiner32 Minerは、このトロイの開発者のために多額の金銭を生成する

 Sophosのレポートは、このトロイに関連した一意のIPアドレスが3150存在していることを示しているだけだが、これは、マルウェア開発者が金儲けしていないということを意味してはいない。このレポートによると、このソフトウェアは、58,577 XMR(もしくは、Moneroコイン)を採掘している。現在のレートでは、1XMRあたり $10.99なので、凡そ $640,000 USD(約6400万円) となる。更に、Sophosは、彼等の現在の採掘力は、さらに 327.7 コイン以上(1日あたり $3,600)を作成することが潜在的に可能であると述べている。


Moneroの30日価格チャート(提供元: https://www.coingecko.com)

 上の価格チャートに見られるように、Moneroは、この一ヶ月間で顕著な成長を見せている。これが犯罪地下組織による受け入れに起因するのか否か不明であるが、犯罪者が身代金の支払いをMoneroに切り替えるとすれば、Moneroは更に価格を押し上げるだろう。

採掘トロイは実際のダメージをコンピュータに発生させることができる

 このトロイがMineroコインを採掘するとき、犠牲者のCPUパワーを使用するだろう。このトロイは、NsCpuCNMiner32.exe を犠牲者の %Temp% フォルダに解凍し、次に、これを以下のコマンドで実行することによって、採掘を実行する。

%Temp%\NsCpuCNMiner32.exe -dbg -1 -o stratum+tcp://mine.moneropool.com:3333
-t 1 -u 44puJ9e27jyKc1et48J7SZLQ4pDcos96c6u84vcwHgCCce1TYqXxzpyR3gY793D9mKGEY7WjtC6T
KA7eDbtvfrgGHoDNBGx -p x

 一旦起動すると、この採掘プログラムは、常にそのコンピュータのCPUパワーの殆どを使用する。


CPUの90%を使用しているNsCpuCNMiner32

 これは、そのコンピュータをほとんど使用不能にするだけでなく、プロセッサに発熱と常時使用に起因する損傷を発生させるだろう。それ故、犠牲者は、このトロイを、できる限り早急に削除することが重要である。


バックドアが、Microsoft Publisherファイルを介して企業データを標的にしている
Graham Cluley : News (2016/09/13)
 聞き間違いではない! 悪いハッカーが、バックドアを企業に感染させ、彼等の企業データを盗もうとしてMicrosoft Publisherを悪用している。
 Bitdefenderの研究者達は、中国、英国、他の国の中小企業に勤務する従業員からと称するスパムeMailに遭遇した
 これらのeMailは全て、共通の一つの物(注文書もしくは送り状を装うMicrosoft Publisherファイル)を持っている。

 今日では、ファイルが、それらが主張しているものではなくても、驚くにはあたらない。Bitdefenderの研究者達は以下のように説明している。

 「.pubファイルは、リモートホストとして挙動するURLを埋め込んだスクリプト(VBScript)を含んでいる。この場所から、このマルウェアはAutoItスクリプトを含む自己解凍型キャビネット(CAB)ファイル、スクリプトを実行するツール、AES-256で暗号化されたファイルをダウンロードする。暗号化されているファイルは、AutoItファイルに記述されたテキストのMD5に由来するキーを使用して復号される。」

 攻撃者がファイルを復号してしまうと、一巻の終わり。彼等は、この時点で、感染したマシンへの完全なバックドア アクセスを持っている。これは、彼等が、キーストロークをログしたり、ログイン認証を盗んだり、重要な企業データを持ち去ることができることを意味している。

 明確化のために、このバックドア(Bitdefenderはサウジアラビアかチェコ共和国からのものと確信している)は、悪漢共がMicrosoft officeドキュメントをスパム キャンペーンに組み込んだ初めてのことではない。例えば、不審なWordやPowerPointドキュメントは、長年に渡り身代金要求型マルウェアや他の悪意ある攻撃を配布してきた。
 しかし、悪意あるMicrosoft Publisherとは? これはチョットしたBitdefenderのAdrian Mironで、滅多に見られない:

 「.pubは、マルウェアをホストするための一般的なファイルフォーマットではない。スパマーは、人々が、通常この種のファイルと感染の可能性を関連付けることが無いので、.pubを選択している。」

 このスパムや、それに似た他のキャンペーンによるマルウェア感染を回避するために、ユーザは、彼等のコンピュータのアンチウィルス ソフトのアップデートを維持し、常に不審なリンクとeMail添付ファイルに警戒すべきである。
 また、キチンとした企業が、Publisher(パブリッシングとレイアウトアプリケーション)を介してあなたに送り状を送信する理由は何処にもない。送り状と主張するあらゆる種類の .pub ファイルを受け取ったなら、即座に警告が発されなければならない。


USBをイーサネット アダプタに欺くと、ロックされているラップトップでも認証を窃取できる
The Register : Security (2016/09/07)
 セキュリティ コンサルタントでありブロガーでもあるRob Fullerは、ロックされているマシンでさえSoC(【訳注】 System-on-a-chipは1つの半導体チップ上に必要とされる一連の機能を集積する集積回路の設計手法(Wikipediaより))ベースのデバイスを認証窃取デバイスに変換してみせた。
 Fullerの攻撃は、ドングル(【訳注】 コンピュータに接続する小さな装置(Wikipediaより))を改竄する(これを差し込み、インストールし、それ自体を犠牲者のネットワークゲートウェイ、DNSサーバ、WPAD(【訳注】 ウェブブラウザのプロキシ設定を自動化するためのプロトコル(Wikipediaより))サーバにする)ことによって動作する。インストールを試みているプロセスで考えられていることは、イーサネット アダプタにすることであり、ターゲット マシンは、盗聴ネットワークを介して、その認証を送信するだろう。
 改造されたイーサネット アダプタはまた、ターゲットマシンが、このアダプタを介してネットワークに接続しようとするとき、それが提供する認証を捕獲するようにセットアップされている必要がある。
 このアダプタが捕獲したパスワードは、犠牲者のマシンがストレージにどのようなハッシュを適用していても、それは、サーバが確認するものでもある。
 Fullerの説明では、これは、動作してはならない攻撃であったが、彼は、この攻撃が動作することを認識しているし、Windows 10 Enterprise と Home までのWindows(Windows 8 を除く)で、この攻撃をテストしていた。この攻撃は、OS X El Caption でも動作したが、Fullerは、彼独自のセットアップの特異性に依存しているのか否か定かでないとしている。
 彼の説明では、マシンがワイアレスと有線の両方のネットワークを確認した場合、どちらか高速な方に接続しようとする(USBキーは、クライアントからサーバへリクエストを渡すのではなく、サーバからのネットワーク レスポンスを提供する)。
 彼は、この攻撃に関して二つのドングル(USB ArmoryHak5 Turtle)をテストした。
 この攻撃はターゲットへの物理的なアクセスを必要とするが、Fullerは、認証の平均取得時間は 13秒であったと発言している。


WordPressブロガーは、セキュリティ アップデートを即座に適用するよう「強く推奨」されている
Graham Cluley : News (2016/09/08)
 WordPressは、以下のように記述している。

 WordPress 4.6.1は現在利用可能になっている。これは、今迄のバージョン全てに関するセキュリティ リリースであり、あなたのサイトを即座にアップデートするよう強く促すものである。
 WordPress 4.6とそれ以前のバージョンは、二つのセキュリティ問題(SumOfPwnの研究者Cengiz Han Sahinによってレポートされた、画像ファイル名を経由してのクロスサイト スクリプトの脆弱性と、WordPressセキュリティ チームのDominik Schillingによってレポートされた、アップグレード パッケージ アップローダー中のパストラバーサル(【訳注】 WebアプリケーションのURLやそのパラメータに特定の文字列を与えることで、非公開のディレクトリやファイルにアクセスできてしまう脆弱性のこと(情報セキュリティWikiより)の脆弱性)の影響を受ける。

 簡単に、グズグズするな。
 WordPressを実行している多くのサイトがあり、攻撃者が悪意ある攻撃を起動するためにWordPressプラットフォームの脆弱性を悪用する頻度から、セルフホストしているブロガーは可能な限り早急に彼等のシステムをアップデートすることが肝要である。
 セキュリティ上の脆弱性は、しばしばサードパーティのWordPressプラグインで露見されるが、上述の修正は、メインのWordPressコンテント マネージメント システムそれ自体のバグを解決するものである。これは、WordPressを実行しているあらゆるサイトに、リスクがあることを意味している。
 幸いにも、アップデートは大変簡単である。WrodPress管理パネルに進み、Dashboard > Updates を選択しなさい。
 もちろん念の為に、最初にあなたのサイトを非ライブ バージョン(ステージング サイトとして知られる)で、このソフトウェアの新しいバージョンをテストすることは常に適切な行動である。
 WordPress 3.7 が、2013年10月にリリースされて以来、このソフトウェアは自動セキュリティ アップデートのオプションを搭載してきた(上手くいけば、多くのサイト管理者が、彼等のソフトウェアのアップデートが維持されているか否かに関して、それほど心配をする必要がなくなることを確実にする)。
 もちろん、自動アップデートを有効にしようとしない人々や、このニュースに気が付かない人々は常にいる。

 注意 WordPress.orgのWordPressのセルフホスト バージョンを実行しているサイトは、WordPress.com上で実行している何百万ものブログとは別物である。WordPress.com(Automaticになっている)は、あなたに代わってWordPressのインスタレーションを管理し、あなたに代わってセキュリティの世話をしている。

 WebサイトのオーナーがWordPress.comで実行できることには幾つかの制限があるが、常にWordPressの最新のバージョンが常に実行されていることは間違いない。
 名前が紛らわしいと心配することはない。皆、名前が紛らわしいと思っているのだから。なんだかムカツク。


身代金を支払っても、データを取り戻せるとは限らない
The Register : Security (2016/09/07)
 Trend Microの新たな研究によると、身代金を支払った企業の1/5が、彼等のデータを取り戻すことに失敗していた。
 Trend Microによる支援を受けている300の英国企業のITマネージャによる投票は、英国企業の44%が、最近の2年間で身代金要求型マルウェアに感染していたことが分かった。
 この研究はまた、身代金要求型マルウェア感染に直面した英国企業の凡そ2/3(65%)が、彼等のデータを取り戻すことを希望して身代金を支払っていた。
 英国で要求されている身代金の平均額は £540(73,288円)であるが、20%の企業が、£1,000(135,671円)以上の身代金を支払ったと報告されている。大多数(57%)の企業は、24時間以内に支払いを実行したと報告されている。
 身代金要求型マルウェアによって影響を受けた組織は、この問題を修正するために平均33人時(【訳注】 人時とは、一人の人間が一時間働く分の仕事量(コトバンクより))を費やしたと見積もられている。
 身代金要求型マルウェア問題は増加中である。Trend Microは、2015年全体では29であったのに比べ、今年今までに、79の新しい身代金要求型マルウェア ファミリーを同定している。
 「誘拐された状況に直面すると、多くの組織は、単純に暗号化されたデータを手放すことができないので、一度ならずも、要求される金額を支払うことを強いられている」と、Trend Microのサイバーセキュリティ コンサルタントBharat Mistryは発言している。彼は更に、「サイバー脅迫者の要求に屈することは、この戦略で彼等を安心させることになり、脅威のサイクルを恒久化することになる。これが、企業が身代金要求型マルウェアに対して十分に彼等自身を守らなければならなず、攻撃者の言いなりになることを回避しなければならない理由である」と続けている。
 身代金の支払いを決定するにあたっての動機に関する質問に、多くの企業(37%)は、データを失った場合の罰金を心配していた。他の理由は、暗号化されたデータが高度な機密を含む(32%)と、支払うほうが簡単で身代金額が低い(29%)であった。
 支払いを拒否した大多数の企業(66%)は、原則としてサイバー犯罪者と交渉しないと発言している。更に60%は、バックアップファイルからデータを修復することが可能であったと主張し、データが暗号化されたと信じられている凡そ1/4(26%)は、データに価値がなく、重要でもなかったので、支払う価値はなかったと発言している。


CryLocker身代金要求型マルウェアは、UDPを使用して情報交換し、Imgur.comにデータを格納している
BleepingComputer : News>Security (2016/09/05)
 CryLocker身代金要求型マルウェア(Central Security Treatment Organizationという偽の組織からだと装う)と呼ばれる新たな感染が、MalwareHunterTeamのセキュリティ研究者によって発見された。Central Security Treatment Organization(もしくは、Cry)身代金要求型マルウェアは、コンピュータに感染し、犠牲者のファイルを暗号化し、暗号化したファイルに .cry 拡張子を追加する。このマルウェアは次に、復号キーを取得するために凡そ1.1 Bitcoin(もしくは、625 US$)を要求する。


支払いサイトの見出し

 私自身(Lawrence Abrams)、MalwareHunterTeam、Daniel Gallagherの解析に基づくと、この感染は身代金要求型マルウェア中で一般的には確認されない幾つかの興味ある特徴を示している。例えば、Cerberのように、この身代金要求型マルウェアは、UDPを使用してコマンド&コントロール サーバーに犠牲者に関する情報を送信する。更に、このマルウェアは、各犠牲者の情報をホストするために Imgur.com や Pastee.org のような公開サイトを使用している。最後に、大事なことを言い忘れていたが、犠牲者の居住地を決定するために近くのワイアレスSSIDを使用して、Google Maps API をクエリーする。
 この身代金要求型マルウェアは、現在解析中であり、復号方法が発見される可能性がある。従って、犠牲者は、更新情報に関してCentral Security Treatment Organization Support Topicに注目してほしい。
 多くの身代金要求型マルウェアによる感染があるので、このマルウェアに説明的名前を提供するのは難しいが、この身代金要求型マルウェアの公式の名前はCryLockerであり、Central Security Treatment Organization Ransomware, CSTO Ransomware, Cry Ransomware としても参照される。
 Update 9/6/16: 新しいサンプルが壁紙をセットにしてリリースされた。この壁紙は現在、この身代金要求型マルウェアの名前と同じCryLockerの名前を使用している。

コマンド&コントロールサーバー コミュニケーション方法

 犠牲者が感染すると、この身代金要求型マルウェアは、Windowsのバージョン、インストールされているサービスパック、Windowsのbitタイプ、ユーザ名、コンピュータ名、コンピュータに装着されているCPUのタイプのような様々な情報を収集する。この情報は、UDPを介して4096の異なるIPアドレス(これらの一つは、この身代金要求型マルウェアのコマンド&コントロールサーバーである)に送信される。UDPパケットの使用は、多分、執行機関が彼等のコマンド&コントロールサーバを捕まえることができないようにするために、コマンド&コントロール サーバの位置を紛らわしくするために実行されている。


UDPトラフィック

 このCryLocker身代金要求型マルウェアはまた、同じ情報並びに暗号化したファイルのリストをImgur.comにアップロードする。これは、全ての情報を偽のPNGイメージファイルにコンパイルし、次に、指定のImgurアルバムに、それをアプロードすることで実行されている。このファイルが首尾よくアップロードされると、Imgurは、このファイル名用の一意の名前で対応する。このファイル名は、感染した新しい犠牲者の存在をコマンド&コントロール サーバに通知するために、UDPを介して4096のIPアドレスにブロードキャストされる。

近くのSSIDに基づき犠牲者の場所を発見する

Google Maps APIを使用すると、ユーザは、近くのワイアレスネットワークのSSIDによってデバイスをクエリーし、その場所を決定することができる。CryLockerは、近くのワイアレスネットワークのリストと、それらのSSIDを取得するためにWlanGetNetworkBssList関数を使用している。次に、このマルウェアは犠牲者の場所を特定するためにこれらのSSIDを使用してGoogle Maps APIをクエリーする。
 現在、このマルウェアが、これを使用しているか否か不確かであるが、この情報は、Google Mapsを使用して犠牲者の場所の画像を生成するために使用されることが可能である。

CryLockerがファイルを暗号化する方法

 CryLockerがコンピュータに感染すると、犠牲者のWindowsデスクトップに特定のショートカットのバックアップを作成し、それらをold_shortcutsと呼ばれるデスクトップ上のフォルダに保存する。このフォルダの目的は、現在分かっていない。
 この身代金要求型マルウェアは、現在犠牲者のファイルを暗号化し、暗号化したファイルに .cry 拡張子を追加する。この身代金要求型マルウェアによってターゲットにされているファイルは現在、以下である。

.#vc, .$ac, .00c, .07g, .07i, .08i, .09i, .09t, .1pa, .1pe, .3dm, .3ds, .3g2, .3gp, .3me, .3pe,
.7z, .10t, .11t, .13t, .123, .210, .500, .2011, .2012, .2013, .2014, .2015, .2016,
.2017, .aac, .aaf, .ab4, .ac2, .acc, .accd, .ach, .aci, .acm, .acr, .aep, .aepx,
.aes, .aet, .afm, .ai, .aif, .amj, .arc, .as, .as3, .asc, .asf, .asm, .asp, .asx,
.ati, .avi, .back, .bak, .bat, .bay, .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bmp,
.bpf, .bpw, .brd, .brw, .btif, .bz2, .c, .cal, .cat, .cb, .cd, .cdf, .cdr, .cdt,
.cdx, .cf8, .cf9, .cfdi, .cfp, .cgm, .cgn, .ch, .chg, .cht, .clas, .clk, .cmd,
.cmx, .cnt, .cntk, .coa, .cpp, .cpt, .cpw, .cpx, .crt, .cs, .csl, .csr, .css, .csv,
.cur, .cus, .d07, .dac,.dat, .db, .dbf, .dch, .dcr, .ddd, .dds, .defx, .der, .des,
.dgc, .dif, .dip, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,
.drw, .ds4, .dsb, .dsf, .dtau, .dtd, .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .ec8,
.efs, .efsl, .efx, .emd, .eml, .emp, .ens, .ent, .epa, .epb, .eps, .eqb, .ert, .esk,
.ess, .esv, .etq, .ets, .exp, .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd,
.fim, .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc,
.gdb, .gem, .gfi, .gif, .gnc, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11, .h12,
.hbk, .hif, .hpp, .hsr, .html, .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .iff,
.iif, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int?, .intu, .inv, .inx, .ipe,
.ipg, .itf, .jar, .java, .jng, .jp2, .jpeg, .jpg, .js, .jsd, .jsda, .jsp, .kb7,
.kd3, .kdc, .key, .kmo, .kmy, .lay, .lay6, .lcd, .ldc, .ldf, .ldr, .let, .lgb, .lhr,
.lid, .lin, .lld, .lmr, .log, .lua, .lz, .m, .m3u, .m3u8, .m4a, .m4u, .m4v, .m10,
.m11, .m12, .m14, .m15, .m16, .mac, .max, .mbsb, .md, .mda, .mdb, .mdf, .mef, .mem,
.met, .meta, .mhtm, .mid, .mkv, .ml2, .ml9, .mlb, .mlc, .mmb, .mml, .mmw, .mn1,
.mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .mone, .mov,
.mp2, .mp3, .mp4, .mpa, .mpe, .mpeg, .mpg, .mql, .mrq, .ms11, .msg, .mwi, .mws,
.mx0, .myd, .mye, .myi, .myox, .n43, .nap, .nd, .nef, .nl2, .nni, .npc, .nv, .nv2,
.oab, .obi, .odb, .odc, .odg, .odm, .odp, .ods, .odt, .oet, .ofc, .ofx, .old, .omf,
.op, .orf, .ost, .otg, .otp, .ots, .ott, .p08, .p7b, .p7c, .p12, .paq, .pas, .pat,
.pcd, .pcif, .pct, .pcx, .pd6, .pdb, .pdd, .pdf, .pem, .per, .pfb, .pfd, .pfx, .pg,
.php, .pic, .pl, .plb, .pls, .plt, .pma, .pmd, .png, .pns, .por, .pot, .potm, .potx,
.pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .pr0, .pr1,
.pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn, .prpr, .ps, .psd, .psp, .pst, .ptb,
.ptdb, .ptk, .ptx, .pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98,
.qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw,
.qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif,
.qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd,
.qsm, .qss, .qst, .qtx, .quic, .quo, .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf,
.rar, .raw, .rb, .rcs, .rda, .rdy, .reb, .rec, .resx, .rif, .rm, .rpf, .rss, .rtf,
.rtp, .rw2, .rwl, .rz, .s7z, .s12, .saf, .saj, .say, .sba, .sbc, .sbd, .sbf, .scd,
.sch, .sct, .sdf, .sdy, .seam, .ses, .set, .shw, .sic, .skg, .sldm, .sldx, .slk,
.slp, .sql, .sqli, .sr2, .srf, .ssg, .stc, .std, .sti, .stm, .str, .stw, .svg,
.swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07,
.t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6,
.ta8, .ta9, .tar, .tax, .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .text, .tfx,
.tga, .tgz, .tif, .tiff, .tkr, .tlg, .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12,
.tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt, .u08, .u10, .u11, .u12, .uop, .uot,
.v30, .vb, .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .vmdk, .vmx, .vnd, .vob, .vsd,
.vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1, .wk3, .wk4, .wks, .wma, .wmf, .wmv, .wpd,
.wpg, .wps, .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm,
.xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .yuv,
.zdb, .zip, .zipx, .zix, .zka, ._vc

 このプロセスの間、このマルウェアは、以下のコマンドを使用してシステムのシャドー ボリューム コピーを削除する。

vssadmin delete shadows /all /quiet

 永続的に提供せよというコマンドで、この身代金要求型マルウェアは、ユーザが、Windowsにログインした時、トリガーとなるランダムに名付けられたスケジュール タスクを作成する。


UDPトラフィック

 この犠牲者のデスクトップ壁紙はまた、脅迫文に変更される。この脅迫文は、割り当てられることになった名前 CryLocker を含む唯一のものである。


壁紙

 最後に、この身代金要求型マルウェアは、犠牲者のデスクトップに、!Recovery_[random_chars].html と !Recovery_[random_chars].txt と名付けられた脅迫文を作成する。


脅迫文(クリックすると拡大します)

 この脅迫文は、犠牲者のパーソナルIDと、上に示したTOR支払いサイトにアクセスする方法に関する指示を含んでいる。この支払いサイトに関する情報は、次のセクションで見出される Central Security Treatment Organization の支払いサイトを発見することができる。

CryLockerのTOR支払いサイト

 CryLockerによって作成されたこの脅迫文は、ウィンドウ タイトル User Cabinet を持つTOR支払いサイトへのリンクを含んでいる。ユーザがこのサイトを訪問すると、彼等は脅迫文中のパーソナルコードを使用してログインすることを促される。


ログイン ページ

 犠牲者がログインすると、彼等は Central Security Treatment Organization と呼ばれる偽の組織の一部であることを宣言し、犠牲者が支払わなければならない身代金額を含むページを表示する。


TOR支払いサイト

 このサイトの他のセクションは、身代金を送らなければならないBitcoinのアドレスをリストしている支払いページを含んでいる。また、犠牲者が、このマルウェアの開発者とコミュニケーションするために使用することのできるサポートページも存在している。


サポートページ

 この支払いサイトはまた、悪意ある者共が犠牲者のファイルを実際に復号できることを示すために、一つのファイルを無料で復号するテスト機能を含んでいる。


無料での復号

 ファイルが無料の復号に提出されると、即座に、そのファイルは復号されるだろう。


無料でファイルを復号

 けれども、私のテストでは、無料の復号は失敗し、復号されたファイルは利用できるものではなかった。そうは言うものの、あなたが身代金を支払うつもりであるなら、この復号をテストし、身代金の支払いを実行する前に、この機能が動作することを確認したいだろう。

CryLocker身代金要求型マルウェア関連ファイル

%UserProfile%\AppData\Local\Temp\[random_chars].exe
%UserProfile%\AppData\Local\Temp\[random_chars].tmp
%UserProfile%\AppData\Local\Temp\[random_chars].html
%UserProfile%\Desktop\!Recovery_[random_chars].html
%UserProfile%\Desktop\!Recovery_[random_chars].txt
%UserProfile%\Desktop\old_shortcuts\
C:\Windows\System32\Tasks\[random_chars]
C:\Temp\lol.txt

CryLocker身代金要求型マルウェア関連レジストリ エントリ

HKCU\Software\[same_name_as_executable]

IOC

SHA256: 33f66a95e01e2650ea47405031d4ced2ad25db971e65a92319296ccef62b7964

ネットワーク コミュニケーション

http://imgur.com
https://pastee.org/
https://maps.googleapis.com
4095アドレスへのUDPトラフィック。 リストは以下で発見される: http://pastebin.com/2pivX5Pg


Sophosを利用しているWindowsユーザは、誤検出による大失敗の後、ブラック画面に直面している
The register : Security (2016/09/05)
 Sophosセキュリティ ソフトウェアのユーザは、先週末にかけて、滅茶苦茶なアンチウィルス アップデートの結果として、彼らのWindows PCを起動したときブラック画面(新しいBSODのこと)に直面していた。
 下手な仕事のアップデートは、Windows 7 の winlogon.exe を悪意の可能性のあるものとして間違った分類をした。結果として、至る所で混沌と混乱が発生した。
 Sophosによると、この問題は、32-bit Windows 7 SP1 を実行しているユーザに限定される。
 Sophos Enterprise Console, Sophos Central もしくは、Sophos Home のユーザは、以下のメッセージに直面するかもしれない。
Virus/spyware 'Troj/FarFli-CT' has been detected in "C:\Windows\System32\winlogon.exe". Cleanup unavailable.

 ウィルス / スパイウェア 'Troj/FarFli-CT' が、"C:\Windows\System32\winlogon.exe" で検出されました。クリーンアップできませんでした。
Sophosは即座に、この誤警告に対応した。Sophosのナレッジベースの記事における説明では、日曜日の朝、この問題を解決するためのアドバイスと共に改定したアップデートをリリースした。
 誤検出は、アンチ-マルウェア製品で良く知られているアキレスの踵であり、何年にもわたり、この問題は存在し続けている。全てのベンダが、時々、語検出で苦しんでいる。このような失敗の影響は、Windowsのコア アプリケーションが悪意あるものとして誤診断され、隔離部屋に移し変えられたときに最も鋭敏となる。
 ベンダが、身代金要求型マルウェアの増加傾向に対応するために毎日発行することを強いられる大量のアップデートは、品質管理手順の改善にも拘らず、誤検出問題を残したまま発行されている。
 この最新の大混乱の詳細な解説は、業界のベテラン Graham Cluley によるブログポスト中に見出すことができる。

Sneaky技術サポート詐欺師達は、Google Chromeユーザに対する新しいトリックを開発した
BleepingComputer : News>Security (2016/08/30)
 技術サポート詐欺師達は、疑うことを知らないGoogle Chromeユーザを欺くことを希望して沢山の新しいトリックを立案した。
 Malwarebytesの指導的マルウェア情報アナリストSegureは、このテクニックの一つが、伝統的なアンチスパム アドバイスの一部に対して動作すると説明している。そのサイトが正当なものであるか否かを確認するにはアドレスバーのURLをチェックしなさい。
 この特定のスパムは、Microsoftのテックサポート チャンネルのように見える。何か間違っている唯一の兆候は、ドメインの"ru-ru"(ロシア語-ロシア)である。


このアドレスバーは本物のように見えるが...

Segureは確信した。彼はブログ ポストで説明している。
 「我々は、アドレスバーが、このページが全画面でロードされた時、実際のアドレスバーのように見せかけるために配置されたJPEG画像以外には何もないことに気がついた。問題をより紛らわしくするために、この特定のスカムは、Amazonにホストされており、それには、正しいアドレスバーが存在している」


766×61の画像。赤枠部分が拡大画像。

 なんとも、コソコソしている。
 このスカムの一つのバージョンは、ユーザのコンピュータがスパイウェアに感染したと警告するポップアップ ウィンドウを表示する。ユーザが、このウィンドウの下部に着目したなら、彼等は、"Prevent this box from creating additional dialogues"(このページによる追加のダイアログ表示を抑止する)と記されているチェックボックスを見るだろう


インチキ! 'dialogues'と綴られていることに着目。

 チョット待って? Dialogues? これはdialogを意味しようとしているのでは?
 あなたが、(【訳者挿入】 このページによる追加のダイアログ表示を抑止する)チェックボックスにチェックを入れ、OKを押したところで、何の安らぎもない。これを実行することは、実際には逆の効果をもたらす。即ち、ユーザがイライラし、詐欺の電話番号に電話を掛ける状態に陥るまで、一連の追加のダイアログをロードする。
 それに反して、このスカムの他のバージョンは、正しい綴を使用している。


本物のGoogle警告ダイアログからの正しい綴。

 しかし、これらのバージョンは、ユーザが"Esc"キーを押すことを当てにしている。この操作を行うと一連の追加のダイアログをロードするだろう。
 そこには、技術サポート詐欺師によって開発された幾つかの最新のトリックがある。この数カ月だけで、詐欺師達は、詐欺を合法的に見せかけるために、ユーザのインターネットプロバイダ(ISP)とGlobal Privacy Enforcement Network(世界プライバシー執行機関)に成り済ましている。彼等はまた、ユーザのコンピュータをロックするという点において身代金要求型マルウェアを真似る詐欺を開発している(この戦略は、Fantom(Windows Updateを装ってファイルを暗号化する身代金要求型マルウェアの一形式)の開発者に部分的に触発されている)。
 技術サポート詐欺の持続的脅威を与えられた一部のセキュリティ研究者は、彼等が愛している人々を詐欺師達がターゲットにするという間違いを犯した時に、自ら対処した
 ユーザは常に、技術サポート用の a 1 (800) 番号に電話させようとするランダムな警告に目を光らせていなければならない、そして、ユーザは、彼等に電話させ、コンピュータをクリーンアップするためにアンチ-マルウェア ソフトを購入する必要があると主張する技術代表者の言葉に決して耳を傾けてはならない。技術サポートは、ユーザ ドリブンの行為である。ベンダによって開始されることは、まず無い。それはそれとして、あなたのコンピュータに疑わしい警告を含んでいる問題が発生したなら、その会社に直接電話し、担当者と話しをしなさい。これを実行することは、この警告がインチキであることの良い証明となるだろう。


Dropboxのハッキングは、インターネット上に6800万ユーザのパスワードを晒すことになった
The Guardian : tech (2016/08/31)
 人気あるクラウド ストレージ企業Dropboxがハッキングされており、6800万ユーザのeMailアドレスとパスワードがインターネット上に晒された。
 この攻撃は、2012年に実行された。その時点で、Dropboxは、ユーザのeMailアドレスのコレクションが盗まれたとレポートしていたが、同様にパスワードが盗まれていたとはレポートしていなかった。
 パスワードの流出は、このデータベースがセキュリティ通知サービスLeakbaseによって取得され、それがMotherboardに送信された時に明るみにでた。
 Have I been pwned?データ リーク データベースの独立系セキュリティ研究者でありオペレータであるTroy Huntは、データを検証し、彼と彼の妻のアカウントの詳細を発見した。
 Huntは、「このデータの漏洩が正当なDropboxのパスワードを含んでいることに疑いの余地はない。あなたは、この種のものを、でっち上げることはできない」と、発言している。
 Dropboxは、2012年以来パスワードを変更していない全てのユーザに対して先週通知を送信した。Dropboxは、この時点で、凡そ 1億の顧客を持っていたので、このデータ漏洩は、そのユーザアカウントの2/3以上に当たる。この時点で、Dropboxは、適切なユーザセキュリティ実践(パスワードの暗号化)を実施し、SHA1規格からbcryptと呼ばれるより安全な規格に暗号化をアップグレードするプロセスの途中であったかのようである。
 パスワードの半分は、盗まれた時点でSHA1で暗号化されたままだった。
 「(パスワード)を保護するbcryptハッシュ アルゴリズムは、クラッキングに対して弾力性がある。率直にいうと、最悪のパスワードが選択されている場合を除いて、全てのパスワードは、公に晒された場合でさえ安全なままである」と、「依然として、明らかに、あなたが未だ実行していないのであれば、あなたのパスワードを変更しなさい。そして、未だ二要素認証を有効にしていないのであれば、あなたがDropboxに存在している間に、必ず二要素認証を有効にしなさい」と、Huntは発言している。
 最初の漏洩は、Dropboxの従業員が、LinkdIn(パスワードを露わにされる侵害を被り、ハッカーがDropboxの共同ネットワークに入ることを可能にされた専門的なソーシャルネットワーク)で以前使用したパスワードを再使用した結果のようである。そこから、彼等は暗号化され、ソルトされた(ソルトは、復号を困難にするために暗号化の間にランダムな文字列を追加する)パスワードのユーザデータベースへのアクセスを取得した。
 Dropboxは、この時点で、かなりのユーザのパスワードをリセットしているが、この会社は、正確な数に関して発言していない。
 このハックは、強力なセキュリティ(ユーザエンドとしては、強力なパスワード、二要素認証、パスワードを再使用しないこと、そして、ユーザデータを格納している企業の両方で)の必要性を強調している。強固な暗号化が、ユーザパスワードを安全している場合でさえ、Dropboxはパスワードの再使用に巻き込まれ、この企業のネットワークに入られている。
 一流のセキュリティ エキスパートは、毎日の生活のために必要とされる様々なログインの詳細を適切に安全にするのに必要な、多数の一意で複雑なパスワードを確固たるものにするためにパスワードマネージャの使用を推奨していた。しかし、ブラウザメーカーOpera(ユーザパスワードを保管し、パスワードマネージャOneLoginと同期している)を含む企業に対する最近の攻撃は、パスワードマネージャを使用することの危険性を露わにした。
 正しいパスワードマネージャを選択することは、極めて重大であり、最初の段階では、パスワードマネージャを使用しなさい。


Fantom身代金要求型マルウェアは、Windows Updateを装ってファイルを暗号化する
BleepingComputer : News>Security (2016/08/25)
 Fantomと呼ばれる新しい身代金要求型マルウェアが、AVGのマルウェア研究者Jakub Kroustekによって発見された。このマルウェアは、EDA2身代金要求型マルウェア プロジェクトに基づいている。Fantom身代金要求型マルウェアは、Windowsが新しい緊急のアップデートをインストールしようとしていることを装うインチキのWindows Updateを表示する興味ある機能を使用している。けれども、バックグラウンドで、Fantomは、犠牲者の目につかないように犠牲者のファイルをコッソリ暗号化している。
 残念ながら、Fantom身代金要求型マルウェアを現在復号する方法はなく、EDA2ベースの身代金要求型マルウェアのキーを取得するための通常の方法は、この変種に関しては利用できない。この身代金要求型マルウェアを議論したい人々や、サポートを必要とする人々は、Fantom Ransomware Help Support Topic を使用することができる。

Fantomは、緊急のWindows Updateを装う

 Fantom身代金要求型マルウェアの背後にいる開発者は、その悪意ある行動を隠蔽するために、このプログラムが緊急のWindows Updateであることを装う特別な努力をしている。正当性を追加するために、この身代金要求型マルウェアのファイル プロパティは、Microsoftからと宣言し、critical update(緊急のアップデート)と名づけている。


ファイル プロパティ

 実行されると、以下に示したように、この身代金要求型マルウェアは、Windows Update画面を表示する WindowsUpdate.exe と呼ばれる別の埋め込まれたプログラムを解凍し実行する。この画面は、アクティブなWindowsの全てを覆い、あなたが、他の開いているアプリケーションの何れにも切り替えることを許さない。


インチキのWindows Update画面

 上のインチキのUpdate画面はまた、この身代金要求型マルウェアがバックグラウンドで犠牲者のファイルをコッソリ暗号化している時にインクリメントされるパーセンテージ カウンタを含んでいる。これは、インチキのUpdateが、インストールされているように見えるようにするために、犠牲者のハードドライブに順調に進行しているように見せかけるために提供されている。
 [Ctrl]+[F4]キーコンビネーションで、この画面を閉じることはできる。これは、インチキのWindows Updateプロセスを終了し、通常のWindows画面を表示するが、この身代金要求型マルウェアは、バックグラウンドで、あなたのファイルを暗号化することは継続する。

Fantomは、どのようにコンピュータを暗号化するのか

 Fantomのコードを解読し、幾つかの分析を提供したMalwareHunterTeamのおかげで、我々は、この身代金要求型マルウェアが暗号化を実行している方法を簡単に確認することができる。他のEDA2身代金要求型マルウェア同様に、このマルウェアは、ランダムな AES-128キーを生成し、RSAを使用して、それを暗号化し、次に、それを、このマルウェアの開発者のコマンド&コントロール サーバにアップロードする。
 次に、このマルウェアは、下に示すターゲットにしているファイル拡張子を含むファイルに関してローカルドライブのスキャンを開始し、AES-128暗号化を使用して、これらを暗号化する。このマルウェアがファイルを暗号化するとき、暗号化したファイルに .fantom 拡張子を追加する。例えば、apple.jpg が暗号化されると、ファイル名はapple.jpg.fantom になる。このマルウェアがファイルを暗号化している各フォルダに、DECRYPT_YOUR_FILES.HTML 脅迫文も作成する。
 Fantomは、暗号化が完了した時に実行される二つのバッチファイルを作成する。これらのバッチファイルは、シャドー ボリュームコピーとインチキのWindows Update実行ファイルを削除するものである。


Fantomのクリーンアップ

 最後に、この身代金要求型マルウェアは、犠牲者のIDキーと、支払い指示を受けるために、fantomd12@yandex.ru もしくは fantom12@techemail.com にeMailするための指示を提供するDECRYPT_YOUR_FILES.HTML と呼ばれる脅迫文を表示する。


脅迫文

 私は、文法と言語選択において、私が今までに見てきた脅迫文でも最悪の一つであることから、このユーザが明らかに、英語に堪能ではないと指摘しなければならない。
 最後に、この身代金要求型マルウェアは、画像をダウンロードし、%UserProfile%\2d5s8g4ed.jpg に保存する。この画像は、以下のURLからダウンロードされる。このことは、このマルウェアの開発者の個人情報の手がかりを提供するかもしれない。

http://content.screencast.com/users/Gurudrag/folders/Default/media/9289aabe-7b4a-4c7f-b3bb-bdf3407e7a2f/fantom1.jpg

 この画像は、以下に示したようにWindowsの壁紙として使用される。


Fantom壁紙

Fantomによって作成されるファイル

%AppData%\delback.bat
[Executable_Path]\WindowsUpdate.exe
[Executable_Path]\update.bat
%UserProfile%\2d5s8g4ed.jpg

Fantomによって作成されるレジストリ エントリ

HKCU\Control Panel\Desktop\ "Wallpaper" "%UserProfile%\How to decrypt your files.jpg"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System      "DisableTaskMgr" = 1

ネットワーク コミュニケーション

http://powertoolsforyou.com/themes/prestashop/cache/stats.php
http://templatesupdates.dlinkddns.com/falssk/fksgieksi.php

ハッシュ

SHA256: f4234a501edcd30d3bc15c983692c9450383b73bdd310059405c5e3a43cc730b
ターゲットになっているファイル拡張子

.001, .1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw,
.ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .ai, .aim, .aip, .ais,
.amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .apk, .arc, .arch00, .ari,
.arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .aspx,
.asr, .asset, .avi, .avs, .bak, .bar, .bay, .bc6, .bc7, .bck, .bdp, .bdr, .bib, .bic,
.big, .bik, .bkf, .bkp, .blob, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl,
.bsa, .bsp, .cag, .cam, .cap, .car, .cas, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr,
.cer, .cfg, .cfr, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt,
.crw, .cs, .csi, .cso, .css, .csv, .ctt, .cty, .cwf, .d3dbsp, .dal, .dap, .das,
.dayzprofile, .dazip, .db0, .dbb, .dbf, .dbfv, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx,
.dem, .der, .desc, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu,
.dmg, .dmp, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl,
.dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .epk, .eps, .eql,
.erf, .err, .esm, .euc, .evo, .ex, .exif , .f90, .faq, .fcd, .fdr, .fds, .ff, .fla,
.flac, .flp, .flv, .for, .forge, .fos, .fpk, .fpp, .fsh, .gam, .gdb, .gho, .gif,
.grf, .gthr, .gz, .gzig, .gzip, .h3m, .h4r, .hkdb, .hkx, .hplg, .htm, .html, .hvpl,
.ibank, .icxs, .idx, .ifo, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .itm,
.iwd, .iwi, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpe, .jpeg,
.jpf, .jpg, .jpw, .js, .json, .kdb, .kdc, .kf, .kmz, .kwd, .kwm, .layout, .lbf, .lbi,
.lcd, .lcf, .ldb, .lgp, .litemod, .log, .lp2, .lrf, .ltm, .ltr, .ltx, .lvl, .m2,
.m2v, .m3u, .m4a, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .mcgame, .mcmeta, .md,
.md3, .mdb, .mdbackup, .mddata, .mdf, .mdl, .mdn, .mds, .mef, .menu, .mic, .mip,
.mkv, .mlx, .mod, .mov, .moz, .mp3, .mp4, .mpeg, .mpg, .mpqge, .mrw, .mrwref, .msg,
.msp, .mxp, .nav, .ncd, .ncf, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .ntl, .odb,
.odc, .odf, .odi, .odm, .odp, .ods, .odt, .odtb .oft, .oga, .ogg, .opf, .orf, .owl,
.oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem,
.pfx, .php, .pkb, .pkh, .pkpass, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx,
.ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .psk,
.pst, .ptx, .puz, .pwf, .pwi, .pwm, .pxp, .py, .qbb, .qdf, .qel, .qic, .qif, .qpx,
.qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .rb, .re4, .res, .rev, .rgn, .rgss3a, .rim,
.rng, .rofl, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl,
.sad, .saf, .sav, .sb, .sc2save, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt,
.sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .sid, .sidd, .sidn, .sie, .sis, .slm,
.sln, .slt, .snp, .snx, .so, .spr, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std,
.stt, .stx, .sud, .sum, .svg, .svi, .svr, .swd, .swf, .syncdb, .t12, .t13, .tar,
.tax, .tax2015, .tax2016, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tor,
.tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unity3d, .unr,
.unx, .uop, .upk, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val,
.vc, .vcd, .vdf, .vdo, .ver, .vfs0, .vhd, .vmf, .vmt, .vob, .vpk, .vpp_pc, .vsi, .vtf,
.w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd,
.wmdb, .wmmp, .wmo, .wmv, .wmx, .wotreplay, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd,
.wtf, .wvx, .x3f, .xf, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb,
.xlsm, .xlsx, .xltx, .xlv, .xlwx, .xml, .xpi, .xpt, .xvid, .xwd, .xxx, .yab, .yps,
.z02, .z04, .zap, .zip, .zipx, .zoo, .ztmp


Windows 10 のコンピュータにAmazon Kindleを装着するとクラッシュする
The Guardian : tech (2016/08/25)
 多数のMicrosoft Windows 10 ユーザが、Amazon Kindleを装着した時、コンピュータがクラッシュすると報告している。
 この問題は、最近のWindows 10 Anniversary Updateによって発生しているようである。書籍の転送やUSB経由でのデバイスの充電を試みようとしているAmazonのPaperwhiteとVoyageユーザは、彼等の様々なWindows 10 ラップトップやデスクトップが動かなくなったり、再起動を要求される羽目に陥っている。
 Pooka(トラブルシューティング フォーラムTen Forumのユーザ)は、「私はKindle Paperwhiteを数年間持っているが、これをUSBに接続しても何ら問題はなかった。しかしながら、最近のWindows 10 Updateの後、私のコンピュータは、私のKindleを差し込むと直ちに、BSOD(blue screen of death、死のブルースクリーン)を発生させ、再起動を強制する」と、発言している。
 Microsoftのフォーラムで、Rick Haleは、「火曜日、私はWindows 10 Anniversary Editionにアップグレードした。昨晩、アップグレードして初めて、私は、USB2ポートに私のKindleを装着してマウントした。即座に、QRコードの付いたブルースクリーンになった。私は再起動し、別のUSBケーブルを使用したりして数回試みたが、同じことが発生した」と、発言している。
 他のフォーラムのユーザTuscat(ヒューレットパッカードのラップトップとDellのデスクトップの両方共が、この問題の影響を受けたことを見つけた)は、「私は、息子の学級のためにKindleに幾つかのPDFを転送する必要があったので、物凄いフラストレーションがあった」と、発言している。
 この問題は、定例のWindows 10 Anniversary updateのユーザと、プレリリースされたソフトウェア テストをするMicrosoftのインサイダー プログラムの人々に影響を与えているようである。
 一部のユーザは、コンピュータに差し込んだままにしておいた場合には、Windows 10 を再起動すると通常通りKindleが現れるが、Kindleを取り外し再装着する、あるいはコンピュータを再起動した場合には、この問題は再び発生すると報告している。
 他のユーザSeanHsiは、「私のKindle Voyageを装着したい場合、私は、先にKindleを差し込み、その後に私のラップトップを起動する。例えば、コンピュータをブートする前にKindleを差し込む、あるいは、ラップトップがスリープしている時にKindleを差し込む。これで、コンピュータを起動すると、Windows 10 Anniversary Update上でもブルースクリーンを発生することなくキチンと動作する」と、発言している。
 他の人も幸運が訪れているわけではないし、このクラッシュに関する支援がないことも分かっている。一部の人は、コンピュータがスリープしているか、ブートアップしている時に、Kindleを差しこむと、Windows 10 のBSOD問題の発生なしに、使用したりチャージしたりできると提案している。正確に、Anniversary Update中の何がこの問題を発生させているのか、ユーザのフラストレーションを解決するための永続的な修正は、未だ分かっていない。
 これは、Windows 10 へのMicrosoftの最新のビッグ アップデートでの二つ目の重要課題である。このAnniversary Updateは通知の改善、Microsfot EdgeとCortanaの強化、並びに、ユーザビリティの全面変更をもたらした。これは概ね好評であった。
 しかし、これはまた、ユーザのWebcamを不能(Microsoftの所有するビデオチャット用のSkypeを使用するときでさえ実行できなくなる)にするバグをもたらした。Microsoftは謝罪し、これらの問題を修正すると発言している。この問題は、MJPEGやH.264ビデオ フォーマットのどちらかを使用している多くの人気あるWebcamに影響を与えている。この問題の修正は9月に予定されている。
 Microsoftは、コメントの求めに応じていない。


新しいAlma Locker身代金要求型マルウェアはRIG Exploit Kitを介して拡散している
BleepingComputer : News>Security (2016/08/22)
 Alma Lockerと呼ばれる新しい身代金要求型マルウェアが、Proofpointの研究者Darien Hussによって発見された。この身代金要求型マルウェアは、犠牲者のデータを暗号化し、5日以内に身代金 1 Bitcoinを要求する。最近多くの身代金要求型マルウェアがリリースされているが、有難いことに、それらの多くは、実装を破壊されたり、コマンド&コントロール サーバを停止させられたりしてきた。Alma Lockerは、その実装中に幾つかのバグがあるものの、最近リリースされたもので、TORコマンド&コントロール サーバで動作し安全な暗号化アルゴリズムを持つ数少ないものの一つである。
 残念ながら、現時点で、犠牲者のファイルを無料で復号するために利用可能なAlma Lockerの弱点は知られていない。そうは言うものの、私と他の者は、弱点を探し続けるだろう、あなたが、疑問やコメントを持ったのであれば、Alma Locker Ransomware Help & Support Topicに遠慮無く投稿しなさい。

Alma Lockerは、どのようにコンピュータを暗号化するのか

 Alma Locker身代金要求型マルウェアは、現在RIG Exploit Kit(サイバー攻撃大辞典へのリンク)を介して拡散している。一旦インストールされると、Alma Lockerは、暗号化されたファイルに追加するランダムな5文字の拡張子と、8文字の犠牲者IDを生成する。この犠牲者IDは、C:\ ドライブのシリアル番号と、最初のネットワークインターフェースのMACアドレスに由来している。
 Alma Lockerは、特定の拡張子の付いたファイルに関して犠牲者のドライブレターを検索し、AES-128暗号化を使用して、それらのファイルを暗号化する。ファイルを暗号化すると、この身代金要求型マルウェアは、暗号化したファイルに、事前に生成していた拡張子を追加する。例えば、犠牲者に関連付けられている拡張子が .a5zfn であれば、このファイル名が test.jpg であるとすると、暗号化されたファイルの名前は、test.jpg.a5zfn になるだろう。
 Alma Lockerによってターゲットにされているファイルは以下である。

.1cd, .3ds, .3gp, .accdb, .ape, .asp, .aspx, .bc6, .bc7, .bmp, .cdr, .cer, .cfg, .cfgx,
.cpp, .cr2, .crt, .crw, .csr, .csv, .dbf, .dbx, .dcr, .dfx, .dib, .djvu, .doc, .docm,
.docx, .dwg, .dwt, .dxf, .dxg, .eps, .htm, .html, .ibank, .indd, .jfif, .jpe, .jpeg,
.jpg, .kdc, .kwm, .max, .mdb, .mdf, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12,
.p7b, .p7c, .pdf, .pef, .pem, .pfx, .php, .png, .pps, .ppt, .pptm, .pptx, .psd, .pst,
.pub, .pwm, .qbb, .qbw, .raw, .rtf, .sln, .sql, .sqlite, .svg, .tif, .tiff, .txt, .vcf,
.wallet, .wpd, .xls, .xlsm, .xlsx, .xml

 ファイルを暗号化している間、Alma Lockerは、以下の文字列を含むフォルダ中に配置されているファイルをスキップする。

$recycle.bin
system volume information
program files
programdata
program files (x86)
windows
internet explorer
microsoft
mozilla
chrome
appdata
local settings
recycler
msocache
Unlock_files_

 暗号化プロセスの間、Alma Lockerは、Base64でエンコードされた情報(AES-128秘密復号鍵、暗号化されたファイル拡張子、ユーザ名、アクティブなネットワークインターフェースの名前、システム ロケールID(LCID)、オペレーティングシステムのバージョン、犠牲者ID、Windowsに登録されているセキュリティソフトウェア、この身代金要求型マルウェアが起動した時のタイムスタンプ)を、この身代金要求型マルウェアのコマンド&コントロール サーバに送信する。
 これが終了すると、この身代金要求型マルウェアは、犠牲者のファイルに発生したことを説明する脅迫文を表示する。


Alma Locker脅迫文

 この脅迫文は、TOR身代金支払いサイトへのリンクと、復号プログラムをダウンロードするためのリンクを含んでいる。この復号プログラムが実行されると、このプログラムは、コマンド&コントロール サーバに接続し、現在の身代金額、支払いが受け取られたか否か、5日間(120時間)のカウントダウン中で残り何時間なのかのような情報を取得する。


Alma Locker復号プログラム

 現時点で、120時間のカウントダウンが完了すると、身代金額がどれくらい増加するのかは分かっていない。

Alma Locker支払いサイト

 この脅迫文は、犠牲者がファイルを復号することができることを証明するために幾つかのファイルの復号を実行できるTORサイトへのリンクを含んでいる。


Alma Locker支払いサイト

 残念ながら、この無料の復号は、以下に示すように、internal server errorを示すだけなので、現在動作していないことは明らかである。


無料の復号に関するinternal server error

Alma Locker関連ファイル

Unlock_files_[random_extension].html
Unlock_files_[random_extension].txt

IOC

Network: jjuwnj2ejjmafg74.onion
SHA256 Hashes: 11f2c3d0dbc00e65b90ab0b06dadf00a3d3ea4dc2fdbc9f3b4108c8e4e18a2ab


Windows 10 のアップデートはWebcamの動作を停止する
The BBC : Technology (2016/08/22)
 Windows 10 のアップデートが多くの人気あるWebcamの動作を停止していた。
 今月の定例アップデートは、Skypeやブロードキャストとストリーミング ビデオ用に使用されている多くのカメラを停止していた。
 この問題は、Windows 10 が、一度に複数のプログラムによって使用されることができるように、ビデオを取り扱う方法を変更したためのようである。
 Microsoftは、修正で動作するようにすると発言しているが、このパッチが利用可能になる日時は与えていない。

「拙い仕事」

 8月上旬、Windows Update 1607が配布されると直ぐに、多くの人々が、Microsoftのサポートサイトを介してWebcamの問題を報告し始めた。このトラブルは、USBケーブルを介して接続されたWebcam、もしくは同一ネットワーク上に接続されている両方のWebcamに影響を及ぼした。これは、ビデオがストリームされない、もしくは、暫く画像がフリーズすることを意味していた。
 この問題は、SkypeとLync(両社ともMicrosoftによって所有されている)でのWebcamの動作にさえ影響を与えた。
 このサポートスレッド上でのコメントは、数百万の人々が、このバグによって不便を被っていることを示している。幾つかの会社は、インターネットバンキング用にWebcamを使用している顧客が最早取引状況を確認できなくなったとするクレームをつけてきたと発言している。
 Analysisは、Windows 10 が動作するビデオ エンコーディング システムを変更したことを非難している。このアップデートは、撮影している時複数のアプリケーションがビデオを使用することを可能にしていた二つの広範に使用されていたエンコーディング システム用のサポートを終了している。このアップデートに先立って、Windows 10 は、一つのアプリケーションだけがストリームにアクセスできるようにしていた。
 このサポートスレッドでクレームに対応しているMicrosoftのカメラ・エンジニアは、Microsoftが人々に変更を知られてしまう「拙い仕事」をしたと発言している。
 「我々はヘマをしたので、私は、貴方がた全てに謝罪を申し出たい」と、彼は発言している。
 彼は、Microsoftが、この問題を修正する方法を作業中なので、再びWebcamは動作すると追加している。この修正は、多分9月にリリースされるだろう。
 Microsoftは、この問題に関する公式のコメントを未だリリースしていない。
 Microsoftがアップデートを取り扱う方法を変更したことはまた、この問題の修正をより困難にしているかのようである。Update 1607に先立って、Windows 10 ユーザは、それをインストールしてから30日以内に元のバージョンに戻すことができた。このアップデートは、人々がWebcamが動作していた早期のWindows 10 のバージョンに戻すには、殆どチャンスのない10日にしていた。


Cerber身代金要求型マルウェアの開発者は、Check Pointの復号サービスを打ち負かす変更を実行した
BleepingComputer : News>Security (2016/08/18)
 僅か一日で、Cerber身代金要求型マルウェアの背後にいる開発者は、犠牲者のファイルを無料で復号するCheck Point Softwareの復号サービスをブロックするように変更を行った。同時に、このCerber開発者は、彼等の支払いシステムにログイン用のキャプチャを追加した。このキャプチャは、彼等のサーバの欠陥の利用を自動化できないようにするものである。
 残念ながら、これは、CerberDecrypt.com サイトへの訪問者が、復号キーを取得することが可能であった有用なフォームに歓迎されないことを意味しており、このサービスは最早利用可能ではないと述べている。


CerberDecrypt.comの訪問者への挨拶

 Check Pointが、Cerberのバージョン 1 と 2 を復号可能とアナウンスした時、我々は、Check Pointがマスター復号キーを手に入れたと思っていた。我々は間違っていた。Check Pointの方法は、身代金要求型マルウェアのコマンド&コントロールサーバ中の脆弱性を利用していたことはほぼ間違いない。
 私は、この開発者による何らかの変更やメッセージが存在するか否か確認するために、Cerberの支払いサイトに着目し、新しいキャプチャ システムに気がついた。このキャプチャ システムは、手描きの顔のようなもので満たされており、あなたは一致する顔を選択する必要がある。私が、これをテストした時、認証される前に、三つのステージを完了する必要があった。
 このCerberキャプチャシステムは、以下である。


Cerberキャプチャ

 この新しいキャプチャは、本日追加されたのは、Check Pointの自動化されたサービスを妨げるために実装されたのではないかと、私は推測している。これはまた、このフローが依然としてアクセス可能であるので、キャプチャによって妨げたのか、単なる追加のセキュリティ機能なのか、分からないでいる。残念ながら、Check Pointは、彼等が使用したこの脆弱性を明らかにしていないので、彼等だけが、これを確かめることができる。

巨大な身代金要求型マルウェアのキャンペーンが、米国と日本の病院を攻撃していると、FireEyeが警告している
The Register : Security (2016/08/18)
 FireEyeの研究者Ronghwa Chongによると、危険で未だ打ち負かされていないLocky身代金要求型マルウェアが、巨大な数の攻撃を米国と日本の病院に浴びせている。
 Lockyは、身代金の支払い、もしくは、犠牲者のデータを損失させることをユーザに強制させるために、ファイルを暗号化するよく知られている身代金要求型マルウェアの変種である。
 今月既に、健康部門は、むき出しのLocky身代金要求型マルウェアのフィッシング攻撃の巨大なスプレーで、益々打たれている。
 「8月中ずっと、FireEye Labは、Locky身代金要求型マルウェアを拡散する幾つかの巨大いなeMailキャンペーンを観察していた」と、Chongは発言している。
 「このキャンペーンは、様々な産業に影響をあたえるが、我々の遠隔測定に基づくと医療産業が最も激しく攻撃されている。」
 「Locky身代金要求型マルウェア ダウンローダの量は、増加中であり、このキャンペーンに使用されているツールとテクニックは恒常的に変更されている。」
 Chongは、この活性化がLocky用のDridexトロイを変更するペイロード(【訳注】 一つのミサイルに搭載できる爆発物の総量を意味する言葉です。マルウェアに適用すると、一つのマルウェアが搭載できる悪意の総量くらいの意味になります)をスワップして来たためであるように思われると発言している。
 FireEyeが数字を示しているように、8月09と11日の巨大な攻撃と、小さめではあるが依然として大きな月曜日のフィッシング攻撃で、マルウェアの荷送人は、LockyをバンドルするためにJavaと決別し、添付ファイルをDCOMフォーマットに変更している。


Lockyフィッシングの巨大攻撃

 各eMailは、コマンド&コントロール サーバから犠牲者のマシンにLockyをダウンロードするために使用される一意のキャンペーンコードを持っていると、Chongは発言している。
 「これらの最新のキャンペーンは、eMail添付ファイルを開くときには、ユーザが注意しなければならないし、それらが感染のリスクを実行し、営業活動を破壊する可能性があることを思い起こさせる。」 先月、Lockyは、第二四半期においてeMailベースマルウェアで首座を奪い、Dridexを追い越した。
 セキュリティ企業Proofpointは、第二四半期において、悪意あるドキュメント添付ファイルを使用した69%のeMail攻撃が、Locky身代金要求型マルウェアを主役にしていた(第一四半期では24%)。
 これは、Lockyが、犠牲者と羊の皮を被った狼の間のコミュニケーション トラフィックを覗いてホワイトハットを止めるために、Pretty Good Privacy(【訳注】 メールの暗号化に使用されている暗号化プログラム)暗号化を使用することを可能にするようにLockyのアップグレードによるものである。
 Lockyはブラックハットだけのツールではない。セキュリティのIvan Kwiatkowskiは、ペテン師達が彼の両親から金品を巻き上げようとした後、このインドのテクニカルサポート ペテン師のコンピュータを感染させるためにLockyを使用した

Check Pointが、Cerber身代金要求型マルウェア用の復号プログラムをリリースした
BleepingComputer : News>Security (2016/08/16)
 Cerber身代金要求型マルウェアに感染し、身代金を支払わないことを決定した人々のために、我々は素晴らしいニュースを得た。本日、Check Pointは、Cerber身代金要求型マルウェアのバージョン 1 と 2 用の復号サービスをリリースしたので、犠牲者は、復号キーを取り戻し、彼等のファイルを無料で復号することが可能になった。この身代金要求型マルウェアによって暗号化されたファイルタイプは、末尾に .CERBER と .CERBER2 拡張子を持っている。


CheckPointのCerber復号サービス

 現時点で、Check PointがCerberファイルをどのように復号できるようにしたのかは未知であるが、彼等が、暗号化アルゴリズムの脆弱性を発見したのではなく、Cerberバックエンドへのアクセスに基づき、マスター復号キーを取得することができたものと思われる。このマスター復号キーを使用することで、彼等は、アップロードされた暗号化されたファイルから犠牲者の一意のキーを抽出することができる。

.CERBER と .CERBER2 ファイルを復号する方法

 このサービスを使用するには、犠牲者は、CerberDecrypt.comサイトを訪問し、1MB以下の暗号化された .CERBER もしくは .Cerber2 ファイルを アップロードしなければならない。このファイルをアップロードすると、Check Pointは、あなたのコンピュータに関連付けられている秘密鍵を抽出し、それをダウンロードできるようにする。犠牲者は、pk と名付けられた秘密鍵ファイルと復号プログラムを同じフォルダにダウンロードしなければならない。
 犠牲者が二つのファイルをダウンロードしたら、復号するためのファイルに関してコンピュータのスキャンを開始するために、この復号プログラムをダブルクリックする。


Cerber復号プログラム

 このCheck PointのCerber復号プログラムは、暗号化されたファイルに関してコンピュータをスキャンし、それらを復号する。このネットワーク上の暗号化されたファイルが検出されたことを示すユーザインターフェイス中に、バグがあることが明らかになっていることに注意しなさい(ネットワークに接続していない人々の場合でさえ)。このバグは無視して差し支えない。
 あなたのファイルの復号が終了すると、犠牲者は、ディスクが復号されたと宣言するメッセージを表示される。臨時ボーナスとして、この復号プログラムは、Windowsデスクトップに配置されていない、あらゆる脅迫文を削除する。


復号完了

 犠牲者のファイルは、これで復号されたはずである。


善意に基づくコンピュータのハッキングは、Windowsユーザ アカウント コントロールをログビューア データに表示した
The Register : Security (2016/08/16)
 Windows中のユーザ アカウント コントロール機能は、研究者Matt Nelsonによって、ターゲットマシンに .DLL を植え付けることさえせずに穴を開けられた。
 この投稿において(警告、大変難解)、Nelsonは、、レジストリプロセスをハイジャックする、PowerShellを起動する、コマンドを実行することで、Windowsイベント ビューアーを悪用できることを発見した。
 Matt Graeberとの作業で、Nelsonは、ターゲット システムを欺いて信頼性の高いプロセスとしてPowerShellを実行することができた(この概念の実証で「犠牲者」を効果的にp0wningしている)。そして、ターゲットに密告ファイルを残す必要なしにPowerShellへのアクセスを取得した。  以下に、このハックが実行された方法を掲げる。
 私が起動されたプロセスをハイジャックすることができたという事実により、あなたは、希望する如何なるPowerShellスクリプト/コマンドも単純に実行することが可能である。これは、コードの実行が、ファイルシステムにDLLや他のファイルを投下することなく、高い信頼性のあるプロセス(UAC、ユーザアカウント コントロールをバイパスする)で達成されることを意味している。これは明らかに、アンチウィルス/HIPS(【訳注】 任意のシステムレジストリ / プロセス / アプリケーション / ファイルに対して、変更の可否などのルールを定義する(ESETより))や、後に法医学的に同定することによって捕獲することのできる伝統的なファイルを、ファイルシステム上に配置しないために、攻撃者のリスクを減少することになる。
 概念の実証はGitHubに存在している。
 攻撃者は、このバイパスが動作するように既にセキュリティ侵害された犠牲者のマシンを必要とするだろうと、NelsonはThreatPostに告げている。
 システム上に悪意あるファイルを置く必要なしに動作するだけでなく、Nelsonは、彼の攻撃が、(セキュリティ ソリューションが気がつくかもしれない)如何なるプロセスも挿入することなく動作することを注意している。そして、「代わりにメモリでコードを実行するために既存の信頼されるMicrosoftバイナリを単純に使用することが可能である」ので、要求される特権ファイル コピーは存在しない。
 Nelsonは、PoC(Proof-of-Concept、概念の実証)がWindows 7 と Windows 10 でテストされたが、多分、UACを実行しているあらゆるWindowsで動作するだろうと発言している。彼は、UACを「常に通知する」に設定するように、そして、もちろん、現在のユーザを管理者として実行しないように提案している。


Windows認証リーク フローと、これを防御する方法を理解する
BleepingComputer : News>Security (2016/08/05)
 今週、訪問者のWindowsログイン名とパスワードへのアクセスをカンタンに取得するために、Webサイトによって使用可能なWindowsのフローに関する多くのニュースがあった。私が、このフローをテストした時、このフローは、完全な恐怖であった。このフロー用のテストサイトを使用してみると、このサイトは、私のテスト用のMicrosoftアカウント ログイン名と、そのパスワードのハッシュを数秒で取得することが可能であった。次に、このサイトはパスワードのクラックに30秒と掛からなかった。更に恐ろしいことには、このフローは新しいものではなく、1997年03月に発見されていたことである。


テストは、私のアカウント情報とパスワードを示している。当然、私はパスワードを既に変更している。

 このフローに関するニュースは、最近、VPN企業Perfect PrivateとValdikSS(ロシアのVPNサービスProtoVPNに属している)によって再び報告された。彼等は、訪問者が影響を受けるか否か、パスワードを変更しなければならないか否かを決定することができるように、このフローをデモするテストサイトをセットアップした。私は、このようなテストで彼等がどのような情報を保持しているのか分からないので、彼等が、あなたの情報を検出可能であったのであれば、あなたのパスワードを変更するだろう。あなたが、このフローに対する脆弱性があるのか否か、テストするために使用できるWebサイトは以下である。

http://msleak.perfect-privacy.com/ (Perfect Privacyのテストページ)
http://witch.valdikss.org.ru/ (ValdikSSのテストページ)

 過去において、このフローは深刻であったが、多くの人々がWindows 10を使用しMicrosoftアカウントでログインしている現在、極めて危険なものになっている。Microsoftアカウントの使用で、インターネットで使用される認証は、現在、このフローを介してより簡単に露出される。更に、大変多くのユーザが、他のサービスを実行するとき、その認証に、彼等のMicrosoftアカウントを常用してしているので、ハッカーは、犠牲者が使用している多くの他のサイトへのアクセスを取得する可能性がある。これは、犠牲者のeMailアカウント、銀行口座、政府勘定、業務用顧客等がセキュリティ侵害される可能性があることを意味している。
 このバグは、ユーザがファイルにアクセスするためにリモートSMB共有ネットワークをなんとか取得しようとすることによって動作する。あなたが、SMB共有に接続した時、Windowsは、その共有に自動的にログインしようとして、あなたのユーザ名とハッシュされたパスワードを自動的に送信する。この問題は、この共有がネットワークやインターネットがOFFになっている場合でさえ、これが発生するということである。これで、この問題が分かっただろうか?
 本質的に、攻撃者が実行する必要のある唯一のことは、彼等の制御下にあるSMBサーバ上にホストされた画像へのリンクを含むWebページを作成することである。次に、彼等は、このサーバに対して渡された認証をモニターし、次に、明らかにされたパスワードハッシュをパスワード クラッキング プログラムで実行することができる。多くの人々が極端に脆弱なパスワードを使用しているために、これらのプログラムは、恐ろしく簡単にパスワードをクラックすることができる。先述した数秒とは、脆弱なパスワードが4秒以内にクラックされたということを、私は意味している。


クラックされたパスワード

 残念ながら、Microsoftは、このフローに関するアドバイザリをリリースしていない。私と他のサイトがMicrosoftに尋ねた時、我々全員同じ内容の対応を得た。

 我々は、この情報収集テクニックに気がついている、そして、これは今までに2015年の文書で説明されている。Microsoftは、顧客を保護するための手助けとなるガイダンスをリリースしているし、必要なら、さらなるステップを採るだろう。--- Microsoft広報担当

 残念ながら、このフローを軽減するための多くの適切な情報は世の中に存在していない。Microsoftは私が作業できる有用な情報を実際には何ら提供していない。Perfect Privateは、Microsoft Edge と Internet Explorerから極力離れるようにアドバイスしている。私は、適切な方法があることを認識した。私は、探しまわった、そして、この情報が漏洩されることを防ぐ幾つかの方法を発見した。

EdgeとInternet Explorerがログイン情報を明らかにすることを妨げるには

 以下は、Windowsとアプリケーションが、リモートサーバにログイン認証を明らかにすることを妨げるためにユーザが使用できるテクニックである。Windowsのあらゆるアプリケーションが、あなたの認証を明らかにすることを妨げるには、リモートサーバに対してアウトゴーイングNTLMトラフィックを無効にする特定のWindowsポリシーを設定する必要がある。Windows Homeユーザに関しては、これらのポリシーは、レジストリを介して設定する必要がある。Windows Pro以上のユーザは、グループ ポリシー エディタを介してこのポリシーを設定することができる。
 あなたが、このポリシーを有効にすると、NTLMトラフィックは、リモートサーバに対して送信されない。そして、これは、企業や共同環境で問題を発生する可能性がある。この問題を解決するには、あなたは、この制限に例外を追加することを可能にする別のポリシーを設定することになる。詳細な情報は、このセクションの後の方で発見されるだろう。

アップデート(2016/08/07): Homeユーザが以下のポリシーを有効にするために使用するレジストリキーを含むように軽減情報をアップデートした。

NTLM認証をリモートサーバに対して送信されることを防止するためにWindowsレジストリを使用する

 あなたがWindows Homeを使用しているのであれば、必要なWindowsポリシーを追加するためにグループ ポリシー エディタにアクセスする必要はない。代わりに、あなたはWindowsレジストリを介してそれらを追加することになる。Windowsレジストリ エディタを使用したくない人々のために、私は、NTML認証を、リモートサーバに対して送信することを無効にするために使用することのできるレジストリファイルを、こちらに作成した。あなたがサーバ例外を追加する必要があるのなら、以下の指示に従う必要があるだろう。
 これを実行するには、C:\Windows\regedit.exe プログラムを起動することで、Windowsレジストリ エディタを開きなさい。次に、以下に示したように、こちらのパス(HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0)に移動する。


MSV1_0 レジストリキー

 此処で、上に示したように MSV1_0 キーを右クリックし、新規作成、次にDWORD(32-bit)値を選択する。新しい値が作成され、Windowsは、以下に示したように、これに名前をつけることを促してくる。


新しい値に名前をつける

 RestrictSendingNTLMTrafficと入力し、キーボードのEnterキーを押して名前付けを終了する。あなたは今、MSV1_0 キーの下にRestrictSendingNTLMTrafficと名付けられた新しいレジストリキーを確認できるはずである。ここで、RestrictSendingNTLMTraffic値をダブルクリックし、この値のためのデータを入力するダイアログを表示する。


RestrictSendingNTLMTraffic値を編集する

 Value dataフィールドに、2 を入力する。これは、全てを拒否することを意味している。次に、OKボタンを押す。Windowsは最早NTLMトラフィックをリモートサーバに対して送信しない。あなたが他の認証リーク テストを実行したなら、そのテストは、最早脆弱性が存在していないと宣言するはずである。


脆弱性なし

 これで、Windowsレジストリ エディタを終了し、通常通りコンピュータを使用することができる。
 あなたが、特定のリモートサーバが、このコンピュータからのNTLMトラフィックを受け取ることを可能にする必要があるのなら、あなたは別のレジストリキーを作成する必要がある。今までの指示を使用して、あなたは、HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\ に ClientAllowedNTLMServers と呼ばれる新しい値を作成することになる。この値を作成するとき、MultiString Value もしくは REG_MULTI_SZ として、この値を作成しなさい。
 そのデータを入力するために、この値の上をダブルクリックすると、ボックスが表示されるので、テキストを追加することになる。表示されたボックスに、あなたがNTLMトラフィックを送信することを許可したいサーバの名前を追加する(夫々独自の行で)。

NTLM認証をリモートサーバに対して送信しないようにするためにグループ ポリシー エディタを使用する

 Microsoft EdgeとInternet Explorerが、あなたのアカウント認証をリークすることを防止するには、Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers(ネットワーク・セキュリティ: NTLM制限: NTLMトラフィックをリモートサーバに出力する)と呼ばれる特別なポリシーを有効にする必要がある。このポリシーは、SMB共有にアクセスする時、Windowsがリモートサーバに認証を送信することを妨げる。私のコンピュータでのテストでは何の問題もなかったが、これは共同環境では問題を発生させる可能性がある。それ故、この変更を生成する前にテストを実行しなさい。私が以下に説明する別のポリシー(あなたが特定のサーバをホワイトリストすることを可能にすることで、認証は通常通り送信される)がある。
 このポリシーを有効にするには、グループ ポリシー エディタを開き、以下に示すように、Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options > Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers に移動しなさい。


Restrict NTML Outgoing Policy

 このポリシーを有効にするには、Network security: Restrict NTLM: Outgoing NTLM traffic to remote serversをダブルクリックし、以下に示すように Deny all に設定する。あなたはまた、あなたが、どのリモート サーバに認証を送信しているのかを示すWindowsイベントログを生成するために Audit All を選択することもできる。これは、この記事で後述する別のポリシーでホワイトリストを作成するために使用される。


Restrict Outgoing NTLM Traffic

 これで、あなたはアウトゴーイング NTLMトラフィックを規制したので、Windowsは最早、あなたのNTLM認証をリーモート共有に送信することはない。あなたは、この記事で先述した認証リークテストサイトの一つを訪問することによって、これをテストすることができる。このサイトは、このコンピュータには脆弱性が存在しないと告げてくるはずである。


テストは、最早脆弱性が存在しないと示している

 認証をリモートサーバに対して送信する必要のある人は、このポリシーを有効にするを通じて特定のサーバをホワイトリストに追加しなさい。グループ ポリシー エディタを開き、以下に示したように、Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options > Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication に移動しなさい。


NTLM認証ポリシーに例外のリモートサーバを追加する

 このポリシーを有効にするには、Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication をダブルクリックし、あなたがホワイトリストに希望するサーバを追加しなさい。この設定は、通常通り、認証はこれらのサーバに送信することを許可する。


アウトゴーイングNTLMトラフィックに関する例外の追加

 あなたのコンピュータは、NTLM認証リークから、これで保護され、同時に、必要なときにリモートSMBサーバを使用することができる。
 Internet ExplorerでインターネットWindows認証は無効化された。

Avastアンチウィルス アップデートの下でWindows 10 アニバーサリ アップデートはクラッシュする
The Register : Security (2016/08/09)
 Avastは、一部のシステムでWindows 10 をクラッシュさせるアップデートによって発生する「死のブルースクリーン」を取り去る緊急の修正をリリースした。
 このパッチされたパッチは、Intel Skylake Virtualization Technology マシン上のWindows 10 アニバーサリ アップデートとのコンフリクトによって発生するカーネルパニックを修正している。
 新しく、もしくは既存のAvastがインストールされている一部のマシンに送信されたMicrosoftのアップデートは、8月02日から「死のブルースクリーン」のスパイラルを発生させているが、ほとんどのユーザは影響を受けない。
 Avastの品質管理部長Petr Chytilは、ドライバ設定が予期しないクラッシュを発生させたと発言している。
 「我々の大多数のユーザは問題を持っていないが、特定のハードウェア構成は、このアップデートと上手く混在しない」と、Chytilは発言している。
「具体的に言うと、Windows 10 アニバーサリ アップデートは、BIOSで有効にされているIntel TVの付属するSkylakeファミリーのIntel CPU上の我々のaswvmm.sysドライバと結合する、その結果、『死のブルースクリーン』に帰結した」
 「これは、Windowsの以前のバージョンから、Windows 10 アニバーサリ エディションにアップグレードしている間に、そして、既にアニバーサリアップデートを実行しているシステム上にAvastアンチウィルスのクリーンインストールをしている間に発生する。」
 彼は、フォーラムで「死のブルースクリーン」を報告したユーザに感謝している。最終のパッチは、8月05日にリリースされた。
 「死のブルースクリーン」クラッシュは、アンチウィルス エンジンのお気に入りの道楽である。殆ど全てのアンチウィルスは、ユーザにカーネルパニックを配布している。

Windows 10アニバーサリ アップデートに、他のパーティションを削除する可能性
OMG! Ubuntu! : News (2016/08/03)
 ギャー、あなたのPCで、Windows 10 アニバーサリ アップデートを計画しているのであれば、特別な注意を払わなければならないかもしれない。
 MicrosoftのOSの最新バージョンは、このOSを望んでいないユーザにWindows 10を強制するという内容ではない注意問題を持っており、他のオペレーティングシステムを完全に殺すという思い切った措置さえ取っているかのようである。
 現在、例え逸話的であろうとも、ソーシャルメディアで浮上してきている報告は、Windows 10アニバーサリが、同じディスク上の他のパーティションに干渉し、影響し、削除する場合さえあるかもしれないことを示唆している。
 USBドライブに接続している内容が削除されたと不満を漏らしている者もいる。
 これらの情報が正確なら、様々な異なるファクターが、これらのケースにおいて作用しているかもしれない。これは大変ショッキングなシチュエーションである。
 アップデートの欠陥のあるブートローダーは、一つのことである(予期されていた)が、データの損失、パーティション全体の損失は思いもよらなかった。
 以下に特集したツイートしている一部の人々は、奇妙な言語で助言しているので、作業に潜在的危険があるかもしれない(あなたはデータのパーティション全体を失う可能性を予期しておかなければならない)。

H5Sのtweet 2016/08/03-6:44AM

 私がWindows 10をインストールしたら、なんにも尋ねられることもなしに、私の他のドライブの全てのものを削除した。

Alan PopeのTweet 2016/08/03-9:23PM

 Windows 10 アニバーサリ アップデートが、何も尋ねることなく他のパーティション(Linuxパーティションを含む)を削除するという複数のレポートを確認した。

Tamer ElsayedのTweet 2016/08/03

 仕事時間中にアプデートするな。既に50分経った。

Tamer ElsayedのTweet 2016/08/03-9:06PM

 チクショウ、私を苦境に陥れた失くなったパーティションを復元中である、Windows 10 なんと酷いんだ。

 このレポートされている問題に関してMicrosoftからの公式の説明はない。これらの問題は、個別の問題の可能性もあるし、特定のセットアップ固有の問題かもしれない。
 あなたは、Linuxディストリビューションと並行してWindows 10アニバーサリ アップデートをインストールしたか? 何か影響があったか? あなたの話を我々に知らされたい。
 OMG! Ubuntuのフォロワーの一人二人が、不機嫌ではあるがユーモアのあるサポートアドバイスを素早く提供してくれた。

OMG! Ubuntu!

 あなたがアップデートする予定なら注意しなさい。

Dmitri Goosens 2016/08/03-9:36PM

 パーティションをWinblow(【訳注】 マイクロソフトをマイクソソフトと言うような嫌う場合の言葉遊び。この場合は、Windowsフォーマット以外という意味)でフォーマットするといいよ。とっても健康的。


Lockyの変種Zepto身代金要求型マルウェアがWSFファイルを介して拡散している
BleepingComputer : News>Security (2016/08/01)
 ここ一週間程に渡り、Zepto身代金要求型マルウェアと名付けられたLockyの変種に関する新たな拡散キャンペーンが進行中である。今まで、Zepto身代金要求型マルウェアのインストーラは、ZIP圧縮されたJSファイルを使用して拡散している。現在、このインストーラは、バンキング レポート、請求書、発送先情報を装うeMail中のZIP圧縮されたWSFファイルとして送信されている。


Zeptoインストーラを含むeMail

WSF(Windows Script Files)ファイルは、Windows Script Hostによって実行されるファイルであり、同一ファイル中に複数の言語を使用したコードを含むことができる。ZeptoキャンペーンはWSFファイルを使用しているが、私が確認した添付ファイルは、この身代金要求型マルウェアをダウンロードしインストールするためのJscriptコードをだけを使用していた。
 この身代金要求型マルウェアがインストールされると、あなたの全てのデータファイルを暗号化し、それらをリネームするので、もはや、オリジナル名は認識されず、.zept拡張子を含むことになる。暗号化されたフォルダの例を以下に示す。


Zeptoで暗号化されたフォルダ

 残念ながら、この時点で、無料でZepto / Locky 暗号化されたフォルダを復号するための方法は存在していない。


Chimera身代金要求型マルウェアの復号キーが、Petya開発者によってリリースされた
BleepingComputer : News>Security (2016/07/26)
 MischaPetya身代金要求型マルウェア背後の開発者は、Chimera身代金要求型マルウェア用の約3500の復号キーをリリースした。これらのキーは、16進数フォーマットであるが、通常フォーマットに変換することができ、セキュリティ企業や専門家による復号プログラムで使用することができる。


Chimeraリーク

 Chimera身代金要求型マルウェアは、もはや活動していないし、Chimera復号プログラムを作成するために、これらのキーを使用するだろうと宣言した者もいないが、わたしは、誰かが直ぐにリリースするだろうと期待している。
JANUS
 @JanusSecretary
今、リークされた#chimera #身代金要求型マルウェアのキーが公開された:
pastebin.com/7HrZCsmT @hasherezade
11:51 PM - 26 Jul 2016

 Petya開発者によると、Mischaは、Chimera身代金要求型マルウェアのソースコードの一部を使用しているが、他には、この身代金要求型マルウェアとの提携はない。この開発者によると、ある時点で、彼等はChimera開発システムへのアクセスを取得した、そして、彼等独自のプロジェクト中にChimeraのコードの一部を使用した。
 解析者が既に検出しているように、Mischaは、Chimeraソースの一部を使用している。我々は、Chimeraの背後にいる人物達に接触していない。今年の初め、我々は、彼等の開発システムの大部分へのアクセスを取得した。そして、我々のプロジェクト中にChimeraの一部を含めた。
- @JanusSecretary
 彼等がアクセスを取得している間に、Chimeraのコードと共に復号キーも取得しているだろう。復号プログラムがリリースされたら、我々は、ここBleepingComputerで必ず皆に知らせる。


Stampado身代金要求型マルウェアは、キャンペーンを始める前に復号された
BleepingComputer : News>Security (2016/07/22)
 Stampadoが、Webの闇で僅か39 USDで販売されていることが発見されたが、利用可能なサンプルはなかった。私は本日、VirusTotal上にStampadoの二つのサンプルを見つけた。これらのサンプルがライブ拡散キャンペーンからのものなのか、配布者 / 開発者が、セキュリティプログラムによって、どのくらい検出されるのかテストするために登録したのか定かでない。面白いのは、Fabian Wosarによって既に復号プログラムが作成されているので、これらのサンプルは全く重要ではなかったことである。


Stampadoロック スクリーン

 けれども、我々が認識していることは、Stampadoが完全に機能的であり、AutoITスクリプト言語で記述されていることである。インストールされると、このマルウェアは犠牲者のファイルをAES暗号を使用して暗号化し、次にファイルを取り戻すための身代金を要求する。私が発見した二つのサンプルは、kek.exeとWifiHack.exeと名付けられていた。この時点で、身代金額は現在未知であり、犠牲者は、支払い指示を得るために指定されているeMailアドレスにメールする必要がある。

Stampadoによって暗号化されたファイルの復号方法

 EmsisoftFabian Wosarは、Stampadoのサンプルを解析し、この感染用の復号プログラムを作成している。Fabianの復号プログラムを使用するには、そのプログラムを、こちらのURL: https://decrypter.emsisoft.com/stampado からダウンロードする。ダウンロードしたら、この復号プログラムを実行する。ロックスクリーンに表示されている、あなたのIDとeMailアドレスを入力する必要のあるオプション画面が表示される。


復号プログラムのオプション画面

 要求されている情報を入力すると、あなたはDecrypterタブに戻され、あなたのファイルの復号を開始する。


ファイルの復号

 復号プログラムが復号を終了したら、このプログラム終了する。

StampadoがJigsawと関係している可能性

 弱い可能性ではあるが、JigsawとStampado身代金要求型マルウェアの間には幾つかの面白い相関関係がある。
 Stampadoの不快な「機能」の一つが、ロシアン・ルーレット(6時間毎に暗号化されたファイルをランダムに削除する)である。このルーレットのカウントダウンが 0 になる度に、削除されるファイルの量は二倍になる。これは、カウントダウンの間にJigsaw身代金要求型マルウェアによって展示されるファイル削除の増加挙動と同じである。身代金要求型マルウェアにおけるファイル削除は非常に稀なので、二つの身代金要求型マルウェア間に同じ挙動を確認したことは興味あることである。
 偶然に一致して、Michael Gillespieは、eMailアドレス stampado@narod.ru を含むJigsawの変種を昨日発見している。偶然の一致か否か?


Jigsawの背景画面は、StampadoのeMailアドレスを含んでいる

 大事なことを言い忘れていたが、Stampadoは、Jigsawと同じWebの闇サイトで販売されている。確かに、贔屓目に見ても、これらの関係性は弱いものであるが、私は、このことに言及することは、価値あるものだと感じている。

Stampadoが、犠牲者のファイルを暗号化している方法

 Stampadoがインストールされると、それ自身を %AppData%\scvhost.exe にコピーし、犠牲者の %UserProfile% フォルダの下に発見された特定のファイルタイプをAES暗号化を使用して暗号化する。ファイルを暗号化すると、暗号化したファイルに .locked 拡張子を追加する。これは、test.jpg と呼ばれるファイルが、test.jpg.locked と名付けられることを意味している。Stampadoによって現在ターゲットにされているファイルは以下である。
.jpg, .jpeg, .gif, .bmp, .c, .doc, .docx, .ppt, .pptx, .xls, .xlsx, .mov, .mp3,
.cpp, .au3, .pas, .php, .wav, .wma, .wmv, .mp4, .rar, .zip, .7z, .001, .html,
.pdf, .txt, .ai, .dmg, .dwg, .ps, .flv, .xml, .skp, .aiml, .sql, .cdr, .svg, .png,
.ico, .ani, .m4a, .avi, .csv, .d3dbsp, .sc2save, .sie, .sum, .ibank, .t13, .t12,
.qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .bak, .qic, .bkf, .sidn, .sidd,
.mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas,
.map, .wmo, .itm, .sb, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu,
.layout, .dmp, .blob, .esm, .001, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk,
.tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc,
.lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DayZProfile, .rofl, .hkx, .bar,
.upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf,
.slm, .bik, .epk, .rgss3a, .pak, .big, .unity3d, .wotreplay, .xxx, .desc, .py,
.m3u, .js, .css, .rb, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw,
.pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc,
.dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .cdr, .indd, .eps, .pdd,
.psd, .dbfv, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .pst, .accdb, .mdb, .pptm, .ppsx,
.pps, .xlk, .xlsb, .xlsm, .wps, .docm, .odb, .odc, .odm, .odp, .ods, .odt
 暗号化プロセスの間に、Stampadoは、%AppData% フォルダに32文字の16進数の名前を持つ二つのファイルを作成する。このファイルのうちの一つは、暗号化されたファイルのリストを格納するために使用され、もう一つは、この身代金要求型マルウェアによって使用されたステータス情報を含んでいる。
 暗号化が終了すると、Stampadoは、犠牲者を関連付ける一意のIDと、支払い情報を取得するために必要なeMailアドレスを含むロック スクリーンを表示する。この身代金要求型マルウェアによって使用されている現在のeMailアドレスは、ransom64@sigaint.com と paytodecrypt@sigaint.org である。犠牲者は、支払い指示に関して関連付けられているeMailアドレスにメールするように告げられる。そして、支払いが実行されると、犠牲者は、ファイルを復号するためにロック スクリーン中に入力するためのキーを受け取る。


Stampadoのロック スクリーン

 このロック スクリーン上に、Next Russian Roulette file deletion と Time until total loss と名付けられたタイマーがある。ロシアン・ルーレット カウントダウンが、0 になると、ランダムに選択された暗号化されたファイルが削除される。Russian Roulette(ロシアン・ルーレット)カウントダウンが 0 になる度に、暗号化されたファイルが削除される量は、二倍になる。Time until total lossタイマーが 0 になると、そのコンピュータ上の暗号化されたデータの全ては、削除されているだろう。
 既に述べたように、復号プログラムが既に作成されているので、Stampadoに身代金を支払う必要はない。

Stampado身代金要求型マルウェア関連ファイル

%UserProfile%\AppData\Roaming\[random]
%UserProfile%\AppData\Roaming\[random]
%UserProfile%\AppData\Roaming\scvhost.exe

Stampado身代金要求型マルウェア関連レジストリ エントリ

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update       %UserProfile%\AppData\Roaming\scvhost.exe

IOC

SHA-256 Hash: 342933cb4cbb31a2c30ac1733afc318a6e5cd0226160a59197686d635ec71b20
SHA-256 Hash: 78db508226ccacd363fc0f02b3ae326a2bdd0baed3ae51ddf59c3fc0fcf60669


AVGが、Bart身代金要求型マルウェア用の復号プログラムをリリースした
BleepingComputer : News>Security (2016/07/21)
 AVGは、ファイルをパスワードで保護されたZIPファイル中に格納するBart身代金要求型マルウェア用の復号プログラムをリリースした。Bart身代金要求型マルウェアは、DridexとLockyの背後にいる同一の動作主体によって作成されており、コマンド&コントロールサーバーとコミュニケーションすることなく犠牲者のデータをパスワード プロテクトする。これは、そのコンピュータがインターネットに接続していない場合でさえ、この身代金要求型マルウェアが、犠牲者のファイルをパスワード プロテクトすることを可能にする。
 AVGの復号プログラムの使用は大変簡単であるが、犠牲者にパスワード プロテクトされたZIPフォーマット中のファイルと、同一のオリジナルのファイルの両方を要求する。AVG復号プログラムは、これら二つのファイルを比較し、そのZIPファイル用のパスワードを総当りする。例えば、この復号プログラムを使用するために、私は、Windowsのサンプル画像 desert.jpg と、Bartで zip された比較対象 desert.jpg.bart.zip を使用した。
 私が通常実行していることは、デスクトップにフォルダを作成し、比較に使用されるサンプル(【訳注】 オリジナルと、パスワードでZIPされたものの二つ)を、以下に示すように同じフォルダに配置することである。


用意したフォルダ

 二つのサンプルを手にしたら、Bart復号プログラムをダウンロードし、実行する。あなたが、以下に示すオリジナルとZIPされたファイルが要求されるページに至るまでは、この復号プログラムの指示に従う。


パスワード クラック用に使用されるサンプルを追加する

 上の画面で、暗号化されたファイルとオリジナルのファイルを選択し、AVG Bart復号プログラムがZIPされたファイルのパスワードを試し、総当りする場所に至るまで Next ボタンをクリックし続ける。パスワードを総当りすることが可能になると、以下に示す画面が表示される。この復号ツールは、正しいパスワードを発見するには数日かかると述べているが、私のテストでは、51秒しかかからなかった。


クラックされたパスワード

 パスワードが発見されたら、ハードドライブ上のファイルの復号を開始するために、Next ボタンをクリックし続ける。ファイルの解凍が終了すると、この復号プログラムを閉じることになる。


復号完了

 この復号プログラムをリリースしたAVGに多大な感謝を捧げる。


BloodDollyによって、ODCODC身代金要求型マルウェアの復号プログラムがリリースされた
BleepingComputer : News>Security (2016/07/20)
 ODCODC身代金要求型マルウェアによって暗号化された犠牲者のファイルを無料で取り戻すことを可能にする復号プログラムが、身代金要求型マルウェアのエキスパートBloodDollyによってリリースされた。コマンド&コントロールサーバーは、もはや利用できないにも拘わらず、多くの身代金要求型マルウェアの犠牲者は、身代金を支払うことなく、復号プログラムが作成されることに希望を持って暗号化されたファイルを持ちづつけていた。今、これらの犠牲者は、ファイルを取り戻すためにBloodDollyの復号プログラムを使用することができる。
 ODCODC身代金要求型マルウェアの影響を受けている人々は、こちらのリンクからODCODC復号プログラムをダウンロードできる。ダウンロードしたら、ZIPファイルを解凍する。次に、進め方についての説明をしてある readme.txt ファイルを読みなさい。


ODCODC復号プログラム

 BloodDollyの readme.txt での説明として、ODCODCは、それが暗号化している夫々のハードドライブ パーティションに関してコマンド&コントロールサーバーから一意のキーをダウンロードしようとする。このマルウェアがコマンド&コントロールサーバーに接続できない場合、このマルウェアは、代わりに、それらがオフラインである間に、犠牲者のファイルを暗号化できる200の固定暗号化キーの一つをランダムに選択する。
 犠牲者は、readthis.txt脅迫文中に指定されているPCIDに注目することによって、攻撃者がオフラインキーを持っているのかオンラインキーを持っているのか決定することができる。このPCIDがJANKO-16098513X1781のようにXを含んでいるのであれば、オフラインキーが使用されている。この復号プログラムは、組み込みのキーを使用してファイルを復号することができる。
 他方、PCIDがJANKO-L3710254317のように X を含んでいないのであれば、BloodDollyは、暗号化されたファイルを使用して、キーを再現することができる。キーを再現するために、BloodDollyは、暗号化されたファイルとオリジナルのファイルのペア、もしくは暗号化された .doc, .xls, .ppt(.docx, .xlsx, .pptx 等ではない)ファイルの何れかを必要とする。BloodDollyは、これらのファイルを彼に送信する方法に関する指示も含んでいる、こちら
 適切なキーが決定されると、ユーザはODCODC復号プログラムを単純に実行することで、犠牲者のファイルは復号される。BloodDollyは、復号する前に暗号化されたファイルのバックアップを取るように、そして、全ドライブを復号をする前に、幾つかのファイルで復号テストするように推奨している。


ODCODC復号プログラムが復号を終了した

 私とODCODC身代金要求型マルウェアトピックにおける人々のテストでは、ODCODC復号プログラムは、暗号化されたファイルを首尾よく復号することが可能であった。このツールをリリースしたBloodDollyに感謝する。


Petya身代金要求型マルウェアの新しいバージョンが、暗号化アルゴリズムを修正してリリースされた
BleepingComputer : News>Security (2016/07/18)
 Petyaディスク暗号化身代金要求型マルウェアの新しいバージョンが、その暗号化アルゴリズム中の幾つかの欠点を発生させていたバグを修正してリリースされた。Malwarebytesのセキュリティ解析者Hasherezadeによると、Petyaの今までのバージョンは、Salsa20暗号化アルゴリズムを適切に実装していなかった。これは、ドライブを暗号化するために、正しい身代金用のキーが入力されたことを検証するために、この身代金要求型マルウェアによって使用されていた。
 この新しいバージョンでは、Petya開発者のSalsa20アルゴリズム実装は修正されている。これは利用可能な弱点を削除している。
 新しい#Petya #身代金要求型マルウェアが世の中に出ている。最終的に、正しくSalsa20アルゴリズムを実装している。用心し安全に。pic.twitter.com/jhtrj65EwE
hasherezade (@hasherezade) July 17, 2016
Petyaが依然としてPDFファイルを装うとしていることは明らかであるが、この身代金要求型マルウェアが拡散している方法や、これがどのようなファイル名を使用しているのかは定かでない。今までのバージョンのように、インストールされると、Petyaは、ディスク暗号化ツールをインストールするために、管理者権限取得しようとする。失敗した場合には、代わりに身代金要求型マルウェアを暗号化するMischaファイルをインストールする。


Petyaロック スクリーン

Petyaが今までのバージョンのように拡散しているのであれば、企業の人事部は、とりわけドイツ企業、Bewerbungsmappeのような名前を持つ履歴書を、あなたにダウンロードすることを要求するあらゆる申込者に対して用心深くなければならない。過去、この方法は人々を欺き、Petyaインストーラを実行するために使用された。


AVG, Symantec, McAfeeのセキュリティ製品中にフローが発見された
The Register : Security (2016/07/20)
 数百のセキュリティ製品は欠陥のあるコードフッキングの使用のおかげで、仕事になっていないかもしれないと、研究者達は発言している。
 この研究は、EnSiloの二人組Udi YavoとTommer Bittonの手仕事である。彼等は、来月のBlack Hat Las Vegasカンファレンスでの彼等のプレゼンテーションに先立って、アンチウィルスとWindowsセキュリティ ツール中のバグを顕にした。
 この二人は、AVG, Symantec, McAfeeの製品を含む15の製品が影響を受けると発言している。スコアは、彼等がMicrosoftのDetoursを使用しているおかげで低くなっているかもしれない。Microsoftによると、Detoursは、任意の Win32 関数を、x86、x64、IA64 の各種マシン上で計測するためのライブラリであり、ディスク上ではなく、メモリ上にある目的の関数のコードをシンプルに変更することにより、非常に高い精度レベルでバイナリ関数を傍受することができる(Microsoftのサイトより引用)。これは、100を超えるISV(【訳注】 コンピュータメーカ系列ではない、パッケージソフトウェアの開発・販売会社の総称、以前のサードパーティと同義)によってライセンスが取得されており、Microsoftの殆ど全ての製品チーム中で使用されている。
 この研究者達は、MicrosoftのEnhanced Mitigation Experience Toolkit (EMET) が影響を受けるか否か特定していない。
 攻撃者達が、脆弱性の持つ便益を収穫するためには、先立ってシステムにアクセスし、ターゲットのシステム上で実行されているセキュリティ プラットフォームを無力化ておく必要があるだろう。
 「我々は、不正なコード フッキングと挿入テクニックの実装に起因する、6つの異なる一般的なセキュリティ問題を発見した」と、この二人は発言している。
 「この問題は、15を超える異なる製品で発見された。」
 「実際には、数千の製品が影響を受けることを意味している。」
 Microsoftは、来月リリースできるよう、問題に対処するための支援となるDetours用のパッチを作成している。
 この二人は、末端セキュリティ製品全体とDuquトロイのような中間者攻撃マルウェアで、一般的な侵入ユーザモード フックを検証した。その多くに、悪用に対する脆弱性があったことを発見し「重苦しく」なっている。
 パッチすることは、影響を受けるセキュリティソフトウェアを再コンパイルする緩慢な過程になるだろう。


研究者による、身代金要求型マルウェア早期警戒検出システム
Kaspersky : Threat Post (2016/07/14)
 身代金要求型マルウェアに関する殆どの議論は、まさに新しい株や既存のサンプルの変種の衰えることのない殺到に関することである。比較的少数の論文が、アンチウィルスや侵入防御システムを越える検出に関して焦点を当てている。
 WindowsとMac OS X用に幾つかの一般的な身代金要求型マルウェア検出システムが存在しているが、これら検出システムの多くは、シグネチャ ベースであったり、それらをバイパスすることのできる他の制限を持っている。
 フロリダ大学とヴィラノヴァ大学の研究者チームは、彼等がより優れたマウストラップ(悪意あるコードの実行よりはむしろ身代金要求型マルウェアがデータを変換する方法に焦点を当てている)を構築したと確信している。彼等のユーティリティは、CryptoDropと呼ばれ、14の異なるファミリーからの現実世界に存在する約500の身代金要求型マルウェアに対するテストにおいて、比較的少数のファイルの損失(平均損失 10ファイル)はあるものの、100%攻撃を検出した(【訳注】 訳者の理解では、このシステムは暗号化が始まった後に、身代金要求型マルウェアを検出するためにタイムラグが存在しており、その期間中に暗号化されるファイルが平均10ファイル)。
 このツールは、フロリダ大学のNolen Scaife, Patrick Traynor, Kevin R. B. Butler, ヴィラノヴァ大学のHenry Carter によって執筆された ”CryptoLock (and Drop it): Stopping Ransomware Attacks on User Data” と呼ばれる論文中に記述されている。
 「我々のシステム(Windows用にのみ構築されている)は、その実行ファイル(例えば、APIコールの監視)やコンテンツを調査することによって、身代金要求型マルウェアを同定しようとする代わりに、変質を意味するかもしれないユーザデータの変更を監視する最初の身代金要求型マルウェア検出システムである。これは、拡散メカニズムや、それまでの穏やかな活動に関係なく、CryptoDropが疑わしい行為を検出することを可能にする」と、この研究者達は記述している。
 CryptoDropは、オハイオ州コロンバスにおける最近の IEEE 36th International Conference on Distributed Computing Systems で明らかにされた。この研究者達は、CryptoDropが、アンチマルウェア システムと共存して動作し、アンチウィルスや侵入検知システムが実行するように設計されていない方法で身代金要求型マルウェアを検出すると、記述している。
 この論文において、この研究者達は、最終的に暗号化されるファイルに対する身代金要求型マルウェアの行動で区別して、身代金要求型マルウェアを三つのクラスに分けて説明している。例えば、クラス Aは、ファイルの内容を上書きし、所定の位置で内容を暗号化するような性質を持つもの。クラス Bの身代金要求型マルウェアは、ファイルを移動した後に、そのファイルを暗号化し、本来の場所に戻すもの。このクラスのものは、ファイル名を変更するかもしれない。クラス Cは、暗号化された内容で新しいファイルを作成し、オリジナルのファイルを削除もしくは上書きするもので、最も被害の大きいものである。
 このような状況から、CryptoDropは、悪意あるファイルの変更を同定するために三つの基本指標と二つの補助的指標を使用している、と研究者達は記述している。基本指標は以下の通りである。: ファイルタイプの変更、これは、ファイルのバイト値に対する変更を探す(ファイルはそれらのタイプとフォーマットを保持しているので、この行為は疑わしいと判断される)。: 類似性の測定、この場合では、sdhash関数が、あらゆる非同一性を見つけるために、同一ファイルの前後のバージョンにおける類似性を測定する。: 三つ目が、Shannon Entropy(シャノン エントロピー)である。これは、ファイルが改竄されたかどうかの、もう一つの指標として暗号化されたファイルのエントロピーを測定している。削除(多くのファイルが削除される)とファイルタイプ ファネリング(アプリケーションが全く異なる幾つかのファイルを読み込んだ時に発生する)は、CryptDropによって使用される補助的指標である。
 彼等がテストした無害なプログラムは、この三つの基本指標を発動させなかったが、大多数の身代金要求型マルウェアのサンプルの実験では、全て、この三つの基本指標を発動させたと、この研究者達は記述している。単一ユーティリティでこれら三つの指標全てを一元化することは、より早期に、より速く、身代金要求型マルウェアを検出するために極めて重大であると、この研究者達は発言している。
 CryptoDropは、高評価のユーティリティを開発するために、ユーザに警告を発するために、そして、特定の閾値に入ったなら、違法なプロセスを停止するために、これらの要素全てを使用していると、この研究者達は発言している。
 この論文は、特定の身代金要求型マルウェア ファミリーのデータも提供している(CryptoLocker と Filcoderファミリーを除いて、殆どの物は、相対的に多様性の欠如を示している)。CTB-Locker と CryptoLockerのテストされたサンプルは、平均ファイル損失が最も大きな値になっている。「ファイルの損失が殆ど無いことで、身代金要求型マルウェアの犠牲者にとっての負担は、軽減されるか取り除かれるので、ユーザを保護し、攻撃者の経済を解体することになる」と、この研究者達は記述している。


CryptXXX: .Crypz と .Cryp1 のバージョンに関して無料でキーを提供している
BleepingComputer : News>Security (2016/07/14)
 犠牲者が身代金要求型マルウェアの支払いサーバにログインし、彼等の復号キーを無料で与えられることに関して、今日、BleepingComputerのCryptXXX Help topicで多くの議論がなされてきた。ユーザが、これらのキーを試すと、彼等は本当に暗号化されたファイルを復号できることを発見した。一部の人は、このマスターキーがリリースされたと述べていたが、夫々の人々の復号キーは異なっており、各人固有のファイルでのみ動作したので、マスターキーがリリースされたという記述は、真実ではない。


無料の復号キー

 これを更にリサーチしたところ、私は、CryptXXXの特定のバージョン(即ち、暗号化されたファイルに .Crypz と .Cryp1 拡張子を追加する変種)で無料のキーが提供されていることを発見した。他のバージョンは全て、無料で復号キーを受け取ることはできない。
 現時点で、この支払いサーバが無料で復号キーを提供している理由は分かっていない。これは、開発者が(【訳者挿入】 犬に骨を与えるように)犠牲者に骨を投げているかのようであるが、私の推測は、彼等の支払いサーバの誤作動で、これが発生しているだろうとするものである。この開発者は、過去においてバグだらけのコードや復号可能な変種を提供してきているので、このような他のエラーが存在することは想像に難くない。
 以下に、私がアクセスしたCryptXXX身代金要求型マルウェアの全ての既知のバージョンをリストとしてまとめておいた。私がテストできなかった唯一の既知の変種は、.cryptz 拡張子を追加するものである。誰かが、この変種に感染したことがあるのなら、無料のキーが提供されていたか否か私に知らされたい。

無料キーが提供されているもの

.Crypz 拡張子 (UltraDecryptor)

脅迫文のファイル名: ![victim_id].html
脅迫文のファイル名: ![victim_id].txt

TOR URLの例: http://xqraoaoaph4d545r.onion.to
TOR URLの例: http://xqraoaoaph4d545r.onion.cab
TOR URLの例: http://xqraoaoaph4d545r.onion.city

.Cryp1 拡張子 (UltraDecryptor)

脅迫文のファイル名: ![victim_id].html
脅迫文のファイル名: ![victim_id].html

TOR URLの例: http://eqyo4fbr5okzaysm.onion.to
TOR URLの例: http://eqyo4fbr5okzaysm.onion.cab
TOR URLの例: http://eqyo4fbr5okzaysm.onion.city

無料キーが提供されていないもの

.Crypt 拡張子 (UltraDeCrypter)

脅迫文のファイル名: [victim_id].html
脅迫文のファイル名: [victim_id].txt

TOR URLの例: http://klgpco2v6jzpca4z.onion.to
TOR URLの例: http://klgpco2v6jzpca4z.onion.cab
TOR URLの例: http://klgpco2v6jzpca4z.onion.city

.Crypt 拡張子 (Google Decryptor)

脅迫文のファイル名: !Recovery_[victim_id].html
脅迫文のファイル名: !Recovery_[victim_id].txt

TOR URLの例: http://2zqnpdpslpnsqzbw.onion.to
TOR URLの例: http://2zqnpdpslpnsqzbw.onion.cab
TOR URLの例: http://2zqnpdpslpnsqzbw.onion.city

Random 拡張子 (UltraDecryptor)

脅迫文のファイル名: @[victim_id].html
脅迫文のファイル名: @[victim_id].txt

TOR URLの例: 2mpsasnbq5lwi37r.onion.to
TOR URLの例: 2mpsasnbq5lwi37r.onion.cab
TOR URLの例: 2mpsasnbq5lwi37r.onion.city

拡張子なし (Microsoft Decryptor)

脅迫文のファイル名: README.html
脅迫文のファイル名: README.txt

TOR URLの例: http://ccjlwb22w6c22p2k.onion.to
TOR URLの例: http://ccjlwb22w6c22p2k.onion.city


Drupalモジュール中に報告されたリモートコード実行の緊急の脆弱性
The Register : Security (2016/07/14)
 Drupalは、攻撃者が簡単にサイトをハイジャックすることを可能にしている危険なリモートコード実行のセキュリティホールをパッチするように、そのユーザに呼びかけている。
 このコンテンツマネジメントシステムは、凡そ1,500万ダウンロード(比較すると、WordPressは1億4千万、Joomlaは3,000万ダウンロード)であるが、世界で最も人気のある1万サイトの9%を含む、高級なサイトと企業サイトで使用されている。
 リモートコード実行のセキュリティホールは、凡そ14,000のWebサイトで使用されているDrupalモジュール中に横たわっている。
 「このモジュールは、攻撃者が、幾つかの特別に細工されたリクエストを使用して完全にサイトを乗っ取ることを可能にするリモートコード実行を含んでいる」と、Drupalのセキュリティ メンバーは発言している。
 「この弱点は、サイト上で様々なアクション(潜在的にサイトやサーバの完全な乗っ取りを含む)の操作を行って悪用することができる。」
 「如何なるサイトの訪問者も、この脆弱性を悪用することができる。」
 影響を受けるモジュールは、Rest APIを作成するために使用されるRESTWSモジュールを含んでおり、これは凡そ5804のサイトにインストールされている。リモートコード実行のフローは、Devin Zuczek (@djdevin)によって発見され、highly critical(【訳注】 5段階中2番目に高い脆弱性)と評価されている。
 少なくとも4951のコード解析用のサイトによって使用されているCoderモジュールもまた、このリモートコード実行フローの影響を受ける(NCCの研究者Nick Bloor (@nickstadb)によって発見され、悪用のために許可を求める必要がないことからhighly criticalと評価されている)。
 Webform Multiple File Uploadモジュール(凡そ3076のサイトが、ユーザからファイルを収集するために使用している)は、最新の影響を受けたモジュールである。この緊急のフローは、オーストラリア人のDrupalセキュリティ者Ben Dougherty(@_benjy1)によって発見された。
 Drupalは、33,000を超えるモジュールに貢献する3万人を超える開発者を持っている。


Jigsaw身代金要求型マルウェアは再び打ち負かされた
Check Point : Threat Reserch (2016/07/08)
 Jigsaw身代金要求型マルウェアが発見されたのは、2016年04月である。以来、多少の影響を受けてきた。この身代金要求型マルウェアは、脅迫文上に表示される映画 Saw のJigsaw killerの画像と、犠牲者に要求に応じるように説得する独特な方法(支払いが一時間以内に行われない場合、Jigsawは、感染したマシンからファイルの削除を開始する)のおかげで悪名を博した。
 最新のJigsaw身代金要求型マルウェアの変種(SHA256: 61AA800584B170FFE9959ACD057CCAF784BF3088E1D3AAB39D07C0793F6C03DF)と、ユーザの証明書とSkypeの履歴を盗むとするインチキの主張を調査している間に、我々は、この身代金要求型マルウェアが、支払いが実行されたか否かをチェックするために使用しているメカニズムに遭遇した。
 Jigsawは、ユーザに便利なGUIを提供している。

 このユーザが、“I made a payment, now give me back my files!”(支払ったので、ファイルを返して)ボタンを押すと、このプログラムは、btc.blockr[.]io/api/v1/address/balance/<bitcoin-account> に対して、HTTP GET リクエストを実行する。
応答として、以下のJSONを得る。
{“status”:”success”,”data”:{“address”:””,”balance”:0,”balance_multisig”:0},”code”:200,”message”:””}
 これは我々に思いつかせた。我々が、別のアカウントをクエリーするように、リクエストを変更したらどうなるのか? 多分、我々のファイルを復号するために、必要量のBitcoinを保持しているものに? もっと上手く、我々が必要量を持っていると言うように対応を変更したらどうなるのか?
 そこで、実行してみた。
 上手く動作した。
 応答中の変数"balance"を 0 から 10 に変更することによって、この身代金要求型マルウェアは、支払いが実行されたと信じた。そして、ファイルの復号プロセスが始まり、犠牲者のコンピュータから、このマルウェア自体を削除した。
この簡単な治療は、以前のJigsaw身代金要求型マルウェアでも同様に動作し、感染したマシン上に、このマルウェアの痕跡は残らないようである。
 上述に基づいて開発された復号プログラムは、こちらからダウンロードできる(【訳注】 このサイトの和訳は初めてですが、KasperskyのThreat Postからジャンプしていますので、安心してダウンロードできると思います)。

ユーザ マニュアル

1/ JPS.zipファイルを解凍する。
2/ Jigsaw Puzzle Solver フォルダで、’JPS.exe’をクリックし管理者として実行する。
3/ 画面に表示される指示に従う。


CTB-Lockerを真似したCTB-Faker身代金要求型マルウェア、「下手な仕事してますねぇ」
BleepingComputer : News>Security (2016/07/11)
 CTB-Fakerと呼ばれる新しい身代金要求型マルウェアは、CTB-Lockerを装うとしていることが発見された。下手なモノマネではあるが、犠牲者のファイルを暗号化する代わりに、パスワードで保護されているZIPアーカイブに犠牲者のファイルを移動する。CTB-Fakerは、あなたのファイル用のパスワードを取得するために ~.08 Bitcoin(凡そ $50 USD。約5千円)の身代金を要求する。
 良いニュースは、あなたがオリジナルのインストーラのサンプルを持っているなら、無料でファイルを取り戻す方法が存在することである。あなたが、この身代金要求型マルウェアに感染しているなら、このサイトで私にコンタクトするか、CTB-Faker Help and Support topicに投稿しなさい。私は手助けするだろう。

CTB-Fakerの開発者はBleepingComputerの訪問者のように見える

 CTB-Faker身代金要求型マルウェアのメイン実行ファイルは、脅迫文の背景として使用する多くの画像リソースを含んでいる。これは、これらの画像の一つが、ZeroLockerと呼ばれる古い身代金要求型マルウェア用のBleepingComputerのウオーターマーク付き画像であることから、開発者がBleepingComputerの訪問者のようである。以下は、Help.exe実行ファイル中で発見された画像である。


ウオーターマークの付いたZeroLockerの画像

CTB-Fakerはインチキのストリップショーのビデオで拡散しようしとしている

 CTB-Locker(【訳注】 原文のままですが、CTB-Fakerの誤りと思われます)は、パスワードで保護されているストリップショーと想定されるビデオへのパスワードとリンクを含むアダルトサイト上のインチキのプロファイルページを介して現在拡散している。


CTB-Fakerの拡散ページ(【訳注】 従順な女性なんだそうです)

 ユーザがプロファイル中のリンクをクリックすると、zipファイルがダウンロードされるだろう。このファイルは現在JottaCloudにホストされている。ユーザがZIPファイルのコンテンツを解凍し、含まれている実行ファイルを実行すると、この身代金要求型マルウェアは、あなたのファイルを暗号化するだろう。

CTB-Fakerは、どのようにしてファイルを暗号化しているのか

 CTB-Fakerは、実行されると多くのバッチファイル、VBSスクリプト、実行ファイルを、C:\ProgramData フォルダに解凍する本物のWinRAR SFXファイルである。このメインのインストーラは、グラフィックス カードのエラーをであるかのように装うインチキのエラーメッセージを表示するVBSファイルを実行するので、あなたはストリップショーのビデオを見ることはできない。


インチキのグラフィックス カード エラーの警告

 けれども、このシーンの背後で、この身代金要求型マルウェアは、C:\Users.zip に配置されたパスワードで保護されたZIPアーカイブを作成するために、同梱されたWinRARを使用している。このZIPファイルは、C:\Users フォルダの下に配置されたファイルと、以下のファイル拡張子に一致するファイルを含んでいる。

.exe, .msi, .dll, .jpg, .jpeg, .bmp, .gif, .png, .psd, .mp3, .wav, .mp4,
.avi, .zip, .rar, .iso, .7z, .cab, .dat, .data

 ファイルをアーカイブするとき、CTB-Fakerは、そのファイルをパスワードで保護されたアーカイブに、コピーではなく移動させる。このプロセスは、非常に緩慢であり、CPUを専有するので、犠牲者は、彼等のハードドライブがコンスタントにアクセスされ続けており、CPU使用率が通常のパーセンテージより急増していることを発見するだろう。
 アーカイブの作成が終了すると、このプログラムは、C:\ProgramData 中の様々なVBSとバッチファイルを削除し、コンピュータを再起動する。コンピュータが再起動し犠牲者がログインすると、彼等は以下に示す脅迫文の画面を提示される。


CTB-Faker脅迫文画面

 この脅迫文は、ファイルが暗号化され、犠牲者はBitcoinで $50 USDをBitcoinアドレス 1NgrUc748vG5HerFoK3Tkkb1bHjS7T2w5J に支払わなければならないと述べている。支払いを実行すると、犠牲者はパスワードを取得するために、miley@openmailbox.org にメールしなければならない。現在、このBitcoinアドレスに活動はない。
 下に示したように、Bitcoinアドレス 3MTTgd2BaPndUYkmGjiacaPLkuWsiPUzM3、eMailアドレス help@openmailbox.org を含む別の背景画像も存在する。この背景の 3MTTgd2BaPndUYkmGjiacaPLkuWsiPUzM3 アドレスは、多くの活動をしている(受け取ったBitcoinは476を超え、経常収支 11 Bitcoinなので)


CTB-Faker背景画像代替

 最後に、この脅迫文は、Decrypt(復号)ボタンとInternet(インターネット)ボタンも含んでいる。Internetボタンは、Defaultブラウザを開く。Decryptボタンは、あなたがパスワードで保護されたZIPファイル用のパスワードを入力することを要求する Restore.exe プログラムを起動する。正しいパスワードが入力されると、users.zip ファイルは、自動的にあなたのハードドライブに解凍され、あなたのファイルは復元される。 


復元用パスワードの入力画面

 作成されるものはまた、脅迫文は C:\ProgramData\index.html に配置され、C:\ProgramData\your personal files は、encrypted.txt になり、そして、C:\your personal files は、encrypted.txtになる。そして、これは上に示した画像と同じ情報を含んでいる。
 あなたが、この身代金要求型マルウェアに感染したのであれば、身代金を支払わないようにしなさい。代わりに、このサイトで私にコンタクトしなさい。もしくは、CTB-Faker Help and Support topicで支援を求めなさい。

CTB-Faker関連ファイル

C:\ProgramData\7zxa.dll
C:\ProgramData\Default.SFX
C:\ProgramData\Descript.ion
C:\ProgramData\Rar.exe
C:\ProgramData\RarExt.dll
C:\ProgramData\RarExt64.dll
C:\ProgramData\RarFiles.lst
C:\ProgramData\UNACEV2.DLL
C:\ProgramData\UnRAR.exe
C:\ProgramData\Uninstall.lst
C:\ProgramData\WinCon.SFX
C:\ProgramData\WinRAR.exe
C:\ProgramData\Zip.SFX
C:\ProgramData\archiver.bat
C:\ProgramData\archiver.vbs
C:\ProgramData\copy.bat
C:\ProgramData\copy.vbs
C:\ProgramData\help.exe
C:\ProgramData\index.html
C:\ProgramData\rarnew.dat
C:\ProgramData\restore.exe
C:\ProgramData\startup.exe
C:\ProgramData\startup.vbs
C:\ProgramData\untitled.png
C:\ProgramData\untitled.vbs
C:\ProgramData\your personal files は、encrypted.txt となる
C:\ProgramData\zipnew.dat
C:\your personal files は、encrypted.txt となる

CTB-Faker関連レジストリ エントリ

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\help.exe       C:\ProgramData\help.exe

IOC

Installer Hash: cf82f93bc06247062e16dc3fa233c5a5e0789cdecdccc672a58949f0c625833f


Wi-Fiカメラのセキュリティフローは、40万デバイスの脆弱性を放置したままになっている
Bitdefender : HotforSecurity (2016/07/11)
 120製品、40万デバイスで明らかにされたリモートコード実行の脆弱性が、D-Link DCS-930Lネットワーク クラウド カメラの最新のファームウェア中で検出されたと、Senrioが報告している。
 このフローは、カメラの最新のファームウェア アップデートで発見されたが、製品系列のアーキテクチャを解析した後、Senrioの研究者は、カメラ、ルータ、アクセスポイント、モデムのような接続可能なホーム製品を含む他の製品に影響を与えると結論している。
 このレポートは、「この脆弱性は、攻撃者にカスタムパスワードを設定することを許すコードの挿入を可能にする。これは、攻撃者に、カメラ フィードへのリモートアクセスを許諾する。従って、ユーザが強力なパスワードを作成していた場合でさえ、この種の脆弱性は、それを上書きすることを許す。」 続けて「この脆弱性は、新しいパスワードを設定する代わりに、攻撃者は簡単に管理者アクセスで新しいユーザを追加したり、ファームウェアをダウンロードしたり、このデバイスを再設定することもできる」としている。
 IoT接続されたデバイスの広汎な採用にもかかわらず、頑強なセキュリティ対策は疎かにされてきた。これは、インフラのメルトダウンを発生させることができる。これは、IoTとネットワーク組み込み型デバイスが、様々な産業(医療機器、原子力発電所、交通システム)で広汎に利用されていることを考慮していない。今回の場合、脆弱性は、消費者と企業の両方にハイジャックされるリスクを晒している。
 D-Linkは問題を調査中であるが、その間、ユーザは定期的にパスワードを変更するようアドバイスしている。新しいリリースは、アクティブな製品だけが利用可能なので、古いD-Linkモデルは市場から撤去される必要があるだろう。古い製品はユーザのリスクの下に使用されることができる。


新しいCryptXXXは、Microsoft Decryptorに名前を変えた
BleepingComputer : News>Security (2016/07/07)
 CryptXXX身代金要求型マルウェアの新しいバージョンがBrad Duncanによって発見された。このマルウェアは、暗号化されたファイル名の変更、脅迫文の名前を修正して使用、新しいテンプレートと新しいTOR支払いサイトの説明を含んでいる。このリリースで、脅迫文は現在README.html, README.bmp, README.txtと名付けられている。
 この身代金要求型マルウェアを管理者にとってより厄介なものにするために、このリリースはもはや、暗号化したファイルに特定の拡張子を使用していない。現在、暗号化されたファイルは、暗号化される前のファイル名と同じファイル名のままになっている。


CryptXXXの脅迫文

 これはまた、CryptXXXが使用していたTOR支払いサイトを一部変更している。過去において、CryptXXXは、支払いサイトに異なる名前(Google Decryptor, Ultra Decryptorのような)をつけていた。現在は、このTORサイトを変更し、Microsoft Decryptorと名付けている。このバージョンは、犠牲者が支払いに問題を持った場合に、この身代金要求型マルウェアの開発者に接触する方法を含んでいない。


CryptXXXのMicrosoft DecryptorのTORサイト

 新しいことが発見された場合には、私は間違いなく此処に投稿する。現時点で、この身代金要求型マルウェアを議論したい、あるいは、サポートを受けたい人々に関しては、CryptXXX Support & Help Topicを使用することができる。


2000を超えるWordPressとJoomlaベースのサイトがCryptXXX身代金要求型マルウェアに感染していた
Bitdefender : Hot For Security (2016/07/08)
 Webセキュリティ企業Sucuriが公開したところによると、この2週間の巨大な感染キャンペーンの結果、WordPressとJoomla!コンテンツ マネージメント システム上に構築された少なくとも2000のサイトが、CryptXXX身代金要求型マルウェアに感染させられている。
 このキャンペーンは、最後の二日間で増大し、SiteCheckスキャナによる我々の限定的な遠隔測定データに基づくと少なくとも2000のサイトが攻撃されたと、創設者兼最高技術責任者Daniel Cidは発言している。我々はスキャナに使用したサイトに限定されているので、ハックされたサイトの実数は少なくとも5倍になると想定している。このキャンペーンによって影響を受けるサイトの最初の兆候は、6月9日に突き止められた。このため、我々は、この日にキャンペーンが始まったと考えている。
 このハッカーは、プラグインの脆弱性を悪用し、彼等のキャンペーンで少なくとも100のサイトが毎日感染させられている。サイトが感染させられると、ユーザは、Neutrino Exploit Kitをホストしているサイトにリダイレクトされ、FlashもしくはPDF Readerの脆弱性を介して、ブラウザをセキュリティ侵害されることで、CryptXXX身代金要求型マルウェアによってデバイスを感染させられる。
 攻撃者は、どのプラットフォームにも存在する共通の脆弱性をターゲットにしているようである。そして、アップデートされたインスタンスは、多分同一環境中に存在している残効になる。しかしながら、使用されている脆弱性は多分その本体に対するものではないが、プラグインや拡張のような拡張コンポーネントに対するものであることに注意しなさいと、Cidは追加している。
 このキャンペーンは、使用されているドメインが、realstatistics[.]info及びrealstatistics[.]proであることから、“Realstatistics”と名付けられている。
 7月3日の時点で、Googleは、悪意あるコードを含むサイトを検出しブラックリスト入りさせている。


米国政府、SymantecとNortonアンチウィルスのユーザに、即座にセキュリティ パッチを適用するように告げている
Graham Cluley : News (2016/07/07)
 Googleのセキュリティ研究者Tavis Ormandyは、SymantecとNortonアンチウィルスの広範な分野に渡る緊急の脆弱性を明らかにした。この脆弱性は、攻撃を起動するために悪意あるハッカーによって悪用することができる。
 以下が、United States Computer Emergency Readiness Team (US-CERT)からの真相である。
 複数のプラットフォーム(OS X、Windows、Linux)に渡ること、影響を与える製品の膨大な数(24製品)と、これらの脆弱性の酷さが、この脆弱性を大変緊急なイベントにしている。リモートからの認証されていない攻撃者は、これらの脆弱性を悪用することによってルート、もしくは、システム権限で任意のコードを実行することが可能になる。この脆弱性の一部は、ユーザとの対話を要求しないし、しかも、ネットワークアウェアである。これは結果としてワームが侵入可能なイベントに帰結する。
(中略)
 US-CERTは、ユーザとネットワーク管理者に、即座にSymantecとNorotonアンチウィルス製品をパッチするように促している。未だ悪用されている証拠はないが、攻撃の容易さ、製品の性質が広範囲に及ぶこと、悪用された場合の酷さは、この脆弱性を人気ある攻撃の的にするかもしれない。
 セキュリティソフトウェア中の悪用可能なセキュリティホールは、緊急の問題である。悪意ある攻撃者は、まさに、あなたがWindowsとAdobe Flashをインストールしているだろうと思っているように、人気のあるセキュリティ製品を稼働しているだろうと思っている。これは、アンチウィルス製品が強力な権限で、あなたのコンピュータ上のローレベル(【訳注】 OSに一番近いレベル)で稼働しているという事実と結合して有害なカクテルとなる。
 そこで、あなたのアンチウィルスをパッチしなさい。あなたがセキュリティベンダであるのなら、悪意あるハッカーや、Googleの従業員がそれらを公開する前に、あなたのソフトウェア中の脆弱性を解決しなさい。利用可能なパッチの詳細に関しては、Symantecの SYM16-008(【訳注】 シマンテックから日本語アドバイザリは和訳時点で提供されていないようです、日本語情報はこちら参照してください) 及び SYM16-010(【訳注】 シマンテックから日本語アドバイザリは和訳時点で提供されていないようです、日本語情報はこちら参照してください)セキュリティ アドバイザリをチェックしなさい。


ファイルを取り戻すために48Bitcoinを要求するMicroCop身代金要求型マルウェアが復号された
BleepingComputer : News>Security (2016/07/01)
 残念ながら、新しい身代金要求型マルウェアは、現在ほぼ毎日発見されているので、それら全てについて記述することは不可能である。けれども、時として、大変非常識で攻撃的なので、私は共有する必要があるとするものを見る。 それが復号されるものであるなら一層よい。
 最近、研究者Moshは、TrendMicroが発見したMicroCopと呼ばれる新しい身代金要求型マルウェアに関して彼の解析を共有した。インストールされると、この身代金要求型マルウェアは、DES暗号化を使用してデータを暗号化し、暗号化されたファイルの全てに、Locked. 文字列を追加する。これは、test.jpg と呼ばれるファイルが暗号化された後、Locked.test.jpg にリネームされることを意味している。
 このマルウェアは次に、犠牲者の壁紙を、犠牲者が彼等から48.48Bitcoin盗んだので、彼等がファイルを復号する前に、その金を返してほしいと述べているAnonymousの画像を示す背景に変更する。


MicroCopの壁紙 & 脅迫文

 明らかに、これはAnonymousからのものではないし、48Bitcoinは$32,708.64米国ドル(約334万円)なので、法外な要求である。更に不条理なのは、彼等は脅迫文を放置したままにし、犠牲者が支払いの取り決めや復号プログラムを受け取るために彼等に接触する方法を提供していない。
 第一に、身代金要求型マルウェアを作成することは、私を苛つかせるが、このような法外な要求をし、ユーザが実際にファイルを取り戻す方法を提供さえしていないので、取り戻す可能性は限りなく低い。有難いことに、Michael Gillespieは、犠牲者が彼等のファイルを無料で取り戻すことのできる復号プログラムを作成することができた。
 犠牲者が、この復号プログラムを使用する方法と彼等のファイルを取り戻すための説明は、我々の、MicroCop Ransomware Help & Support で発見される。この身代金要求型マルウェアに影響を受けた全ての人々は、この復号プログラムをダウンロードし実行することで、通常に戻ることができる。

MicroCop身代金要求型マルウェア関連ファイル

%Temp%\8x8x8
%Temp%\PassW8.txt
%Temp%\Sqlite.dll
%Temp%\VCGTUY.vBS
%Temp%\wl.jpg
%Temp%\x.exe
%Temp%\y.exe
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MicroCop.lnk

MicroCop身代金要求型マルウェア関連レジストリ エントリ

HKCU\Control Panel\Desktop\Wallpaper       "%UserProfile%\AppData\Local\Temp\wl.jpg"


何故、抵抗するのか? 無料期間中に Windows 10 を取得せよ
ECN(Electronic Component News) : News (2016/06/29)
 あなたは何を待っているのか? MicrosoftのWindows 10へのアップデートへの抵抗を止める幾つかの理由がある、とりわけ、無料期間中に。
 来月まで待つと、Windows 10は、$1.20 のコストがかかるようになる。
 Windows 10 は、ほぼ1年前に出現して以来、ユーザの一部は、そのつもりがないのにアップグレードされたことに不平不満を持っていた。
 しかし、何故、抗うのか? Windows 10は、前任の Windows 7 や 8 のどちらよりも優れている。あなたがアップグレードした後に、気に入らなかった場合でさえ、あなたは一月以内であれば、元に戻すことができる。フリートライアルと見做しなさい。

Windows 10 は、コンピュータの使用を最新にする

パーソナルコンピュータがモニター、キーボード、マウス(もしくは、ラップトップのタッチパッド)の付属する大きな箱であった時、Windows 7 は意味をなした。しかし、現在、多くのコンピュータは、タッチスクリーンを持っており、Webページ、ゲーム、ソフトウェアは、タッチを考慮しての設計が増加している。
 Microsoftは、Windows 8 で対応したが、やり過ぎていた。このタッチ中心のアプローチは、伝統的なコンピュータとして上手く動作していたWindows 7 の多くの側面を排除した。このような場合、どちらも完全に動作しない二つの異なるコンピュータ(一台はタッチ、もう一台はマウス)を使用しているかのような感覚を、あなたにもたらす。
 Windows 10 は、両方のいいとこ取りをしており、ぎこちない綱引きはない。あなたがキーボードとマウスを持っているのなら、デスクトップモードを選択しなさい、それらが取り外されているのなら、タブレットモードを選択しなさい。あなたは、これを自動化することも、毎回Windowsにプロンプトさせるようにすることもできる。好きなように。あなたはまた、オンスクリーンキーボードがポップアップした時、Windows 8 以上の制御を得る。
 あなたがタッチスクリーンを持っていない時でさえ、あなたは依然として、タッチ世界からの革新の一部(Wi-Fiや画面の輝度のような一般的な設定へのワンクリック アクセスを含む)の恩恵に預かるだろう。

向上した機能

 Windows 10 は、そのような機能の付いたコンピュータへのサインインに生体認証をもたらしている。パスワードの代わりに、あなたは指紋や、そのデバイスのカメラでの顔認証を使用することができる。あなたのコンピュータが生体認証を搭載していない場合でさえ、サインインは、4桁のPINで簡単に行うことができる。4桁のPINが銀行のATMカードにとって十分満足されるものであるのなら、あなたのコンピュータにとっても十分なものである。
 Microsoftはまた、Edgeと名付けられた新しいブラウザにするために、厳しく中傷されたInternet Explorerを見捨てた。このブラウザは、IEよりクリーンで高速なだけでなく、新しい趣向も提供している。例えば、Edgeは、Webページを指や針でスケッチし、次に、それを友人や同僚と共有することを可能にしている。もちろん、あなたがChromeやFirefoxのような他の人気のあるブラウザを気に入っているのであれば、Edgeを使用する必要はない。
 Windows 10 はまたPCに、Microsoftのボイス アシスタント(Cortana)を搭載している。机の上のマシンに向かって話かけるのは無様なように感じるかもしれないが、少なくとも多くのソフトウェア企業は、音声に未来があると信じている。Appleでさえ、MacにSiriアシスタントを搭載する予定である。

処理中の作業

 Windows 10は、完全ではない。例えば、EdgeではGoogleスプレッドシートをスクロールすることは困難である。それに関しては、Google Chromeが、より優れるものである。Windowsはまた、Macでできるような、ファイルが開いている時、ファイルのリネームや移動を可能にしていない。
 良いニュース: Microsoftはもはや、Windowsを数年毎にオーバーホールするようなものと考えていない。Windows 10 は、凡そ一月単位で小さなアップデートを行っている。8月2日に予定されているより大きなアップデートは、Cortanaと、Windows Ink(ドキュメント、地図、他のアプリケーションに、描画したりメモを書いたりするためのデジタル針の使用を可能にするもの)と呼ばれる新しい機能を提供するだろう。

主たる不平不満

 これら通常アップデートは、自動化されシームレスであるように設計されている。そして、一番下のHomeエディションのユーザは、選択肢さえ持っていない。しかし、ほとんどの部分に関して、スマートフォン アプリケーションは既に、Chromebookコンピュータ用のGoogleのシステムが実行しているように、自動的にアップデートされている。
 Windows 10 自体を取得するにあたっての、一つの心配は、古いアプリケーションやアクセサリの潜在的非互換性である。しかし、これらアプリケーションやアクセサリのメーカーは、ほぼ一年に渡り修正を提供してきている。この時点まで、本当に古く曖昧なハードウェアだけが、トラブルを発生させるはずである。
 遅いプロセッサ、少ないメモリ、少ない記憶領域を搭載している古いマシンもまた、パフォーマンスの問題に遭遇する可能性がある。しかし、あなたのコンピュータがユックリであるのなら、新しいマシンに買い換えるための時宜であるかもしれない。
 Microsoftは昨年、Windows 7を、徐々に撤退させ始めた。そして、新しいアプリケーションはWindows 10 用に設計されている。あなたは過去にしがみつくことで自分自身を締め出していることに気がつくかもしれない。

アップグレードの詳細

 MicrosoftのGet Windows 10 アプリケーションは、あなたが最小要求システム構成に適合しているか否かを検証する(最小ではスピーディーではない)。
 あなたは最初に、悪いことが発生した場合に備えて、外部ドライブ、もしくは、クラウドストレージにファイルをバックアップする必要がある。しかし、それさえ行わずに(【訳注】 一般的にはファイルのバックアップが推奨される)、アップグレード後31日以内であれば Windows 7 や 8 に戻すことが可能である。設定で、「更新セキュリティ」に進み、「回復」を選択する。あなたのファイルは問題ないはずであるが、Windows 10 にアップグレードした後にインストールしたあらゆるアプリケーションは失われる。
 7月29日が、無料でアップグレードできる最終日である。その後、あなたは料金を支払うか、新しいコンピュータを購入する必要がある。

【訳注】 ご存知とは思いますが、無料期間中にWindows 10にアップグレードしておけば、その後ダウングレードしている場合でも、無料期間終了後(有償期間に入っていても)に再びWindows 10に無償アップグレードすることは可能です。

Satana Bootkitは、ファイルを暗号化するだけでなく、あなたをWindowsから締め出す
BleepingComputer : News>Security (2016/06/30)
 Satanaと呼ばれる新しい身代金要求型マルウェアが、Malwarebytesのセキュリティ研究者S!Riによって発見された。このマルウェアは、1つのパンチに2つ分のパンチを詰め込んでいる。インストールされると、Satana身代金要求型マルウェアは、標準的ファイル暗号化を使用してファイルを暗号化し、次に、あなたをWindowsのログインから締め出すためのbootlocker(ブートロッカー)をインストールする。このブートロッカーは、Windowsが起動する直前に表示され、パスワードを要求した後に、犠牲者がWindowsを起動することを可能にする。Satana身代金要求型マルウェアは、復号キーを取得するために 0.5 Bitcoinを要求する。


Satana Bootlocker

 Satana身代金要求型マルウェアが最初にインストールされると、このマルウェアは、特定のファイルタイプと暗号化のためにローカルドライブと、マップされていないネットワーク共有をスキャンする。ターゲットにされているファイルタイプは以下である。
.bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv,
.bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl,
.gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas,
.asm,
 ファイルを暗号化すると、このマルウェアは、eMailアドレスと3つのアンダースコアをファイル名に追加する。例えば、test.jpgは、Sarah_G@ausi.com___test.jpg になるだろう。挿入されたeMailアドレスは、犠牲者が、復号キーを取得するために支払いを実行した後に接触しなければならないeMailアドレスである。私がこの身代金要求型マルウェアに関連するものとして確認したeMailアドレスは以下である。
Gricakova@techemail.com
ryanqw31@gmail.com
Sarah_G@ausi.com
rayankirr@gmail.com
matusik11@techemail.com
megrela777@gmail.com
 同時に、この身代金要求型マルウェアは、ブートロッカーもインストールするので、ユーザはWindowsを起動することができなくなる。hasherezadeによると、MBR(マスターブートレコード)を修復すると、犠牲者は再びWindowsにブートバックすることは可能になる。残念ながら、ファイルは依然として暗号化されたままである。
 最終的に、この身代金要求型マルウェアは、デスクトップ上に、身代金の支払い方法の指示を含む .txt と名付けられた脅迫文を作成する。これらの指示は、ブートロッカー画面に表示されているものと同一である。


.txt 脅迫文

 残念ながら、現時点で、Satanaで暗号化されたファイルを無料で復号する方法はない。何か発見された場合には、我々は、そのことに関して間違いなく投稿する。他方、あなたが、この感染について更に学習することに興味があるのであれば、あなたはMalwarebytesの記事を読んだり、我々のSatana Help and Support Topicを使用することができる。


Bart身代金要求型マルウェアは、ファイルを誘拐し、パスワードで保護されたZIPファイル中にそれらを隠蔽する
Graham Cluley : News (2016/06/28)
 新しいBart(【訳注】 Bartは、こちらの画像参照)と呼ばれる暗号化身代金要求型マルウェアは、コマンド&コントロール基盤やAES暗号化を使用すること無しに、犠牲者が彼らのファイルにアクセスすることを拒否する。
 セキュリティ企業ProofPointの研究者は、この身代金要求型マルウェアに先週末に遭遇したと説明している

 6月24日、ProofPointの研究者達は、JavaScriptコードを含む .zip 添付ファイルの大々的なキャンペーンを検出した。開くと、これらの添付ファイルは、媒介ローダRockLoader(ProofPointによって以前発見されたもので、Lockyで使用されていた)をダウンロードしインストールする、次に、Bartと呼ばれる新しい身代金要求型マルウェアをダウンロードする。
 このキャンペーンにおけるメッセージは、件名は”Photo”、添付ファイル名は photos.zip, image.zip, Photos.zip, photo.zip, Photo.zip, picture.zip である。このZIPファイルは、PDF_123456789.js のようなJavaScriptファイルを含んでいる。

 2月に発見されたLocky身代金要求型マルウェアは有名になった。
 攻撃者は、2016年の早春にHollywood Presbyterian医療センターをターゲットにした攻撃ではLocky身代金要求型マルウェアを使用した。最終的に、この病院は、攻撃者の 40 Bitcoin(凡そ、$17,000、170万円相当)の身代金の支払い要求に同意した。
 それ以来、Lockyに成りすましたりこの身代金要求型マルウェアの変種を販売すると主張する闇のWeb市場がオンラインに現れた。研究者達も、Locky感染の流れを止めるために一生懸命働いた
 Lockyは、Bartに重大な影響を及ぼしたかのように見える。この最新の身代金要求型マルウェアのポータルを一瞥する。

 これは、Lockyの身代金 0.5 Bitcoinを、3 Bitcoinにしていることを除けば、Lockyのポータルと全く同じである。

 しかしながら、間違いなく、BartはLockyのコピーではない。この新しい身代金要求型マルウェアは、暗号化アルゴリズムに関して、二つの方法で殆どの他の身代金要求型マルウェアと、自分自身を区別している。
 一つ目は、この身代金要求型マルウェアは、C&C(【訳注】 コマンド&コントロールセンター)基盤を持っていない。代わりに、恐怖の役割を果たしている者に、彼らが復号アプリケーションを作成するために、どの復号キーを使用すべきを告げるために、犠牲者識別子を使用している。
 二つ目は、Bartは、他の暗号化身代金要求型マルウェア同様に、犠牲者が彼らのファイルにアクセスすることを拒否しない。PhisyMeの研究者は、以下のように説明している。

 「殆どの暗号化身代金要求型マルウェアは、伝統的に、高度な非対称の公開鍵と秘密鍵のペア、もしくは、暗号化用に個別の対称暗号化キーの作成に依存してきた。このキーは、後で使用するために暗号化のときに恐怖の役割を果たしている者の基盤に一般的には渡される。しかしながら、Bartは、単純に、そのターゲットにしているファイルを個別のZIPアーカイブ中に配置し、これらのアーカイブにパスワードによる保護を適用する。」

 hasherezadeは、Twitterで、「#Bart #ransomwareは、パスワードで保護されたZIPアーカイブにパックすることでファイルを暗号化する」と、述べている。

 この時点で、Bartによって影響を受けた犠牲者が利用可能な復号プログラムは存在していない。これは、ユーザが最善の身代金要求型マルウェア防御用心(疑わしいリンクやeMail添付ファイルに注意をするような)に従う必要があることを意味している。念のために、ファイルもバックアップするようにしなさい。
 更に、組織は、ZIPされている実行ファイルの付いたeMailを自動的にフィルターアウトするルールを設定することによって、eMailゲートウェイで、Bartをブロックすることができる。


EduCrypt身代金要求型マルウェアは、あなたに講義しょうとしている。
BleepingComputer : News>Security (2016/06/27)
 AVGセキュリティの研究者Jakub LroustekによってEduCryptと呼ばれる新しい身代金要求型マルウェア(教育ウェア?)が発見された。このマルウェアは、その犠牲者に身代金要求型マルウェアに関する講義をしようとする。他の暗号化マルウェア同様に、EduCryptは、犠牲者のファイルを暗号化するが、身代金を要求する代わりに、犠牲者を叱責すると共に無料でパスワードを与える。

 この身代金要求型マルウェアは、オープンソースのHidden Tear身代金要求型マルウェアに基づいている。そして、このマルウェアのサンプルはConfuserで難読化されていた。私が、このプログラムを可読できるようにすると、これは、明らかに犠牲者に純粋に講義するように設計するためにHidden Tear身代金要求型マルウェアを解体したものであった。このマルウェアは暗号化用のフォルダを限定しており、僅かな量のファイル拡張子をターゲットにしている。そして、コマンド&コントロール サーバと通信することはない。
 開始すると、以下のフォルダにあるファイルを暗号化する。

%UserProfile%\Desktop
%UserProfile%\Downloads
%UserProfile%\Documents
%UserProfile%\Pictures
%UserProfile%\Music
%UserProfile%\Videos

 これらのフォルダをスキャンしている時、このマルウェアは、AES暗号化を使用し、固定パスワードHDJ7D-HF54D-8DN7Dで特定の拡張子に一致したファイルを暗号化する。ファイルを暗号化すると、このマルウェアは、暗号化したファイルに .isis 拡張子を追加する。例えば、ファイル test.jpg は、暗号化されると、test.jpg.isis というファイル名になるだろう。
 EduCryptによって暗号化されるファイル拡張子は以下である。

.txt, .exe, .doc, .docx, .xls, .index, .pdf, .zip, .rar, .css, .lnk, .xlsx, .ppt,
.pptx, .odt, .jpg, .bmp, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html,
.xml, .psd, .bk, .bat, .mp3, .mp4, .wav, .wma, .avi, .divx, .mkv, .mpeg, .wmv, .mov,
.ogg

 終了すると、このマルウェアは、犠牲者のデスクトップにREADME.txtと名付けられたメモを表示する。このメモは、復号プログラムへのリックと、犠牲者のコンピュータに何が発生したかの情報を提供している。このマルウェアが参照している非表示にされているファイルは、%UserProfile%\Documents\DecryptPassword.txt に配置されており、あなたのファイルを復号するために使用されるパスワードを含んでいる。

 上述したように、このパスワードは、HDJ7D-HF54D-8DN7D であり、このプログラムによって感染した全ての者に共通である。
 EduCryptは、Hidden Tear復号プログラムへのリンクを提供しているが、私は、我々が信頼できることを認識しているMichael Gillepieによって作成された復号プログラムを使用するように、ユーザに推奨する。

URL://download.bleepingcomputer.com/demonslay335/hidden-tear-decrypter.zip

 私は、インターネット上の安全性に関して犠牲者に講義しょうとした開発者の方法に同意しないが、彼の声明は正しいものである。ユーザは今日、インターネットからダウンロードしたり実行したりするものについて大変用心深い必要がある。マルウェアは、蔓延している。そして、ユーザは、特に用心深い必要がある、さもなければ、高いものにつくことがありうるだろう。


身代金要求型マルウェア スカムは、0−Dayキャンペーンで企業のOffice 365ユーザをターゲットにしている
The Register : Security (2016/06/28)
 2016年、Microsoft Officeマクロは、依然として持続可能な感染ベクトルである。セキュリティチームAvananは、Office 365ユーザに対する一週間に渡る巨大なスケールでのマルウェア攻撃にスポットを当てている。
 このキャンペーンは、6月22日開始し、Microsoftは、同月23日に悪意ある添付ファイルのブロックを開始した。
 攻撃者は、Office 365を使用しているセキュリティが完備したプラットフォームの組織の57%にメッセージを送信することを試みていたとAvananは発言している。ユーザは、マクロを介してこのマルウェアを起動するOfficeドキュメントを送信される。
 この攻撃は、Cerber身代金要求型マルウェア(このマルウェアは5月に出現している)を使用している。ユーザのファイルを暗号化すると共に、その脅迫文を読み上げるために、犠牲者のオーディオシステムを乗っ取る。


マクロ攻撃: 20年以上前のマクロであるが、依然として有効

 感染した全てのユーザは、AES-256で暗号化されたファイルを発見するだろう。また、復号するために 1.24 Bitcoinの要求にも直面している。


Necursボットネットが、新たなLocky身代金要求型マルウェア キャンペーンを引っさげて回帰している
BleepingComputer : News>Security (2016/06/23)
 6月の初め、Necursボットネットは、オンラインを切断していた。このことはDridexとLockyマルウェア キャンペーンが同様に落ち込むこととなった。TeslaCryptの停止オペレーションと、Lockyがもはや激しい拡散をしなくなったこの空隙は、CryptXXXCrysis身代金要求型マルウェア感染によって直ちに埋められた。
 月曜日、Proofpointは、数百万のLocky eMailキャンペーンに気がついた。これは、Necursボットネットから発生しているかのようであった。この時点で、研究者は未だ、Necursがオンライン切断を何故発生させていたのか気がついていなかったが、CryptXXXは現在、明らかに金銭目的のために稼働している。
 Proofpointによると、この新しいLockyキャンペーンは、件名に Re. の付いたeMailと、services_[名前]_[6桁の数字].zip, [名前]_addition_[6桁の数字].zip, もしくは、[名前]_invoice_[6桁の数字].zip と題された添付ファイルを使用している。このZipファイルは、addition-[ランダムな数字].js と名付けられたJavaScriptを含んでいる。これらeMailの一つの例を、ProofPointの好意によって以下に示す。


Lockyのソースを配布しているeMail(ProofPoint)

 受信者が、このJavaScriptファイルをダブルクリックすると、Locky実行ファイルをダウンロードし、それを %Temp% フォルダに保存し、それを実行する。この新しい変種はまた、セキュリティ研究者が仮想化したマシンでこのマルウェアを解析することを更に困難にするためにアンチ-仮想マシン コードを含んでいる。
 他方、この身代金要求型マルウェア自体は、変更されていないかのようである。何らかの新しい機能が発見された場合には、我々は、間違いなく、この投稿をアップデートする。


広範に使用されているファイル圧縮ライブラリにセキュリティホールが発見された
Tripwire : The State Of Security (2016/06/23)
 3つの深刻な脆弱性が、広範に使用されているオープンソースの圧縮ライブラリ libarchive に発見されたので、研究者は、可能な限り早急に脆弱性あるソフトウェアにパッチするかアップグレードするようにユーザに呼びかけている。
 libarchiveプログラミング ライブラリは本来、FreeBSDプロジェクト用に開発されたが、現在、zip, tar, 7z, cab等々を含む広範なファイル圧縮フォーマットへのリアルタイム アクセスを提供するために世界中のソフトウェア プログラマによって使用されている。
 Cisco Talosのセキュリティ研究者の説明では、このリスクは、悪意ある攻撃者が、ユーザのコンピュータ上で認証されていない悪意あるコードを実行するために、新しく発見された3つの脆弱性の一つを悪用して、ブービートラップされたアーカイブ ファイルを作成することを可能にするものである。攻撃者が実行する必要のある唯一のことは、彼らの標的に対して毒のあるアーカイブ ファイルを送信することである。
 libarchiveは、Linux、BSD、システムに含まれる幾つかのファイル マネージャやパッケージマネージャ、並びに、OS XとChrome OS上で稼働しているツールに含まれるセキュリティ ツールとファイルブラウザによって使用されているので、あなたのシステムを確実に完全にパッチしておくことは、必ずしも取るに足らないことだというわけではない。
 このブログ ポストにおいて、Cisco Talosの研究者は、この問題を簡潔に概要している。

 「安全なコードを記述することは難しい。livarchiveのこれらの脆弱性発生の根源は、適切な入力データ妥当性(圧縮されたファイルから読み込まれるデータ)に失敗したことにある。悲しいことに、これらのタイプのプログラミング エラーは、繰り返し発生している。脆弱性が、libarchiveのようなソフトウェアに発見されると、libarchiveに依存している、もしくは、libarchiveを同梱している多くのサードパーティ製プログラムが影響を受けることになる。これらは共通モード故障として知られるものである。これは、攻撃者が単一の攻撃を使用して、多くの異なるプログラムやシステムをセキュリティ侵害することを可能にする。ユーザは、可能な限り早急に関連するプログラムをパッチするよう促されている。」

 Ciscoのブログ ポストは、3つの脆弱性の夫々に関して詳細な情報を提供している。これは以下である。

    ・ CVE-2016-4300 - 特別に細工された7-Zipファイルは、メモリ損壊とコード実行に帰結する整数オーバーフローを発生させることができる。
    ・ CVE-2016-4301 - バグの多いコードは、攻撃者がスタックベースのバッファ オーバーフローを発生させることを可能にする。
    ・ CVE-2016-4302 - libarchive RARリスタートモデル中のヒープ オーバーフロー。

 幸いなことに、この研究者(先月7-Zipファイル アーカイブのコード中に深刻な脆弱性を発見した人)は、livarchiveを維持している人に、この脆弱性の詳細を対応できるように明らかにした。そこで、このライブラリのパッチはリリースされている。
 しかしながら、このライブラリを使用している多くのサードパーティのツールが、この修正を実行することに時間がかかるのは不可避である。プログラマが、彼らが依存しているコード中に脆弱性があるとするアナウンスを追跡し続けることにいい加減なのは、よくあることだ。
 この問題は、ベンダのハードウェア(同様にlibarchiveライブラリを内包しているスイッチとルータを含む)に影響を与える問題でもあるという事実によって事態を悪化させている。簡潔に言うと、アップデートは相当の時間をかけて、ポツリポツリと来そうである。
 このピンチに遭遇した時、我々が実行できる唯一のことは、libarchiveのフローによって影響を受けるベンダとソフトウェアの開発者が彼らの製品を可能な限り早急にアップデートすることと、ユーザに、彼らのシステムをアップデートすることの必要性を警告することを希望することでしかない。
 他方、オンライン犯罪者が彼らが所有する優位性でこのフローを悪用する大変身に迫る危険が存在している

【編集者注】 この記事は、Graham Cluleyによって寄稿されたものである。この記事中の見解は、筆者の見解であり、必ずしも、Tripwire, Incの見解を反映しているものではない。


CryptoRogerと呼ばれる新しい身代金要求型マルウェアは、暗号化したファイルに .crptrgr を追加する
BleepingComputer : News>Security (2016/06/21)
【訳者より】 和訳はしていませんが、Emsisoftから、身代金要求型マルウェアApocalypseApocalypseVM用の復号プログラムがリリースされています。

ダウンロード(直リンク)

APOCALYPSE復号プログラム: http://decrypter.emsisoft.com/download/apocalypse
APOCALYPSEVM復号プログラム: http://decrypter.emsisoft.com/download/apocalypsevm

 CryptoRogerと呼ばれる新しい身代金要求型マルウェアが、MalwareBytesのセキュリティ研究者S!Riによって発見された。この身代金要求型マルウェアは、AES暗号化を使用して犠牲者のファイルを暗号化し、暗号化したファイル名に .crptrgr 拡張子を追加する。このマルウェアは、復号キーを取得するための身代金として 0.5 Bitcoin もしくは、360US$以上を要求する。残念ながら、この時点で、CryptoRogerによって暗号化されたファイルを復号する方法は知られていない。


CryptoRoger脅迫文

CryptoRogerは、どのように犠牲者のファイルを暗号化しているのか?

 この時点で、CryptoRogerが拡散している方法は知られていない。この身代金要求型マルウェアがインストールされると、犠牲者のドライブのデータファイルをスキャンし、AES-256暗号化を使用して、それらを暗号化する、そして、暗号化されたファイルの名前に .crptrgr を追加する。例えば、test.jpgという名のファイルは暗号化されると、test.jpg.crptrgrとなる。暗号化された各ファイルに関して、この身代金要求型マルウェアは、オリジナル ファイルのMD5ハッシュを取得する、そして、%AppData%\files.txt ファイル中にファイル名と共に、これを格納する。
 この身代金要求型マルウェアは、ファイルの暗号化を実行すると、上に示した!Where_are_my_files!.htmlと名付けられた脅迫文を開く。この脅迫文は、犠牲者がuToxアドレス F12CCE864152DA1421CE717710EC61A8BE2EC74A712051447BAD56D1A473194
BE7FF86942D3E で、このマルウェアの開発者にコンタクトするためのuToxメッセージプログラムをインストールしなければならないと主張し、その指示を含んでいる。
 この説明は更に、あなたのファイルを復号するために keys.dat ファイルを彼に送信する必要があると述べている。実行ファイルで発見された文字列を基づくと、この keys.dat ファイルは多分、犠牲者のファイルを暗号化するために使用されたAESキーである。けれども、このファイル中のキーは、このマルウェアの実行ファイル中に格納されたパブリックキーで暗号化されているように見える。このマルウェアは、key.dat ファイルへのアクセスを持っているので、このマルウェアの開発者は、マスター プライベートRSAキーを使用して、それを復号することができる、そして、復号されたAES復号キーを支払いをした犠牲者に送り返す。
 最後に、この身代金要求型マルウェアは、Windowsスタートアップ フォルダに .VBS ファイルを作成するので、この身代金要求型マルウェアは、ユーザがWindowsにログインする度に起動される。これは、この身代金要求型マルウェアが、最新のログイン以降、作成されるであろうあらゆる新しいファイルを暗号化することを可能にしている。  この身代金要求型マルウェアを議論したい人々やサポートを必要としている人々は、このフォーラムのトピック(CryptoRoger Ransomware Help & Support Topic - !Where_are_my_files!.html .crptrgr)を使用することができる。

CryptoRoger身代金要求型マルウェア関連ファイル

!Where_are_my_files!.html
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs
%AppData%\bg.jpeg
%AppData%\files.txt
%AppData%\keys.dat
%UserProfile%\CryptoRoger\[ransomware_exec].exe

CryptoRoger身代金要求型マルウェア関連レジストリエントリ

HKCU\Software\CryptoRoger\
HKCU\Software\CryptoRoger\AESFORUPRIVATE
HKCU\Software\CryptoRoger\UPRIV


Flashを切り捨てるか、それとも、36の脆弱性をパッチするのか、あなたの選択は?
The Register : Security (2016/06/16)
 Adobeは、CVEにリストされている3ダースの脆弱性を解決するFlashのアップデートをリリースした。
 このアップデートは、現在まさにインターネット上で、犠牲者のコンピュータにマルウェアをインストールするために悪用されている CVE-2016-4171 リモートコード実行の脆弱性の修正を含んでいる。
 Adobeは、Windows, macOS, Linux, ChromeOSでFlashを実行しているユーザは、可能な限り早急に、このプラグイン(このアップデートは、ランク「優先度1」を与えられている、そして、Adobeによると、「ターゲットにされている、もしくはターゲットにされる高いリスクがある」フローのために予定されていたもの)をアップデートするよう推奨されている。
 Adobeは、36のフローを通知した、Cisco Talos, Google Project Zero, FireEye, Microsoft Vulnerability Research, Tencent PC Manager, Kaspersky, Pangu Lab, Qihoo 360 Codesafe Teamのおかげだとしている。
 Windows, macOS, ChromeOS(並びに、Chromeブラウザ)に関しては、アップデート バージョンは 22.0.0.192 になる。Linux用のFlash Playerの最新バージョンは、11.2.202.626 である。そして、、Flash PLayerの継続サポートは、18.0.0.360になる。
 このアップデートは、Adobeが、Flash 並びに Cold Fusion, Creative Cloud, Brackets中の脆弱性を解決するための6月のセキュリティアップデートを投稿したその日に出現した。
 このリリースはまた、結果として、多くのソフトウェアメーカーが、彼らのブラウザからFlashを排除する選択を行う結果になっている。Appleは、大量のセキュリティフローが広範なブラウザプラグイン中に存在していることに起因して、FlashコードよりむしろHTML5コンテンツを選択しているGoogle Chromeの仲間入りをすることで、SafariがDefaultでFlashを無効にするだろうと発言している。
 ChromeとSafariのFlashが存在していないバージョンは共に、今年後半に一般利用可能なバージョンがリリースされることになっている。これらのフローのドライブバイの悪用を妨げるために、あなたが許可した場合のみ、ブラウザにFlashコンテンツを実行するように設定(クイック実行)しなければならない。


現在活発な攻撃の下にある緊急のAdobe Flashのバグは、パッチされていない
ArsTechnica UK : Security (2016/06/15)
 攻撃者は、広範に使用されているFlash Player中の緊急の脆弱性を悪用中である。そして、Adobeは、今週遅くまでパッチは準備できないと発言している。
 Kasperskyのグローバル研究解析チームのディレクターCostin Raiuによる火曜日に公開されたブログポストによると、この活発な0−Dayの悪用は、一番最近のFlashのバージョン 21.0.0.242 に対しても動作し、アンチウィルス プロバイダKasperskyの研究者によって今月初めに検出されていた。これは、"ScarCruft"(Raiuによると、高い価値の情報とデータのために企業や組織をターゲットにする"advanced persistent threat"(先進の持続的脅威)キャンペーンに携わっている比較的新しいハッキンググループに対してKasperskyが与えた名前)によって実行されている。
ScarCruftは、比較的新しいAPTグループである。犠牲者は幾つかの国々(ロシア、ネパール、韓国、中国、インド、クエート、ルーマニアを含む)で観測されている。このグループは、複数の脆弱性攻撃を悪用して(Adobe Flashが二つ、Internet Explorerが一つ)幾つかの進行中の活動を持っている。
 現在、このグループは、二つのメジャーなオペレーションに携わっている(オペレーションDaybreakと、オペレーション Erebus)。最初のオペレーションDaybreakは、2016年03月にScarCraftによって発動され、今まで未知の(0−Day)Adobe Flash Playerを悪用し、注目を浴びている犠牲者に重点的に取り組んでいる。もう一つのオペレーション Erebusは、古い脆弱性(CVE-2016-4117と水飲み場攻撃の利用)を悪用している。このグループは、他の0-Dayの脆弱性(4月にパッチされたCVE-2016-0147)を展開することも可能である。
 我々は、Adobeがこの脆弱性をパッチしたら、この攻撃に関する詳細を公開するだろうが、それは6月16日になるだろう。それまで、我々は、Microsoft EMETが、この攻撃の軽減に効果があることを確認している。更に、我々の製品は、この悪用並びにScarCraft APT Threat攻撃に使用されているマルウェアを検出しブロックする。
 現時点で修正されていない脆弱性は、CVE-2016-4171としてインデックスされている。Adobeの必要最小限のアドバイザリは、コチラである。
 この投稿は、Ars Technicaが初出である。


Microsoftの修正はグループポリシーを滅茶苦茶にしたので管理者は号泣している
The Register : Security (2016/06/15)
Microsoftの最新のセキュリティアップデートは、グループポリシー設定に問題を発生させている。
 ReditとMicrosoftサポートフォーラムのユーザは、MS16-072をアップデートをインストールした後、今までの隠しドライブと利用可能なドライブを無視してグループポリシー オブジェクト(GPO)設定の変更がなされたとレポートしている。
 「私は昨晩Windowsのパッチをインストールした、そして今朝、GPOで幾つかの問題を発見した」と、「例えば、デスクトップ イメージは表示されない。ユーザに非表示にしていたA,B,C,Dドライブは、現在表示されている」と、或る管理者は発言している。
 他のユーザは、プリンタとドライブマップにアクセス不能になり、セキュリティ設定はもはや適用されなくなったとレポートしている。
 このユーザは、PCとサーバからMS16-072アップデートをアンインストールすると問題は改善されるとレポートしているが、横たわっているセキュリティ問題をオープンにしたまま放置するという代償が伴う。管理者はまた、WSUS(Windows Server Update Services)制御を介してアップデートを配備しないという選択肢もある。
 MS16-072で説明されるCVE-2016-3223のフローは、ローカルネットワクへのアクセスを持つ攻撃者がターゲット マシンとドメイン コントローラの間で渡されるデータを読む中間者攻撃をセットアップすることを可能にする。Microsoftは、全てのサポートされるWindowsのバージョンで優先度を「重要」として、このセキュリティ情報を評価している。
 このセキュリティ情報は、定例のアップデートスケジュールの一部として、昨日Microsoftによってポストされた16のうちの一つである。MS16-072は、5つの「緊急」情報に次いで「重要」と評価される11の情報のうちの一つである。
 The Registerは、この件に関してMicrosoftにコメントを求めたが、この記事の公開の時点でMicrosoftからの解凍は戻ってきていない。


権限バグを塞ぐためにSumsung(サムスン)PCのブロートウェアをアップデートしなさい
The Register : Security (2016/06/13)
 他の脆弱性がSamsung Software Updater(SW Update) Serviceで警告されている。今回のものは、攻撃者にシステムの「完全制御」を潜在的に可能にしている。
 ドイツのコンサルタントBlue Frost Securityによるアナウンスでは、この脆弱性は、攻撃者が犠牲者のマシンを完全制御するために悪用することができる。
 この脆弱性を悪用するには(Full Disclosureへの投稿)、攻撃者はターゲット マシンに対する認証されたアクセスを必要とする、そこで彼らは、SW Updateディレクトリ中に細工されたDLLを投下することができる。
 これは、SW Serviceが、C:\ProgramData\Samsung\SW Update Service\ ディレクトリへの書き込みを認証されたあらゆるユーザに許可しているためである。
 アドバイザリが述べているところによると、次の再起動で、この細工されたDLLは、稼働され、攻撃者はターゲットの完全制御を取得する。
 システム管理者は、SW Updateを、バージョン 2.2.7.24 にアップデートする必要がある。もしくは、できないのであれば、システム管理者は、影響を受けるマシンのパーミッションを変更する必要がある、これで、ユーザは、SW Updateディレクトリへの書き込みができなくなる。
 3月に戻るが、この同じサービスは、中間者攻撃に対する脆弱性が発見されていた
 PCベンダのOEMソフトウェアは、Lenovo, Acer, Asus, Dell, HPが、Duo Securityに「ベンダ奨励型クラップウェア」と名指しされ平手打ちを食らった5月以降、注目を集めている。


ChromeのPDF Readerは、任意のコード実行の欠陥がある
The Register : Security (2016/06/09)
 CiscoのTalosの一員の研究者は、PDFium(GoogleのChromeブラウザにDefaultでインストールされているPDF Reader)中に任意のコード実行のフローを発見した。
 CVE-2016-1681(TalosのAleksandar Nikolicによって発見された)は、埋め込みjpeg2000イメージを含んでいるこのPDFが、悪用可能なヒープ バッファ オーバーフローの引き金になることを意味している。
 Nicolicは、「OpenJPEGライブラリ中の既存のアサート コールは、スタンドアロン ビルドのヒープ オーバーフローを防止するが、Chromeのリリースバージョン中に含まれるビルドにおいては、このアサーションが省略されている」と記述しているので、このフローは、Chrome開発者の小さなエラーであるかのように見える。
 この省略は、PDFiumがOpenJPEGライブラリを呼び出すとき、バッファ オーバーフローを作成できることを意味している。これが引き起こされると、悪漢共が、彼らのコードを上手く成し遂げることが可能になる。
 Nikolicは、Googleが、このフローを修正したと記述している。
 あなたは、Chromeを単純にアップデートすることで、この変更を利用できる(バージョン 51.0.2704.63は、このバグを治している)。Chromeは、自動アップデートする(但し、自動アップデート以外が指示されている場合を除く)ので、殆どのユーザは保護されるだろう。
 Googleは、このバグを学習した後、大変速やかに行動した。Nikolicは、Tarosが、5月19日に、このフローをGoogleに通知し、Googleは、5月25日にこのフローを修正したと発言している。


UltraCrypterは、支払いしても復号キーを提供しない、代わりに、ヘルプデスクが追加された
BleepingComputer : News>Security (2016/06/06)
 最初から、CryptXXXとUltraCrypterは、身代金要求型マルウェアと支払いシステムに重要な問題を持っていた。最初の二つのバージョンは、暗号化アルゴリズムに欠陥があった、この欠陥は、Kasperskyに犠牲者用の無料の復号プログラムをリリースさせることを可能にした。彼らはこのフローを修正したが、身代金を支払った犠牲者に対してぶっ壊れた復号プログラムを配布し始めた。彼らの最新の問題は、UltraDeCrypter支払いシステムが、身代金の支払いを認識せず、犠牲者が復号プログラムをダウンロードすることが不可能なことである。

UltraDeCrypter支払いサイトは、支払いを認識していない

 身代金を支払うことは、常に最後の手段であるが、同時に、私は、個人や企業が、時として選択肢を持っていないことを理解している。そうは言うものの、UltraDeCrypter支払いサイトは、支払いを実行し、支払いが認められたが、依然として復号プログラムを提供されていないと、犠牲者が報告しているので、ぶっ壊れているかのようである。
 更に悪いことには、支払いシステムが、支払いが実行されたことを認識しておらず、タイマーは作動しつづけ、身代金の額は2倍になっていることにある。この例を以下に画像で示す。これは犠牲者が当初の身代金額 1.2 Bitcoin の間に支払いを実行したことを示している。


支払いは受け入れられていない。

 この問題のために、あなたに選択肢がなく、身代金の支払いの実行を考えているのであれば、この問題が解決するまで、CryptXXX / UltraCrypterに対する身代金の支払いを行わないように強く忠告する。

CryptXXXのギャングは支払いサイトにHelp Desk(ヘルプ デスク)システムを起動した

 おそらく、このグループは、システムに問題を持ち続けているために、彼らは、UltraDeCrypter支払いサイトにHelpDesk(ヘルプデスク)を追加した。このタブは、万一の場合に、犠牲者が、支払いサーバのオペレータにコンタクトするために使用するためのフォームを含んでいる。


支払いサイト上のHelp Desk

 身代金を支払ったが、支払いシステムから復号プログラムを提供してもらっていない人々のために、私は、このフォームを介して開発者にコンタクトするよう強く指示する。
 あなたが、この問題に関して彼らに接触する場合には、それがどのように動作したのかを、この投稿にコメントすることによって、我々に知らされたい。


Lenovoユーザは、危険なセキュリティホールが原因で、アクセラレータ アプリケーションをアンインストールしなければならない
GrahamCluley : News (2016/06/06)
 Lenovoは、深刻なリモートコード実行(RCE)の脆弱性が発見されたことにより、ユーザにアクセラレータ アプリケーションをアンインストールするよう促している。
 Lenovoは最近、緊急と評価されるリモートコード実行(RCE)のフロー(CVE-2016-3944)について幾つかの詳細を詳細を提供しているセキュリティ アドバイザリを公開した。

 「この脆弱性は、Lenovoアクセラレータ アプリケーション中で特定された。この脆弱性は、攻撃者が中間者の能力を持つことによって悪用に導くものである。この脆弱性は、アプリケーション アップデートが利用可能になっているか否かを特定するために、Lenovoサーバがクエリーするアップデート メカニズム中に存在している。」

 このアクセラレータ アプリケーションは、Lenovo アプリケーションの起動をスピードアップする。このソフトウェアは、Windows 10が最初から組み込まれている一部のノートブックと、デスクトップ中にインストールされている。このことは、ErazerとIdeaCentreを含む46のノートブックと25のデスクトップが影響を受けることを意味している。
 Lenovo ThinkPadやThinkStationデバイスは、この脆弱性の影響を受けない。これは、この中国企業が、どちらの製品のタイプにも決してアクセラレータ アプリケーションをインストールしていないからである。
 中間者攻撃(MitM)は、笑い事で済ますことのできる話ではない。この攻撃は、監視能力を搭載しているマルウェアの変種でマシンが感染させられるか、もしくは、感染しているサーバと通信している脆弱性のあるサーバで発生する。
 攻撃者は、ユーザのログイン証明書、金融データ、他の個人情報をインターセプトし盗むために中間者攻撃キャンペーンを使用している。しばしば、ユーザは、取り返しがつかなくなる前に、彼らの通信がインターセプトされていることに気がつくことさえない。


 CVE-2016-3944は、幾つかの相手先商標名製造(OEM)のアップデートの検証、もしくは、購入後の最初のブートでコンピュータのアップデートの責任を負うソフトウェアの検証で、Duo Securityによって焦点を当てられた 1 ダースの脆弱性能値の一つである。
 これらのOEMアップデータの殆どは、ジャンクソフトもしくはブロートウェアであり、伝えられるところでは価値を追加するとされるが、実際には、新しいコンピュータの初期ブートを促進することは殆どない点に注意するよう、このセキュリティ企業は注意している。
 この研究で、Duoは、Dell, Hewlett Packard, Asus, Acer, Lenovoに影響を与える高いリスクのある脆弱性を発見した。
 これらの結果は、昨年のSuperfishの失態を思い起こさせる。今回に限り、ブロートウェアは、あらゆる種類のベンダに影響を与える産業界全般に渡る問題であることは明らかである。Duoの研究者達は、 彼らの論説で警告している。

 「OEMソフトウェアの状況は複雑であり、ベンダ サポート用の沢山の鬱陶しい不必要なツール、無料のソフトウェア試用版、他のベンダ刺激用のクラップウェアを含んでいる。アプリケーションの一部は、あなたのWebブラウザを特定のサイトで起動するためのショートカットを追加する以上のことは何もしない。」

 Lenovoは、このフローを修正しようとさえしていない。アクセラレータ アプリケーションはブロートウェアなので、実行する必要はないと思われる。代わりに、Lenovoは、Windows 10の「アプリと機能」に進み、Lenovo アクセラレータ アプリケーションを選択し、「アンインストール」をクリックすることで完全にこのアプリケーションをアンインストールするようにユーザを促している。
 いなくなって清々した。


WordPressユーザは、ポルノ スパム攻撃に悪用されているプラグインのフローを警告されている
Bitdefender : HOTforSecurity (2016/06/03)
 WordPressを稼働している数万のWebサイトは、ハッカーがポルノグラフィック スパム メッセージを挿入するために積極的に悪用している脆弱性のリスクがあると考えられている。
 この問題は、WP Mobile Detector と呼ばれるWordPressプラグインのバージョンに存在している。このプラグインは、訪問者がモバイル デバイスでWebサイトをブラウズしているか否かを検出し、デスクトップ ブラウザ用にデザインされているテーマに代えて、そのプラットフォーム用の適切なテーマを表示することを企てるものである。
 セキュリティ研究のSucuriのレポートによると、WP Mobile Detector中の0-Dayの脆弱性は、5月末(この開発者が問題を説明された数日後)にPlugin Vulnerabilitiesチームによって閉じられた。  攻撃者は、適切に認証し、誰かが脆弱性のあるWebサイトに悪意あるPHPコードをフィードすることを可能にする、危険なソースから入力されるWebを取り除くことができていなかった、このプラグインのコード中のフローを悪用していた。
 警告を発生させたものは、攻撃者が、一般的に、リモートアクセスを取得すことを可能にするペイロードの引き金を引くために、このセキュリティホールを悪用するだけのことだった。SucuriのDouglas Santosは、以下のように説明している。

 「この脆弱性は悪用することが非常に簡単である。全ての攻撃者が実行する必要のあることは、バックドアURLを添えて、プラグインディレクトリ中のresize.php もしくは timthumb.php(そう、timthumb、この場合、それはresize.phpを含んでいる)にリクエストを送信することである」

 WP Mobile Detectorのメーカーは、彼らが修正を作業している間、WordPressプラグイン ディレクトリから脆弱性のあるコードを削除したが、もちろん、これは、当面Webサイトがセキュリティ侵害されないことを意味していない。  リリースからのこのプラグインの撤退に先立って、報道されるところでは、実際のインストレーションは1万を超えている。そして、この脆弱性のニュースが公開されて以来、数字は明らかに急落しているが、このフローを介して悪用されるリスクのあるWebサイトは世の中に依然として存在していそうである。
 昨日、WP Mobile Detectorの、このフローを修正した新しいバージョン(バージョン 3.6)が、開発元のWebsitezからリリースされた。記述している時点では、最新のエディションは、バージョン 3.7である。
 もちろん、このプラグインの新しいバージョンは、Webサイトの管理者が、何よりもまず、このプラグインのバージョンをアップデートしない限り、何の助けにもならない。
 読者は、WordPress.orgの自己ホスト型WordPressバージョンを実行しているサイトとWordPress.comで稼働している数百万のブログを混同してはならない。(Automatticで稼働している)WordPress.comが、あなたに代わってWordPressのインストレーションを管理し、あなたに代わってセキュリティの世話をしている。
 上述のフローはWordPressの自己ホスト型のバージョンでWP Mobile Detectorを稼働している場合にのみ問題となる。更に、この脆弱性は、悪用されるためにはサーバー上で allow_url_fopen オプションが有効になっていなければならないことを理解することである。
 あなたがWordPressアカウントを自己ホスト型で実行しているのであれば、このソフトウェアと多くのサードパーティ プラグインには脆弱性がしばしば発見されるので、そのセキュリティは、あなたの責任であることを認識する必要がある。
 あなたはWordPressとそのプラグインのアップデートを維持することで、使用するプラグインの数を最小に止めることで、独自のサイトをセキュリティ侵害されるリスクを軽減できる。
 我々は紛らわしい名前のトピックに存在しているが、この問題がWP Mobile Detector中に存在しており、類似の名前(WP Mobile Detectのような)の他のWordPressプラグインには存在していないことを理解することは重要である。
 名前は、テクノロジの世界では大変紛らわしい。そう考えるのは、あなただけではない。


少なくともOutlook Webメール利用者にとって、スパムは依然として問題である
GrahamCluley : News (2016/06/02)
 あなたは、スパムは過去の問題であると誤解しているかもしれない。
 そう、200年代に戻って、あなたは自分自身が「ナイジェリアの王子」(偽の博士号、あなたの男らしさを助長する疑わしい方法...、しかし、以前のように、それを見ることはないだろう)によって盗聴されていることに気がついていたかもしれない。  間違いなく、スパマーは世の中に存在している、しかも、以前より忙しく。
 唯一の相違点は、我々の多くが使用しているWebメールサービスの一部が、全く適切にスパムをフィルターする機能を持っており、あなたが本当に読みたいeMailの決して(殆ど)邪魔にならない場所にスパムを押し込んでいることである。
あなたは過去に自身を苦しめていたものを発見し、自身を大胆であると思っているのであれば、あなたはスパム フォルダに移動すればよい。
 一、二回のクリックで、あなたは立ちどころに過去に戻り、どのようにしてスカムを信じ込むことができたのか、あるいは、どのようにして、あなたのPCを感染させるために設計された悪意ある添付ファイルをクリックするように騙されたのかということへの当惑で、あなたの頭を振ることになるだろう。
 しかし、まさに今週、彼らのWebメール アカウントで、何の努力もせずにスパムを発見した一つのグループが存在した。これは、Microsoftが、彼らの受信箱に直接それを配達していたためである。

erica jeanによるTwitterへのリンク

 そう。BBCニュースの報道では、Microsoftのスパムフィルターに何らかの故障が発生した後、Outlook.comのユーザ(Hotmailの新しい名前)は昨日、自分たちがスパムで水浸しになっていることを発見した。


 「ユーザの一部は、過大なスパムメールを受け取っている可能性がある」

 もちろん、これは、Microsoftが、Outlook.comユーザにノスタルジックな旅行を奢る親切であるが(【訳注】 筆者の皮肉)、彼らのeMail受信箱が、仕事にせよ遊びにせよ可能な限りゴチャゴチャにならないことを信頼している人々にとって大変不適切なものである。


Microsoftがワーム型身代金要求マルウェアを警告している。手っ取り早い解決法は、Windows 10 へのアップグレード
The Register : Security (2016/06/01)
Microsoftは、Windows 10 以前のオペレーティングシステムの外付けドライブに感染するワーム型身代金要求マルウェアを警告している。
 ZCryptスカムウェアは、フィッシングeMail、Wordドキュメント マクロ、インチキのAdobe Flashインストーラという、古いが効果的な方法で拡散している。
 これは、犠牲者の外付けデバイスのファイルが暗号化され、Bitcoinで500US$支払った後にだけ復号できることを犠牲者に案内するHTMLファイル中で警告通知された。
 ZCryptは、遺物である64bit Windows XP と、Windows 10へのアップグレード電撃戦に抵抗している Windows 7 と 8 で稼働する。
 「我々は、ワームのような挙動を呈する新しいタイプの身代金要求型マルウェアについて、Windowsユーザに警告している」と、「この身代金要求型マルウェアは、それ自体を増殖するために、そして、より多くのユーザに影響するために、外付けドライブとネットワークドライブに影響を及ぼしている」と、Microsoftのセキュリティチームは発言している。
 Microsoftは、まず、Windows 10 にアップグレードし、そして、アンチウィルスをアップデートすることによって、ハードドライブのファイルをバックアップし、Windows Edgeブラウザを使用することで、自身を保護するようユーザに推奨している。
 マクロは追放されなければならないし、海賊版とポルノのサイトは回避されなければならない。
 このマルウェアは、ファイル暗号化の間に、USBデバイスが検出されなかったと示唆するインチキのWindows警告を投げてくる。
 Trend Microのマルウェア専門家Michael Jay Villanuevaは、身代金が支払われない場合、身代金の要求額は、5日間かけて 2200US$ に増加すると発言している。これは、支払うまいとするチャンスを妨げ、パニックに陥らせて支払う可能性を増やそうとする一般的な策略である。
 「この身代金要求型マルウェアは、独自で拡散する能力のある殆ど存在しないタイプの身代金要求型マルウェア ファミリーの一つである」と、「この身代金要求型マルウェアは、USBの使用を危険な行為とするために、それ自体のコピーを外付けハードドライブにドロップする」と、Villanuevaは発言している。
 殆どのアンチウィルスは、少なくとも幾つかのこのトロイの変種を検出するが、無料でファイルを復号する方法は存在していない。


6500万人のTumblrユーザは、おそらく慎重になるべき
ESET : We Live Security (2016/05/30)
 今月の初め(【訳注】 05月12日)、2013年まで遡り、ユーザのアドレスとソルト(【訳注】 パスワードを暗号化する際に付与されるデータのこと(日立ソリューションズより))され、ハッシュされたパスワードが、ハッカーの手に落ちていたことに最近気がついたと、Tumblrは明かにした


 我々は、YahooによるTumblrの取得に先立って、サードパーティーが2013年早期のeMailアドレスとソルトされハッシュされていたパスワードの組み合わせで、アクセスを取得していたことを最近認識した。このことに気がつくと直ちに、我々のセキュリティチームは、綿密に調査した。我々の解析は、この情報がTumblrアカウントにアクセスするために使用されたとすることを信じる根拠にならないことを我々に与えた。しかしながら、予防措置として、我々は影響を受けたTumblrユーザが、新しいパスワードを設定するよう要請している。

 Tumblrは、影響を受けたユーザに新しいパスワードを選択するように要請したと発言している。
 しかし、そこにはTumblrが発言していない幾つかのことがある。
 例えば、この簡単なアナウンスにおいて、晒されたTumblrユーザの数は発言されていない。
 更に、Tumblrは、Tumblrユーザによって選択された新しいパスワードが、一意であり、Web上の他の何処でも使用されていないことを保証することの重要性を強調していない。これは、ネット上の他の場所で、彼らが現在のTumblrパスワードと同じパスワードを使用している場合、これらのパスワードもまた変更する必要があることを、ユーザに思い出させないだろう。
 ソルトされ、ハッシュされたパスワードを格納するためにTumblrによって使用されたアルゴリズムによるが、パスワード自体がクラックされる可能性が遠のいたと、彼らが考えていない可能性がある。これは、(例えば、彼らが平文でパスワードを保存するミスを犯していたような場合)、あなたが通常期待するアドバイスが提供されていないことが理由である。
 しかし、Tumblrがユーザに警告し忘れていた他のことがあった。このパスワード データベースが、オンライン犯罪者によって簡単にクラックされていなかったとしても、悪漢共は現在、ユーザのeMailアドレスを保有している。  パスワードがなくても、攻撃者は、この情報を使用してTumblrユーザをスパムすることができるだろう(おそらく、本物のTumblrからの通信を装って、マルウェアの配布や、フィッシングeMailしたり)。
 言い換えると、あなたのパスワードが2013年のデータ漏洩の結果としてクラックされていなかった場合でさえ、そして、その後にパスワードを変更していた場合でさえ、あなたは依然として慎重である理由を持っている。
 いったい、何人の人達が慎重になる必要があるのか?
 私は昨晩、私がTroy Huntの Have I Been Pwned サイトから、私の個人情報がTumblrデータ漏洩中に発見されたことを私に警告する通知eMailを受け取っていたことを発見した。。


Huntは、最近65,469,298の一意のeMailとハッシュされたパスワードを含むものがコンピュータ地下組織で販売されているデータベースに遭遇した。
 Motherboardのレポートとして、このデータベースは、"Peace"の名前で通っているハッカーによって、僅か$150(【訳注】 約16000円)販売されている。"Peace"はまた、Tumblrがパスワードの格納に、クラックすることが大変難しいSHA1アルゴリズムを使用していたと主張している、多分安価を説明するために。
 あなたのTumblrパスワードが、クラックされ大きなリスクを持つものでないとしても、多分、それを変更すべきである。パスワードを一意のものに変更し、クラックや推測することを困難にしなさい。私はまた、あなたのTumblrアカウントに二要素認証を有効にするようアドバイスする。
 パスワードの漏洩を解決することで、あなたがリラックスできると考えないようにしなさい。あなたのeMailアドレスは今、「世の中に」存在し、犯罪者は、あなたと6500万Tumblrユーザに接触する方法を認識している。
 常に、勝手に送りつけられる予想外の電子メールに用心しなさい、そして、添付ファイルを開き、リンクをクリックすることに注意を働かせなさい。 


CryptXXXが3.0にアップデートされた。復号プログラムも、これに対応してアップデートされた
BleepingComputer : News>Security (2016/05/24)
 5月21日、CryptXXX身代金要求型マルウェアの開発者は、Kasperskyの無料のファイル復号プログラムRannohDecryptorを停止するために、バージョン3.0のコードをアップデートした。
 残念なことに、このアップデートは、このマルウェア開発者の復号プログラムも復号不可能にする予想外の結果ももたらした。
 CryptXXXがリリースされて以来、このマルウェアは、Kasperskyが無料で犠牲者のファイルを復号することを可能にしていたバグと欠陥を塞いできた。今回、このマルウェア開発者は、身代金を支払った人々の複数の報告を基に、Kasperskyを停止させるために、そのバージョンを3.0にアップデートした。このアップデートはまた、このマルウェア開発者独自の復号プログラムを利用不可能にしたかのようである。


復号エラー

 CryptXXX 3.0に感染した人々に関して、あなたは、動作する復号プログラムを受け取れない可能性が高いので、身代金を支払わないようにアドバイスされている。代わりに、Kasperskyが、CryptXXX復号アルゴリズムをバイパスする彼らの復号プログラムをアップデートする可能性があるので、待つべきである。
 この身代金要求型マルウェアについて議論したい人々やサポートを受けたい人々は、無料のアカウント登録を行い、このフォーラムを訪問しなさい。あなたはまた、CryptXXX Ransomware Help, Information Guide, and FAQで、助言を求めることもできる。

復号プログラムがアップデートされた(2016/05/25)

 CryptXXX 3.x用の新しい復号プログラムをリリースしなければならないために、このマルウェア開発者の耳は、キーンという耳鳴りがしていたに違いない。ある訪問者(もしくは、内部者)は、「ハッカーが復号アプリケーションをアップデートした」とするコメントをこの記事にポストした。

 私は、CryptXXX支払いサイトから現在の復号プログラムをダウンロードした、この復号プログラムは実際にアップデートされており、以下に示すように、CryptXXX 3.xバージョン用であることを表している。


CryptXXX復号プログラム

 テストでは、今回のバージョンの復号プログラムは、身代金を支払った人々のファイルを実際に復号している。


TeslaCryptはシャットダウンし、マスター復号キーがリリースされた
BleepingComputer : News>Security (2016/05/18)
 TeslaCryptの最後は驚きであった、この開発者達は、彼らの身代金要求型マルウェアをシャットダウンし、マスター復号キーをリリースした。過去数週間に渡って、ESETのアナリストは、TeslaCryptの配布者が、CryptXXX身代金要求型マルウェアの配布に切り替わっていたので、TeslaCryptの開発者達が、ゆっくりと彼らのドアを閉じつつあることに気がついていた。
 ESETの研究者は何が起こっているのかを認識していたので、当てずっぽうを言い、Tesla支払いサイト上のサポートチャットを使用して、彼らがマスターTeslaCrypt復号キーをリリースするかどうか尋ねてみた。彼が驚き、喜んだのは、彼らが、マスター復号キーをリリースすることに同意し、現在消滅している支払いサイト上にそのことをポストしたことであった。


マスター復号キーを表示している支払いサイト

 現在、この復号キーは公に利用可能になったいる。これで、TeslaCryptの専門家BloodyDollyは、TeslaDecoderをバージョン 1.1 にアップデートしたので、バージョン 3.0 と 4.0 のTeslaCryptで暗号化されたファイルは復号することができる。これは、 .xxx, .ttt, .micro, .mp3 拡張子、あるいは、拡張子なしでTeslaCryptに暗号化されたファイルを持つ誰もが、ファイルを無料で復号することができる

TeslaCryptで暗号化されたファイルを復号するためにTeslaDecoderを使用する方法

 TeslaCryptのマスター復号キーのリリースに伴い、犠牲者は、TeslaDecoderをダウンロードし、TeslaCryptで暗号化されたファイルを復号することができる。以下のダウンロードリンクを使用して、TeslaDecoderをデスクトップに保存しなさい。

TeslaDecoderダウンロード リンク

 TeslaDecoderはZIPファイルとしてダウンロードされるので、解凍する必要がある。次に、TeslaDecoder.exe をダブルクリックする。これは以下に示すようにTeslaDecoderを起動する。


TeslaDecoder

 ここで、Set Keyボタンをクリックし、あなたの暗号化されたファイルに使用されている拡張子を選択する。


暗号化ファイルに付け加えられた拡張子を選択する

 あなたの暗号化されたファイルが、本来のファイル名と同一である場合には、上図において強調表示されているオプションを選択しなさい。
 あなたの暗号化されたファイル拡張子を選択したら、以下の画像に示したようにSet Keyボタンをクリックしなさい。


暗号化ファイルに付け加えられた拡張子を選択する

 これで、あなたは以下に示すように、この復号プログラム中にロードされた正しい復号キーの付属するメイン スクリーンに戻る。


セットされた復号キー

 正しい復号キーが、この復号プログラム中に設定されたので、あなたは、特定のフォルダを復号するのか、それともドライブ全体をスキャンするのかのどちらかを選択することができる。特定のフォルダを復号するには、Decrypt folderボタンをクリックする。コンピュータ全体を復号するには、Decrypt allボタンをクリックする。あなたがこのボタンをクリックすると、TeslaDecoderは、復号された(暗号化されていない)バージョンで、暗号化されているファイルを上書きするかどうかを尋ねてくる。安全のために、復号が失敗した場合を考慮して、私は常に、これを実行しないように提案している。
 TeslaDecoderがファイルの復号を完了すると、このプログラムは、メイン ウィンドウ中に概要を示してくる。


TeslaDecoder完了画面

 これで、あなたのファイルの全てが復号されているはずである。あなたがファイルの上書きを選択していない場合には、暗号化されたファイルのバックアップがある。このバックアップファイルには、.TeslaBackup 拡張子が付けられている。
 ESETに、取り分けリリースされているTeslaCryptの全てのバージョンを監視しつづけたBloodDollyに感謝する。彼は、身代金要求型マルウェアと戦うために、世界中のTeslaCryptの犠牲者を支援するためにすさまじい量の仕事をしてきた。

Shopperzアドウェアは検出と削除を妨げるためにRootkitを使用している
BleepingComputer : News>Security (2016/05/18)
 最近、私は、Zemanaのマルウェア アナリストDjordje Lukicによって、Shopperzアドウェアの新しい変種に関して警告された。彼は、この変種が現在、このアドウェアの調査と削除を妨げるためにRootkitを使用していると、そして、Zemanaは検出し削除することが可能であると、私に告げた。
 Rootkitは、それ自身、他のファイル、コンピュータデータを隠蔽することを企てるコンピュータ感染なので、それらはユーザやオペレーティングシステムによって視認されない。Rootkitは、オペレーティングシステムによる要求をインターセプトすることで、それが真実でない場合でも、Rootkitが望んでいるものを通知することによって隠蔽を実行している。
 私はテストマシンにShopperzアドウェアをインストールし、このアドウェアが実行することを確認することを決定した。そして、私は、訪問した様々なWebサイトで挿入されている広告によって迎えられた。


ShopperzがNytimes.com(ニューヨークタイムズ)に挿入している広告

 私がまた、この感染に関連するフォルダの一つを開こうとしたとき、私は、パラメータが不正なので、このフォルダにアクセスできないとするエラーメッセージを受け取った。


Rootkitによるフォルダへのアクセスのブロック

 Rootkitの存在を検索するために、私は、GMER(オペレーティングシステムから隠れている二つのドライバを即座に検出する)を起動した。これはRootkit活動が存在していることを示している。


GMERは、Rootkitフックを検出している

 私は、この二つのRootkitサービスを無効にし再起動した。次に、以下に示すように C:\Program Files\Giolmujiwecder フォルダにアクセスできた。


Rootkit削除後のフォルダ

 アドウェアは始末に負えない、そして、Rootkit関して政府機関が何もしていないことは私には不可解である。我々は、アドウェアが、承認なくスクリーンショットを撮り、彼らのハイジャック方法を隠蔽するためにWMIを使用し、中間者攻撃を実行し、cryptocoin miners(仮想通貨マイナー ソフト)をインストールし、現在、Rootkitを使用していることを認識している。我々が広告の表示ではなく完全なコンピュータ感染の領域に入っているので、アドウェア提供者の活動の制限が実行される必要がある。
 このアドウェアに感染した人々に関して、我々は、こちらに、このアドウェアの削除ガイドを持っている。

How to remove Giolmujiwecder Ads (Removal Guide)


Emsisoftが、Xoristと777身代金要求型マルウェアの復号プログラムをリリースした
BleepingComputer : News>Security (2016/05/17)
 本日、EmsisoftがXorist身代金要求型マルウェア ファミリーと、777身代金要求型マルウェア感染用の二つの新しい身代金要求型マルウェア復号プログラムをリリースした。Xorist身代金要求型マルウェアは、以前から存在していたが、Fabian Wosarは、ケースバイケースを基本に犠牲者を手作業で支援していた。777身代金要求型マルウェアの影にいる身代金要求型マルウェア ファミリーもまた、以前から存在しているが、このサンプルは最近発見されたので、復号プログラムが作成されることとなった。
 この二つの復号プログラムに関する詳細を以下に記す。

Xorist身代金要求型マルウェア ファミリー復号プログラム

 Xorist身代金要求型マルウェアは、暗号化したファイルに、 *.EnCiPhErEd, *.0JELvV, *.p5tkjw, *.6FKR8d, *.UslJ6m, *.n1wLp0, *.5vypSa and *.YNhlv1 のような様々な拡張子をつけてファイルを暗号化する。このファミリーは、ランサムウェア ビルダを利用していることで大変使用しやすいので、大変多くの拡張子が拡散者によって使用されている。
 この復号プログラムを使用するには、同じフィルのペア(暗号化されたファイルと暗号化されていないファイル)を復号プログラムにドラッグする必要がある。次に、この復号プロガラム犠牲者のファイルを復号するために使用される復号キーを発見するためにブルートフォース(【訳注】 総当たり)を実行する。


Xorisキーのブルートフォース

 このブルートフォースのプロセスは一般的に最大で2ー3時間を要するはずである。

DECRYPT_XORIST.EXE ダウンロード

 我々は、Xoristに関する記事をこちらに持っている。そして、このツールに関するメインのダウンロードページは、Emsisoftのサイトに見つけることができる。

777身代金要求型マルウェア復号プログラム

 777身代金要求型マルウェアは、2015年から存在していたようであるが、このサンプルは最近発見された。この身代金要求型マルウェアは、ファイルを暗号化し、それらに .777 拡張子を付ける。Fabian Woserは、この身代金要求型マルウェアによって暗号化されたファイルの復号プログラムを作成した。
 この復号プログラムを使用するには、単純にこのプログラムをダウンロードし、スキャンを実行する。この復号プログラムは、.777拡張子が末尾についたあらゆるファイルを自動的に復号する。

DECRYPT_777.EXEダウンロード

 この身代金要求型マルウェアに関するサポートトピックはこちら(.777 Ransomware Help & Support Topic(.777 Extension))である。

アンチウィルス製品とセキュリティ デバイスは、7-Zipのフローの影響を受ける
GrahamCluley : News (2016/05/13)
 研究者は、7-Zip中の二つの脆弱性を明かにした。この脆弱性は、様々なセキュリティ デバイスやアンチウィルス製品を攻撃に弱いままにしている。
 7-Zipは、ユーザが大変高い圧縮率でのアーカイブを取り扱うことを可能にするオープンソースのWindowsユーティリティである。このアプリケーションは、大きなファイルのサポートを提供し、任意のAES-256暗号化を特徴としているが、ユーザは「あらゆる圧縮、変換、もしくは暗号化方法を」使用することができる。
 このファイル アーカイバは無料である。そして、情報セキュリティの対立する両方の側(【訳注】 例えば、サイバー犯罪者とセキュリティ企業のような)に多くの注意をもたらした。
 NetworkWorldによると、一方の側、FireEye, Malwarebytes, Comodoを含む複数のベンダは、彼らのアンチウィルス製品に7-Zipのライブラリとコンポーネントを統合している。
 別の側、攻撃者は、Nemucod(ZIP添付ファイルを装うトロイの木馬ダウンローダー)を修正し、犠牲者のファイルを暗号化するために7-Zipのソフトウェアを使用して完全に機能する身代金要求型マルウェアの変種にした。


大量のファイルタイプを暗号化するために7-Zipを使用しているNemucod。.crypted拡張子を追加する。

 しかし、ユーザは警告されている。最近、Cisco Talosは、7-Zip中に複数の脆弱性を発見した、この脆弱性は通常より、もっと深刻なセキュリティフローである。Cisco Talos Security Intelligence & Research Group の Marcin Noga と Jaeson Schultzによるブログ ポストでの説明では、
 「この種の脆弱性は、ベンダが影響を受けているライブラリを使用していることに気がついていないかもしれないので、特に懸念される。取り分け懸念されるのは、例えば、この問題がセキュリティ デバイスやアンチウィルス製品に発生している場合である。7-Zipは、全てのメジャーなプラットフォームをサポートしており、今日使用されているアーカイブ ユーティリティで、もっとも人気あるものの一つである。ユーザは、如何に多くの製品と接続機器が影響を受けるのかを発見して驚くかもしれない。」
Cisco Talosは、特に二つのフローを確認した。最初のフロー(CVE-2016-2335)は、7-ZipがUniversal Disk Format (UDF)ファイルを取り扱う方法中に存在する、領域外メモリー参照の脆弱性である。攻撃者は、任意のコード実行をアーカイブするためにこの脆弱性を潜在的に悪用することができる。
 二つ目のフロー(CVE-2016-2334)は、7-Zipの機能Archive::NHfs::CHandler::ExtractZlibFileメソッド中に存在するヒープ オーバーフロー脆弱性である。このフローは、特定のサイズを超える圧縮ファイルをリソースフォークに格納し、ブロックに分割する方法に付随している。これらのブロックサイズのチェックに失敗すると、バッファオーバーフローとヒープ破壊を発生する不正な形式のブロックサイズに帰結する。

 研究者達が彼らの投稿で、二つのバグは同じ問題から発生していると記述している。
 「残念なことに、多くのセキュリティ脆弱性は、彼らのインプットデータを適切に検証できていないアプリケーションから発生している。これら二つの7-Zipの脆弱性は、欠陥のある入力確認に起因している。データは信頼できないソースから出現している可能性があるため、データ インプット検証は、全てのアプリケーションにとって大変重要なものである。」
 ユーザは全ての脆弱性の存在する7-Zipのバージョンを、最新の改定版 バージョン 16.00に可能な限り早急にアップデートすることを要請されている。
 このフローの影響を受ける製品のセキュリティベンダも、同じことを実行するよう希望する。

バングラデシュ襲撃の後、二つ目の銀行がサイバー攻撃を受けていたことが、SWIFT(国際銀行間通信協会)によってが検出された
BBC : Technology (2016/05/13)
 二回目の攻撃に関する警告がSWIFT(国際銀行間通信協会。世界的な送金をサポートする金融メッセージネットワークを監督する組織)からもたらされていた。
 SWIFTは、ターゲットは商業銀行であったが、組織の名前や、どれくらいの現金が奪われたかは明らかになっていないと発言している。
 この攻撃では、二月にバングラデシュから現金を盗むために使用されたものと類似のテクニックとツールが使用されていると、SWIFTは発言している。
 SWIFTは、世界中の凡そ11000の金融機関によって大量の現金を動かすことに使用されている。
 この攻撃者は、ターゲットにされた銀行の「具体的な運転管理の詳細で大変高度な知識」を持っていた、そして、「悪意ある内部関係者」によって彼らの窃盗を支援してもらうことができたと、SWIFTは発言している。
 両方の攻撃において、盗人達は、彼らが制御している口座に多量の現金を送信するためにSWIFTネットワークに詐欺的なメッセージを提出しようとしていた。

スペルミス

 二月の攻撃の解析は、ニューヨークの連邦準備金でバングラデシュ中央銀行によって保持されているアカウントから、他のアカウントに現金を送ることによって、約 10億ドルを盗むことを目的としていたことを示唆している。
 振替指図の一つでのスペルミスは、スタッフに疑念を抱かせ、大量の現金が行方不明になることを防止した。
 二度目の攻撃は、バングラデシュの盗難が、孤立した事件ではなく、「銀行を標的にした広範で高い適応性のあるキャンペーンの一部」ということを示したと、SWIFTは発言している。
 SWIFTネットワークを巧みに取り扱うことがサイバー犯罪者によって企てられたにも拘らず、その中核ネットワークは安全なままであると、SWIFTは付け加えている。
 四月、SWIFTは、顧客のセキュリティの改善を支援するとされるソフトウェアアップデートをリリースした。
 二月の攻撃での調査は、サイバー犯罪者が、貧弱なセキュリティ コントロールのために、この中央銀行ネットワークへのアクセスを勝ち取ったことを明らかにしている。
 この銀行はファイアーウォール(認証されていないアクセスの要求をブロックするように設計されている)も持っていなかった。この銀行はまた、グローバル ファイナンシャル ネットワークに接続するために中古のインターネットルータ(10$程度の)を使用していた。

米国連邦議会は、身代金要求型マルウェアの波状攻撃の後、Yahooメールをブロックしている
Bitdefender : HOTforSecurity (2016/05/12)
 Gizmodoは、4月末、IT部署によって下院のスタッフに送信された、身代金要求型マルウェア攻撃が増加が確認されたことを警告しているeMailのコピーを何とか入手した。これは、主にYahooメールを介して出現している。
 このeMailの一部を引用する。

 この48時間、the House Information Security Officeは、YahooメールやGmail等のようなサードパーティーのWebベースのメールアプリケーションを使用してHouse Networkへの攻撃の増加を確認した。この攻撃はユーザのコンピュータに「身代金要求型マルウェア」を配置することに集中している。ユーザが攻撃メール中のリンクをクリックすると、このマルウェアは、共有ファイルを含む、素のコンピュータ上の全てのファイルを暗号化し、「身代金」が支払われるまでファイルを使用不可能にする。最近の攻撃は、既知の送信者が送ってきたかのようなeMailに、ZIPファイルとして添付された .js ファイルを使用すること集中している。今回、主眼はYahooメールを介していることが明らかである。
 The House Information Security Officeは、この特定の攻撃を解決するために幾つかのステップを取っている。その努力の一環として、我々は、追って通知するまでHouse Network上でのYahooメールへのアクセスをブロックする。我々は、適切な他の軽減防御策を配備するための、あらゆる努力を行っているので、我々は可能な限り早急に完全なアクセスを復活させられるだろう。

 Gizmodは、姓名不詳の議会スタッフが、少なくとも身代金要求型マルウェアの一つでコンピュータを感染させられ、結果としてハードドライブを完全に削除されたことが確認されたとレポートしている。
 この警告がスタッフ、男性及び女性下院議員に送信される直前に、FBIは、身代金要求型マルウェアが増加傾向にあることを、必ず予防措置か、攻撃者によって暗号化されるであろうファイルを復元可能な状態にしておくかの何れかのステップを取るように、消費者と企業に警告する独自のパブリック アドバイザリをリリースしていた。
 事実は、身代金要求型マルウェアが、世界中の個人や組織の大小を問わず金銭を強奪することに、選り好みはしていないということである。身代金要求型マルウェアの一部(残念ながら僅か)は、身代金を支払うことなくファイルを安全に復号することを可能にするバグを含んでいる。
 いつものように、この答えは、「予防は如何なる治療より勝る」である。あなたのコンピュータを身代金要求マルウェアに攻撃されることを止めるための方法に関する私の最上の秘訣に関しては、Bitdefender Business Insightsブログの私の記事をチェックしなさい。
 あなたのシステムを防御し、組織化された安全なバックアップ体制を持つことによって脅威を軽減することの保証とは別に、我々は、ISP(インターネット サービス プロバイダ)やWebメール提供者が攻撃を同定し根絶することで彼らの役割を果たしてもらいたい。
 身代金要求型マルウェア攻撃が、本当にYahooメールアドレスからスパムされているのであれば、これは、Yahooが悪意ある行為に従事している悪用されているアカウントからの犯罪を防止するための最善の仕事をしていないことを示唆している。

Jigsaw身代金要求型マルウェアは、ポルノ拡張を伴ってCryptoHitmanに変身している
BleepingComputer : News>Security (2016/05/11)
 悪名高いJigsaw身代金要求型マルウェアは、CryptoHitmanとして、それ自体の名前を変更した、そして今、人気のあるヒットマン ビデオゲームや映画のキャラクターを使用している。更に、そのロック画面にヒットマンのキャラクターを追加するために、CryptoHitmanは、ロック画面を明らかに開くと都合の悪いポルノ画像で覆っている。


Hitman身代金要求型マルウェア ロック画面(ぼかしてある部分がポルノ画像)

 今までのJigsaw身代金要求型マルウェア感染のように、CryptoHitmanは、あなたのデータをAES暗号化で暗号化し、あなたのファイルを復号する前に身代金の支払いを要求する。この身代金の支払いを行うために、あなたは、cryptohitman@yandex.com に送金することが要求される。
 残念なことに、このバージョンは依然として、このプロセスを再起動する度に、あなたのファイルを削除し、タイマーは 0 に向かって下がっていく。
 大きな相違点としては、新しいポルノグラフィックスのロック画面、ヒットマンのキャラクターの使用、全ての暗号化されたファイルに追加される新しい .porno 拡張子、身代金要求型マルウェア実行ファイルの名前が新しくなったことである。別の面では、この身代金要求型マルウェアは、オリジナルのJigsaw身代金要求型マルウェアと同じことを実行する。
 このサンプルを共有してくれたFletch Secに大いに感謝する。大事なことを言い忘れたが、ヒットマンのフランチャイズのオーナーは、全くこの身代金要求型マルウェアと提携していない。

復号し、Jigsaw身代金要求型マルウェアを削除する方法

 有難いことに、DemonSlay335は、既存のJigsaw身代金要求型マルウェア用復号プログラムを修正することができたので、CryptoHitmanで暗号化されたファイルも復号することが可能である。あなたのファイルを復号するために、あなたが実行すべき最初のことは、あらゆる他のファイル削除されることを妨げるためにタスクマネージャで、%LocalAppData%\Suerdf\suerdf.exe と %AppData%\Mogfh\mogfh.exe プロセスを終了させることである。次に、MSConfigを実行し、これらの実行ファイルに関連するスタートアップ エントリを無効にしなさい。
 あなたが、この身代金要求型マルウェアを終了し、スタートアップを無効化すると、ファイルを復号する段階に進むことになる。この最初のステップは、以下のURLからJigsaw復号プログラムをダウンロードし解凍することである。

https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip

 このプログラムを起動するには、JigSawDecrypter.exe ファイルをダブルクリックする。プログラムが起動したら、以下類似の画面が表示されるだろう。


Jigsaw復号プログラム

 ファイルを復号するには、単純にディレクトリを選択し、"Decrypt My Files"ボタンをクリックしなさい。あなたがドライブ全体を復号したいのであれば、C: ドライブ自体を選択しなさい。あなたは、このプログラムが、あなたのファイルを適切に復号していることを確認するまで、"Delete Encrypted Files"をチェックしないように推奨されている。
 あなたのファイルの復号が終了したら、以下のような画面が表示される。


復号完了(Files Decrypted!が表示されている)

 これで、あなたのファイルは復号されたが、私はあなたのコンピュータの感染をスキャンするためにアンチウィルスもしくはアンチマルウェアを実行するように提案する。あなたが、CryptoHitmanファイルの復号に関して支援を必要とするのであれば、こちらのサポートトピック(CryptoHitman Ransomware Support and Help Topic (.Porno Extension Jigsaw variant)で支援を要請することができる。

CryptoHitman関連ファイル

%LocalAppData%\Suerdf\
%LocalAppData%\Suerdf\suerdf.exe
%AppData%\Mogfh\
%AppData%\Mogfh\mogfh.exe
%AppData%\System32Work\
%AppData%\System32Work\Address.txt
%AppData%\System32Work\dr
%AppData%\System32Work\EncryptedFileList.txt

CryptoHitman関連レジストリ エントリ

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\mogfh.exe      %AppData%\Mogfh\mogfh.exe


犯罪者は、Flashの0-Dayの脆弱性を悪用している
The Register : Security (2016/05/12)
 Adobeは今週、インターネット上で活発に悪用されているFlash Player中の緊急の脆弱性をバッチするだろう。
 明日、リリースされる予定のパッチに先立って、この悪用(CVE-2016-4117)に関して利用可能な情報はない。
 「緊急の脆弱性(CVE-2016-4117)は、Windows, Macintosh, Linux, Chrome OS 用のAdobe Flash Player 21.0.0.226と、それ以前のバージョン中に存在している」
 「Adobeは、CVE-2016-4117に関する悪用がインターネット上に存在しているとする報告を認識している。」
 「悪用が成功すると、クラッシュが発生し、攻撃者が影響を受けたシステムの制御を奪うことを潜在的に可能にする」と、Adobeは発言している。
 この悪用はAnglerのような犯罪キットを使用することが可能である。これの開発者は、Flash、Java、Silverlightのようなランタイムを介してユーザを攻撃する新しい方法を発見したがっている。
 この悪用は、Malvertising campaign(【訳注】 オンライン広告を通じて行われるマルウェア拡散や悪質サイトへのリダイレクトといった悪意ある行為(Weblioより))中で使用されることができる。そうすると、アップデートされたWindows, Adobe Flash, Internet Explorerの幾つかの組み合わせを実行している全ての者が、悪意ある広告を配布しているWebサイトを単に訪問することによってコッソリとセキュリティ侵害されることが可能である。
 MagnitudeとNuclear悪用キットの背後にいる犯罪者が、0-Dayの脆弱性を悪用していることが発見された先月、このような攻撃は実行された。
 Adobeは、Web全体での大量の犠牲者を回避するために定例外のパッチをリリースした。

あなたのWebサイトやブログは、ImageMagicのセキュリティホールで危機に晒されているか?
Sophos : NakedSecurity (2016/05/04)
 ImageMagicは25年以上に渡って存在している無料でオープンソースの画像処理ソフトウェアである。
 あなたは、このソフトウェアについて聞いたことがないかもしれないし、このソフトのロゴ(二進数を散りばめた帽子を被り、長い白ヒゲをはやし、画像を調整する魔法の杖を持った親しみ易そうな魔法使い)を見たことも無いかもしれない。
しかし、例えば、あなたがWebページや記事に後で使用するために、Webサイトやブログ サービスに画像をアップロードしたとき、あなたは、認識さえせずにImageMagicを使用してきた可能性が高い。
 ImageMagicは、グラフィカル ウィンドウ中に画像を開き、メニューからのデザイン ツールの範囲で対話的に作業するGIMP、Adobe Photoshop、AppleのPhotoアプリケーションのようなものではない。
 ImageMagicは、繰り返し可能な方法で大量の画像を処理するのに理想的なコマンドライン プログラムのセットである。
 例えば、あなたが、ユーザが最新の休日のスナップショットを格納し、それらを後にブラウズすることができるオンラインサービスを提供していたとすると、あなたは自動的に画像のサムネイルのセットを作成するためにImageMagicを使用しているかもしれない。
 あなたはアップロードされた全てのファイルを正方形(正確に200*200pixel)にクロップしたり、標準パレットで256色GIFファイルに変換するようなバッチ ジョブを実行することができる。
 例えば、あなたは、画像に注釈を追加するために、一番下に著作権表記を記述するための灰色のバーを追加する; 色補正の自動実行; 一括して画像をシャープにする; Webサイト用のアニメーションGIFを作成する等を実行するためにImageMagicを使用することができる。
 ImageMagicは、ピクセル ベースとベクトル ベースの両方で、画像を一連のテキストコマンドとして記述することを可能にする独自の、MSL(Magick Scripting Language) や MVG(Magick Vector Graphics)のような様々なスクリプト言語をサポートしている。

これは何を意味しているのか

 これが意味していることは、ImageMagicがインターネットに直面しているサーバのバックグラウンドでしばしば実行されており、リモートユーザによってアップロードされた信頼できない画像を自動的に処理しているいうことである。
 残念ながら、本日報告されたImageMagicの脆弱性(CVE-2016-3714)は、ImageMagicソフトウェアを誑かしてコマンドを実行させるためにブービートラップされた画像をアップロードすることが可能なので、リモートコード実行のバグとして知られることを導くものである。
 あるレポートによると、サイバー犯罪者は既に、この脆弱性を認識しておりインターネット上でこのバグを悪用している
 想像できるように、犯罪者はサーバーベースのリモートコード実行のセキュリティ ホールが大好きである。これは、彼らが正当なWebサイトを乗っ取ることを可能にし、大抵はLinuxフレーバーの何れかを実行し、フィッシング、データを盗んだり、身代金要求型マルウェアの拡散のような犯罪目的にそれらを使用するためである。

実行することは?

    ・ あなたが、Webサイトやブログをホストしてもらっているのであれば、あなたのホスティング プロバイダに、ImageMagicを使用しているかどうか尋ねなさい。
    ・ 可能な限り早急にImageMagicをパッチしなさい(修正は2016/04/23に始まる週の週末と約束されている)。
    ・ それまでは、ImageMagicの policy.xml ファイルを編集することでImageMagicの提案されている解決策を適用しなさい。

 この脆弱性の詳細は悪用を模倣するリスクを減少させるために未だに公開されていない。
 しかしながら、ImageMagic解決策は、この製品のポリシー設定に対して以下の行を追加することが必要である。

<policy  domain="coder"  rights="none"  pattern="EPHEMERAL"  />
<policy  domain="coder"  rights="none"  pattern="HTTPS"  /> <policy  domain="coder"  rights="none"  pattern="MVG"  />
<policy  domain="coder"  rights="none"  pattern="MSL"  />

 簡単に言えば、これらの行は、特定の種類の入力(その何もJPEGまたはGIFのような伝統的な画像ファイルではない)の自動処理をオフにする。そして、それら全てはローカル ファイル システムのファイルを参照するのに使用される。
 我々はネットワーク外部から「内部」ファイルへの参照能力が、リモートコード実行を可能にしているこの問題の一部であると推測している。
 たまたま、ImageMagicサポートフォーラムの一つでのアドバイスは、2014年以降これらの設定を固定化するように示唆していたが、それらは未だDefaultでpolicy.xmlの一部になっていない。
 興味あることに、それ自身をImageTragicと呼ぶサードパーティーの情報は、以下の追加も推奨している。

<policy  domain="coder"  rights="none"  pattern="URL"  />

 おそらく、この追加行は、彼らがHTTPSを使用していない場合でも、ネット経由での特定のURLのImageMagicの処理をOFFにする。

Regsvr32は、JScriptインストーラを介して身代金要求型マルウェアをインストールするために使用することができる
BleepingComputer : News>Security (2016/04/28)
 Casey Smithと名乗るセキュリティ研究者が先週、Windows Regsvr32.exeコマンドが、AppLocker(リンクは日本語サイト)制限をバイパスするために使用可能であるとする記事を公開した。この記事において、彼は、Regsvr32がURLを使用してリモートホスト上で特別に細工されたスクリプトを実行することができるという一般には知られていない機能を説明している。これらのスクリプトは、Regsvr32がスクリプトを実行するときに実行される埋め込まれているJscriptもしくはVBScriptを含むXMLファイルである。
 これは、攻撃者が、それにアクセスした場合に限られるが、あなたのコンピュータに対して大変な悪事を実行する多大な可能性に繋がっている。

JScriptを介して身代金要求型マルウェアをインストールするRegsvr32

 テストとして、私は、身代金要求型マルウェアのJavascriptインストーラを取得し、Regsvr32.exeで実行できるように、このインストーラを改竄した。Nemucod身代金要求型マルウェアは、それ自体をインストールするためにJavascriptに強く依存しているので、この身代金要求型マルウェアがテストするには適切であると考えた。
 Casey Smithの記事に見られる指示に従い、私は、NemucodインストーラのJavascriptを含めた特別に細工されたXMLファイルを作成した。Regsvr32.exeで適切に動作するようにするには多少の改竄が必要であったが、これはいたって簡単であった。次に、私は、更なる改竄として、身代金要求型マルウェアをインストールする前にスクリプトによって実行される%Temp%フォルダ中にバッチファイルを作成する小さなスクリプトを追加した。このバッチファイルは、既知のアンチ-マルウェアやアンチ-ウィルス プログラムを終了させるので、これらのプログラムは身代金要求型マルウェアがインストーするすることをブロックできなくなる。  不幸にして、このテストは完全に動作した。Regsvr32.exeは、私のテストサーバへのURLを使用して、私のスクリプトを実行することができた。次に、このスクリプトは、私が実行しているアンチウィルスを終了させ、身代金要求型マルウェアをインストールした。このテストをデモンストレートするために、私は、Nemucod身代金要求型マルウェアをインストールするためにRegsvr.exeを使用する方法を示したビデオを、こちらに作成した。
 この方法の悪いところは、これがマルウェアをインストールする前にシステムを簡単に改竄するために使用できることにある。通常ホワイトリストされたプログラムを使用しているVBScriptやJScriptは、レジストリやシステム設定を簡単に変更したり、セキュリティプロセスを終了させたり、マルウェアの望み通りの場所にそれらをインストールすることができる。更に、Regsvr32は、正当なアプリケーションであり、これらのリモート スクリプトファイルは、あなたの好みの名前をつけることができるので、アンチウィルス ソフトウェアは、これを簡単に検出することができない。

Regsvr32のアウトバウンド リクエストの要請をブロックする

 残念ながら、Microsoftは、リモートURLからスクリプトを実行することのできるRegsvr32の能力に関して沈黙したままである。これがパッチされるか否か未知なので、Regsvr32.exeがソフトウェア ファイアーウォールを通過してネットワークにアクセスすることをブロックするのは重要である。あなたが、実行ファイルがインターネットに到達することをブロックすることが可能なファイアーウォールをインストールしていないのであれば、この目的のためにWindows Firewallを使用することができる。
 このルールを作成するには、スマートメニューをクリックし、Windows Firewallとタイプする。セキュリティが強化されたWindows Firewallオプションが表示されるので、これをクリック。これはWindows Firewallを開くはずである。ここで送信の規則のカテゴリをクリックし、次にアクション メニュー、そして、新しいルールの順にクリックする(【訳注】 [スタート] - [管理ツール] - [セキュリティが強化されたWindowsファイアウォール] の順にクリックしても表示できるはずですが、OSのバージョンによって多少の違いがあるかもしれません)。
 あなたはこれで、以下に示す送信の規則の追加ウィザードを見ているはずである。


新しい送信の規則

 選択されているオプションを選択状態にしたまま、次へボタンをクリックする。これで、プログラムを選択する画面になっているはずである。


プログラムの選択

 このプログラムのパス フィールドに、C:\Windows\System32\regsvr32.exe と入力し、次へボタンをクリックする。これで、操作の画面になっているはずである。


操作の選択

 接続をブロックするのオプションを選択して、次へボタンをクリックする。これで、プロファイルの画面が表示される。


プロファイルの選択

 全て(ドメイン、プライベート、パブリック)にチェックを入れ、次へボタンをクリックする。これで、このルールに名前を付けるように要求してくる画面に変わるはずである。このルールに分かり易い(説明的な)名前を与え、完了ボタンをクリックする。これでルールが作成された。今回は、C:\Windows\SysWOW64\regsvr32.exe ファイルをブロックしたが、他のファイルをブロックするには、あなたは、再び同じ手順を使用する必要がある。
 Regsvr.exeは、これで、インターネットアクセスをブロックされていなければならない。

KasperskyがCryptXXXの無料復号ツールをリリースした
BleepingComputer : News>Security (2016/04/26)
 先週、ProofpointブログにCryptXXXと呼ばれる新しい身代金要求型マルウェアの解析がKafeineによって投稿された。彼らの解析に基づいて、彼らは、CryptXXXがAngler Exploit Kitの開発者と、Reveton画面ロック型身代金要求型マルウェア ファミリと提携していると決定した。


CryptXXX脅迫文

 ユーザがCryptXXXに感染すると、彼らのデータの全ては暗号化され、ファイル名に .crypt 拡張子が追加される。この身代金要求型マルウェアの開発者は、復号キーを取得するために、500 US$もしくは、凡そ 1.2 Bitcoinを要求してくる。更に悪いことには、この身代金要求型マルウェアは、あなたのBitcoinウォレットを盗み、FTPクライアント、インスタント メッセンジャー クライアント、ブラウザに関連する情報と証明書を収穫しようとする。
 有難いことに、昨日Kasperskyが、この身代金要求型マルウェアの復号ツールをリリースした。

Kasperskyが、CryptXXXファイル用の無料復号ツールをリリースしている

 リリースされている身代金要求型マルウェアの量と、それらが人々にもたらす責め苦で、誰かが身代金要求型マルウェアの無料復号ツールをリリースすることは良いことである。昨日、Kasperskyは、CryptXXX身代金要求型マルウェアの弱点を発見し、犠牲者が彼らのファイルを取り戻すために使用することができる無料の復号ツールをリリースした。
 この新しい復号ツールは、RannohDecryptorと呼ばれるものであり、暗号化されたファイル中の復号キーを決定するものである。これが実行不可能なら、犠牲者は、同一の暗号化されたファイルと、暗号化されていないファイルの両方を、このプログラムに入力する必要がある。このファイルのペアを使用することで、この復号プログラムは、暗号化されている全てのファイルに使用されている復号キーを決定することができる。情報としてであるが、あなたは大抵の場合、暗号化されたファイルと暗号化されていないファイルの同一のファイルのペアを発見する必要があるだろう。
 犠牲者がファイルのペア(同一ファイルの暗号化されたファイルと暗号化されていないファイル)を必要とするとき、私が通常人々に提案していることは、C:\Users\Public\Pictures\Sample Pictures フォルダ(【訳注】 ピクチャ フォルダのサンプル ピクチャフォルダ)中に発見されるサンプル画像を使用することである。これらの画像は、必ず身代金要求型マルウェアによって暗号化されている、そして、それらのファイルの暗号化されていないバージョンは、他のコンピュータから簡単にダウンロードすることができる。これを簡単にするために、私は、Windows 7のサンプル画像のリポジトリを、こちら(http://download.bleepingcomputer.com/public-sample-pictures/)に作成した。Windows 8 や 10 が異なるファイルを使用しているのを、あなたが、発見した場合には、私に知らせなさい。私はこのオペレーティングシステムのリポジトリをアップロードするだろう。

Kaspersky RannohDecryptor.exe ダウンロード(直リンク)

 復号プロセスを開始するには、上述のファイルを単純にダウンロードし、実行する。このプログラムを実行し、スタートボタンをクリックすると、このプログラムは、暗号化されたファイルを選択することを要求してくる。ファイルを選択すると、このプログラムは復号キーを決定しようとする。大抵の場合、このプログラムが復号キーを実行することは不可能だろう。そして、このプログラムは、同一の暗号化されたファイルと暗号化されていないファイルのペアを選択するように、あなたに促してくる。
 C:\Users\Public\Pictures\Sample Pictures から暗号化されたファイルを選択すると、同じファイルの暗号化されていないバージョンを選択するように、あなたに要求してくる。こちらから、対応する暗号化されていないファイルをダウンロードし、それを選択しなさい。この復号プログラムは、復号キーを決定することが可能になり、あなたのファイルの復号を開始するはずである。


ファイルの復号中

 ファイルの復号が終了すると、この復号プログラムを終了し、コンピュータからこのプログラムを削除することができる。あらゆる他の残存物を削除するために、あなたのお気に入りのアンチウィルスやアンチマルウェア プログラムでコンピュータをスキャンすることを、私は提案する。

CryptXXX関連ファイル

de_crypt_readme.bmp
de_crypt_readme.txt
de_crypt_readme.html
%AppData%\[id].dat
%Temp%\{C3F31E62-344D-4056-BF01-BF77B94E0254}\api-ms-win-system-softpub-l1-1-0.dll
%Temp%\{D075E5D0-4442-4108-850E-3AD2874B270C} \api-ms-win-system-provsvc-l1-1-0.dll
%Temp%\{D4A2C643-5399-4F4F-B9BF-ECB1A25644A6}\api-ms-win-system-wer-l1-1-0.dll
%Temp%\{FD68402A-8F8F-4B3D-9808-174323767296}\api-ms-win-system-advpack-l1-1-0.dll

出会い系サイトBeautiful Peopleのデータがオンラインで売られていた
BBC : News>Technology (2016/04/26)
 「美人限定」を目的とした出会い系サイトから盗まれたデータは、オンラインで取引されていた。
 体重、身長、仕事、電話番号を含む100万を超えるメンバーの詳細が、2015年12月にオンラインに暗号化されていない形で発見された。
 このデータが現在、ブラックマーケットで販売されていると、セキュリティ専門のTroy Huntが発言している。
 この企業の発言によると、2015年07月以前に参加したメンバーのデータが含まれており、パスワードや金融情報は含まれていない。
 このデータを最初に発見したセキュリティ研究者Chris Vickeryは、この企業は、彼がこのデータに気が付いた後、素早く行動したが、その時には既にデータは販売中であったとBBCに告げた。
 「彼らは、保護のかけらもなしに世界に向けて、このデータを公開した」と、彼は発言している。
 Beautiful Peopleは当初、このコンテンツはテストサーバからのものだと主張したが、Vickeryは、データそれ自体は本物であると発言していた。
 それが実データであるなら、テスト データベース中のものであろうとなかろうと何の違いもないと、彼は付け加えている。
 同日、二人目の研究者が、同じ弱点を同定したことも知られている。
 「晒されたものは、2015年7月中旬以前のメンバーによって提供されたデータに関連している。それ以降のユーザのデータもしくは2015年7月中旬以降に参加したユーザに関連する如何なるデータも影響を受けていない」とBeautiful Peopleは声明中で述べている。
 「この時点で(2015年12月)、我々が認識している限りでは、晒されたことを我々に通知した二人のセキュリティ研究者だけしか、このデータにアクセスしていない」とも述べている。


Beautiful People Webサイト画像(このWebサイトに参加したい美しい人々は、最初に既存のメンバーによって評価される)

公開情報

 今、セキュリティ侵害されたデータはブラックマーケットで売られているとセキュリティ専門のTory HuntはForbsに告げている。  「今、これは公になっている、サイバー犯罪者は、個人情報等を盗むためにこの情報を使用する機会を持っている」と、Kaspersky Labのセキュリティ主任研究者David Emmは発言している。
 「残念ながら、こうしたものを晒すことが為されると、実行できることは少ししかない。」
 サイバー犯罪者は、新しいものを形成するために本物の個人情報を使用する、そして、犯罪者達は、盗まれたデータを取得後一ヶ月以内に行動する傾向があると、個人データ情報企業GBGの業務執行役員John Lordは発言している。
 「組織は行動を起こし、より多くのデータ、ユーザとビジネスの両方に奉仕するために個人情報盗難の潜在的影響を最小化するための内部的洞察と複数の個人情報証明技術を使用する必要がある」と彼は続けている。

美人の秘密

 Beautiful People Webサイトに参加したい人々は、48時間の間、既存の異性のメンバーによって評価されるために写真を登録する。
 彼らが十分な賛成票を得たなら、彼らはメンバーとして承認される。
 この企業は、このWebサイトで出会った人々の間での結婚は700を超えていると主張している。


7ev3n-HONE$T身代金要求型マルウェアは、ファイルを暗号化しR5Aに名前を変更する
BleepingComputer : News>Security (2016/04/23)
 Moshと名乗るセキュリティ研究者が、7ev3n身代金要求型マルウェアの新しい変種を発見した。この変種は、7ev3n-HONE$Tとして、7ev3nの名前をブランド再生したものである。この身代金要求型マルウェアは、データを暗号化し、次に、犠牲者のファイルの身代金としてBitcoinで凡そ400US$を要求する。このマルウェアの拡散方法と使用されている暗号化のタイプは現在未知である。


7ev3n-HONE$T身代金要求型マルウェア

 7ev3n-HONE$Tは、データを暗号化すると、ファイルを .R5A拡張子を使用して連続番号にリネームする。例えば、あるフォルダにあるファイルは、1.R5A, 2.R5A, 3.R5A等にリネームされる。7ev3n-HONE$Tは、次に、暗号化されたファイルの名前を C:\Users\Public\files ファイルに追加する。
 データの暗号化を終了すると、このマルウェアはコマンド&コントロール サーバに接続し、様々な情報と統計をアップロードする。送信される情報は、犠牲者に割り当てられたBitcoinのアドレス、暗号化されたファイルの合計、一ファイル拡張子あたりの合計、犠牲者の一意のID。Moshによると、このコマンド&コントロール サーバは、IPアドレス 46.45.169.106(トルコのイスタンブールにある Radore Veri Merkezi Hizmetleri A.S.)に置かれている。
 終了すると、以下のファイルが C:\Users\Public フォルダに配置される。

    ・ C:\Users\Public\conlhost.exe - この身代金要求型マルウェアの実行ファイル
    ・ C:\Users\Public\files - 暗号化されたファイルのリスト
    ・ C:\Users\Public\FILES_BACK.txt - この身代金要求型マルウェアの開発者に接触するための代替方法
    ・ C:\Users\Public\testdecrypt - 無料で復号されるファイルのリスト
    ・ C:\Users\Public\time.e- この身代金要求型マルウェアが犠牲者のファイルを暗号化したタイムスタンプ

     この身代金要求型マルウェアのロック画面は、四つの異なったウィンドウに分割されている。一つ目のウィンドウは、上に示したメインのロック画面であり、脅迫文と身代金が送信されなければならないBitcoinのアドレスが表示されている。二つ目の画面は、犠牲者が、3-5個のファイルの復号テストを実行することを可能にしている。


    復号テスト画面

     三つ目の画面は、暗号化された全てのファイルのリストである。


    暗号化されたファイルのリスト

     四つ目の画面は、身代金の支払い方法の情報を提供している。


    支払方法

     この時点で、無料でファイルを復号する方法はないが、何らかの変化があれば、私は間違いなく、この記事をアップデートする。

    7ev3n-HONE$T関連ファイル
      C:\Users\Public\conlhost.exe
      C:\Users\Public\files
      C:\Users\Public\FILES_BACK.txt
      C:\Users\Public\testdecrypt
      C:\Users\Public\time.e
      %Temp%\fpnzzre

    7ev3n-HONE$T関連レジストリ エントリ
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\allkeeper      C:\users\Public\conlhost.exe
      HKCU\Software\crypted      1
      HKCU\Software\testdecrypt      1


    AppleがQuickTimeを放り出した後、AdobeはQuickTimeから派生する問題を解決するために慌てふためいている
    The Register : Security (2016/04/22)
     Appleは最終的に顧客に対して、Windows用QuickTimeをもはやサポートすることはないと通知した。そこで、Adobeはユーザにリスクを残すことを回避するために直ちにコードの再作成作業を実行する必要に迫られている。
     先週、Trend Microは、Appleが20年以上に渡って続けてきたWindows用QuickTimeのサポートを投げ捨てたとするニュースを公開した。Trendの研究者達は、QuickTimeのコード中に二つの緊急の脆弱性を発見した。しかし、Appleは、このソフトウェアがもはやサポートされないことを、従って、バグもその他の問題も決して修正されないことをTrendに告げた。
     US-CERT(United States Computer Emergency Readiness Team、米国国土安全保障省・情報セキュリティ対策チーム)は、QuickTimeが、ハッカーの脆弱性の悪用に対して無防備であるために、このソフトウェアを即座にアンインストールするようにQuickTimeユーザに警告した。しかしながら、QuickTimeを削除することは一部の人々にとっては不可能だろう。例えば、Adobe After Effectsは、QuickTimeに依存しているし、他の製品もまた影響を受けると発言している。
     「Adobeは、その専門家用のビデオ、オーディオ、デジタル画像アプリケーション中のQuickTimeの依存関係の削除に関して広範囲に作業した。そして、多くの .mov フォーマットのネイティブ デコーディングは本日利用可能になっている(未圧縮のDV, IMX, MPEG2, XDCAM, h264, JPEG, DNxHD, DNxHR, AVCI, Cineformを含む)。ネイティブ エキスポートのサポートは、.mov ラッパー中のDVとCineformに関して利用可能である」と、Adobeは発言している。  「残念ながら、WindowsにインストールされたQuickTimeに依存したまま残る幾つかのコーデック(最も顕著なのはApple ProRes)がある。我々は、このフォーマットが多くのワークフロー中で、いかに一般的であるかを認識している。そこで、我々は、この状況の改善に一生懸命取り組んでいるが、現在、ネイティブ デコードに関する期間を見積もることができない。」
     Adobeは、長期目標は、QuickTimeのような外部プレーヤーに依存するのではなく、彼らの全てのソフトウェア用のネイティブコードを作成することだと発言しているが、これは、直ぐに可能になるものではない。おそらく、これは大変な仕事になることが予想されるので、Photoshopは、固有の打開策が発生する日時を与えられていない。
     それまでは、AdobeのWindowsの顧客は、悪意あるビデオが再生されると完全なリモートコード実行を可能にするセキュリティ上の二つのセキュリティホールを持っているにもかかわらず、現在、QuickTimeを使用する以外の選択肢をもっていない。Adobeはこれに関して素早い改善を目指すだろう。そして、Appleの顧客は、幾許かの安心を得るためにCook & Coを信頼することになるだろう。


    気味の悪いアドウェアが犠牲者の承諾なしにデスクトップのスクリーンショットを撮っている
    GrahamCluley : News (2016/04/20)
     研究者は、ユーザの承諾なしにコンピュータのデスクトップのスクリーンショットを撮影する汚らわしいアドウェアの変種に遭遇した。
     BleepingComputerのコンピュータ セキュリティ エキスパートLawrence Abramsは、”Faster Internet”として知られるアドウェアが、疑いを持たないユーザのデータを収集する傾向を持っていると、ブログにポストしている。

     「Faster Internetがインストールされると、マザーボード、CPU、ハードドライブ、ネットワークアダプタ、あなたのコンピュータに関する他の情報に関連する情報で構成される指紋を作成する。この情報は次に、開発者のサーバにアップロードされる。次に、インストールされた時点でのコンピュータのアクティブ ディスプレイのスクリーンショットを取得し、このスクリーンショットを、あなたのIPアドレスと共に[a .online URL]に送信する。」

    Faster Internetをマシンにインストールされた者は、このアドウェアがデスクトップのスクリーンショットを撮ることの通知を決して受け取ることはない。
     これは様々な形でのユーザに対するトラブルの兆しである、Abramsの説明。

     「この問題は、このプログラムがインストールされたとき、ユーザが、スクリーンショットが現在含まれている内密のドキュメント、Webサイト、あるいは、開いているプログラムを持っているかもしれないということであり、これらを極悪人にアップロードしているかもしれないということである。犠牲者がオンライン銀行口座のパスワードマネージャを開いていたら、あるいは、社会保障番号と住所を表示している納税申告書や犠牲者が公開されたくない個人の画像を表示していたならどうだろうか? 黒幕が誰なのか誰も知らないし、彼らがこの情報をどのように実行するのか誰も知らない。この挙動は重大な懸念される問題である。」

     Faster Internetは、ここ数ヶ月でユーザのセキュリティを脅かす唯一のアドウェアではない。2015年02月に戻る。我々は最初にSuperfish(全てのLenovoのPC上でユーザのWebブラウザに広告を挿入しようとするためにHTTPS暗号化トラフィックを横取りするアドウェアの種類)を学習した。

    Superfishの影響を受けたユーザは、もはやHTTPS接続を信頼できなくなったので、Microsoftは、ユーザのセキュリティに悪影響を与えることからSuperfishに類似するアドウェアを妨げるための努力として、12月に戻り、マルウェア評価基準を調整することを決定した。
     アドウェアから自分自身を保護したいユーザは、彼らのコンピュータのアンチウィルス プロバイダのアップデートを維持すべきである(記述している時点で、56のアンチウィルスソフトのうちの17がFaster Internetを悪としてフラグしている)。
     ユーザは、AdBlock PlusのようなAdblocker(広告ブロック)のインストールを考えるかもしれない。ブラウザ拡張のこれらのタイプは、アドウェアを徹底的にブロックできないが、アドウェアをホストしているWebサイトへリダイレクトするかもしれない広告と他の悪意あるソフトウェアをブロックすることはできる。

    【重要】 Apple QhickTimeに関して
    訳者より (2016/04/20)
     下の、「Appleは、Windows用のQuickTimeを見捨てた」とする記事で、QuickTimeを削除することが推奨されていますが、Appleから、QuickTimeを削除した場合「Creative Cloudユーザーにとって不具合が生じる可能性がある」とする反論が出ています。ただ、今後AppleがQuiciTimeのパッチを提供しないことには変わりありません。

    詳細は、ZDNet Japanの記事を参照してください。


    復号可能: 新しいAutoLocky身代金要求型マルウェアはLockyに成り済ますことに失敗している
    BleepingComputer : News>Security (2016/04/16)
     悪名高いLocky身代金要求型マルウェアに成り済まそうとしている新しい身代金要求型マルウェアが発見された。このマルウェアは自身をLockyと呼び、暗号化したファイルの末尾に .Locky を追加しているが、緻密な実験で明確になったことがあった。第一に、脅迫文が完全に違っている。コマンド&コントロール サーバにTorを使用していない。更に掘り下げると、Visual C++ではなくAutoItスクリプト言語で作成されていたことを、私は確認した。


    脅迫文の冒頭部分

     EmsisoftのFebian WosarがAutoItスクリプトを逆コンパイルした時。彼は。影響を受けたデータを復号するために活用できる脆弱性を素早く発見した。残念ながら、AutoLockyが拡散している方法は、現時点で知られていない。
     以下の記事において、私は、あなたのファイルを復号する方法を概要する、そして、AutoLocky暗号化プロセスの技術的概要を簡潔に提供する。Emsisoftの無料の身代金要求型マルウェアの復号プログラムのリストを確認したい人々は、以下の復号プログラムのページを訪問しなさい。

    AutoLockyを削除し、そのLockyファイルを復号する方法

     AutoLockyに感染した場合、あなたが最初に実行することは、このマルウェアを起動している実行ファイルを決定するためにスタートアップ フォルダのリンクのプロパティを確認することである。実行ファイルの名前が決定したら、Task Managerを起動し、そのプロセスを終了させる。次に、関連する実行ファイルを削除する。スタートアップ リンクは、%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk に発見される。
     この身代金要求型マルウェアのプロセスを終了させ、スタートアップ リンクを削除したら、以下のリンクからAutoLocky復号プログラムをダウンロードし、このファイルをデスクトップに保存する。

    AutoLocky用Emsisoft復号プログラムのダウンロード

     ダウンロードしたら、decrypt_autolocky.exe をダブルクリックし、このプログラムを起動する。このプログラムが起動すると、UAC(【訳注】 User Account Control、ユーザーアカウント制御)プロンプトが表示される。進むには Yes をクリックする。このプログラムは起動し、復号キーを取得しようとする。キーが発見されると、以下のような新しいウィンドウに復号キーを表示する。


    発見された復号キー(【訳注】 消してある部分が復号キー。コメントの内容は、僅かながら、キーが間違っている可能性があるので、最初に幾つかのファイルを復号して、このキーが正常に動作するか否かを確認しなさい)

     OKボタンを押すと、あなたが同意しなければならない使用許諾書が表示される。継続するには、OKボタンを押し、以下の画像のようなAutoLocky復号プログラムのメイン画面を表示する。


    AutoLocky Decryptor(AutoLocky復号プログラム)

     Defaultで、この復号プログラムは、C: ドライブのファイルしか復号しない。暗号化されたファイルが他のドライブにも存在するのであれば、Add Folderボタンをクリックし、このリストに、そのドライブを追加しなさい。準備ができたら、ファイルを復号を開始するために、Decryptボタンをクリックしなさい。Decryptをクリックすると、この復号プログラムは、暗号化されたファイルの全てを復号し、以下にみられるような結果画面に復号状況を表示する。


    復号結果

     これで、あなたの全ファイルは復号されているはずなので、この復号プログラムを閉じる。
     この身代金要求型マルウェアの技術的な詳細を知りたい方は、以下のセクションを読みなさい。

    AutoLockyはAutoItで作成された最初の暗号化身代金要求型マルウェアかもしれない

     この暗号化身代金要求型マルウェアの興味ある特徴の一つが、AutoItを使用してプログラムされた最初の物であるかもしれないことである。AutoItは、Windows GUIの自動化と一般的なスクリプト処理を目的として設計されたスクリプト言語である。時間と共に、殆どのタスクのためのプログラムを作成することを可能にするパワフルな言語に成長してきた。
     AutoItマルウェアプログラムの弱点の一つは、逆コンパイルすることで可読できるスクリプトに変換できることにある。これで、研究者は、実行ファイルにコンパイルされたオリジナルのスクリプトのように殆ど正確に確認することが可能になる。そのオリジナルの言語でマルウェアを解析することで、そのスクリプトは自明なものになる。

    AutoLocky暗号化方法

     AutoLocky身代金要求型マルウェアの拡散方法は、現在分かっていない。アイコンはAdobeのPDFアイコンを真似たアイコンであるので、eMail添付ファイルとして拡散している可能性がある。インストールされると、AutoLockyはターゲットにされているデータファイルに関して全ての固定ドライブをスキャンし、AES-128アルゴリズムを使用して暗号化する。ファイルが暗号化されると、この身代金要求型マルウェアは、そのファイル名に .locky 拡張子を追加する。例えば、そのファイルが test.jpg であれば、test.jpg.locky になるだろう。AutoLocky身代金要求型マルウェアによってターゲットにされているファイルのタイプは以下である。

    docm,docx,dot,doc,txt,xls,xlsx,xlsm,7z,zip,rar,jpeg,jpg,bmp,pdf,ppsm,ppsx,
    ppam,potm,potx,pptm,pptx,pps,pot,ppt,xlw,xll,xlam,xla,xlsb,xltm,xltx,xlm,xlt
    ,xml,dotm,dotx,odf,std,sxd,otg,sti,sxi,otp,odg,odp,stc,sxc,ots,ods,sxg,stw,
    sxw,odm,oth,ott,odt,odb,csv,rtf,accdr,accdt,accde,accdb,sldm,sldx,drf,blend,
    apj,3ds,dwg,sda,ps,pat,fxg,fhd,fh,dxb,drw,design,ddrw,ddoc,dcs,wb2,psd,p7c,
    p7b,p12,pfx,pem,crt,cer,der,pl,py,lua,css,js,asp,php,incpas,asm,hpp,h,cpp,c,
    csl,csh,cpi,cgm,cdx,cdrw,cdr6,cdr5,cdr4,cdr3,cdr,awg,ait,ai,agd1,ycbcra,x3f,
    stx,st8,st7,st6,st5,st4,srw,srf,sr2,sd1,sd0,rwz,rwl,rw2,raw,raf,ra2,ptx,pef,
    pcd,orf,nwb,nrw,nop,nef,ndd,mrw,mos,mfw,mef,mdc,kdc,kc2,iiq,gry,grey,gray,
    fpx,fff,exf,erf,dng,dcr,dc2,crw,craw,cr2,cmt,cib,ce2,ce1,arw,3pr,3fr,mdb,
    sqlitedb,sqlite3,sqlite,sql,sdf,sav,sas7bdat,s3db,rdb,psafe3,nyf,nx2,nx1,nsh,
    nsg,nsf,nsd,ns4,ns3,ns2,myd,kpdx,kdbx,idx,ibz,ibd,fdb,erbsql,db3,dbf,
    db-journal,db,cls,bdb,al,adb,backupdb,bik,backup

     ファイルの暗号化が終了すると、この身代金要求型マルウェアは、Windowsデスクトップに Info.htmlと Info.txt脅迫文を作成する。脅迫文が作成されると、あなたの暗号化キーを crazyloading.cc に存在しているコマンド&コントロール サーバにアップロードする。


    脅迫文

     不思議なことに、この身代金要求型マルウェアは、感染したコンピュータのシャードー ボリュームコピーを削除しない。

    AutoLocky関連ファイル
      %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk
      %UserProfile%\Desktop\info.html
      %UserProfile%\Desktop\info.txt

    関連するネットワーク ホスト
      crazyloading.cc


    Appleは、Windows用のQuickTimeを見捨てた
    BBC : Technology (2016/04/16)
     Zero Day Initiative(ZDI) Webサイトは、QuickTimeのWindowsバージョンに二つの脆弱性が発見され、これをAppleに通知したと発言している。
     しかし、ZDIは、「この製品はWindowsに関しては軽視されるだろうアドバイスされた」と、そして、Appleは、ソフトウェアのアンインストール方法を公開したと発言している
     Appleは、Windows版QuickTimeの終了を公式にはアナウンスしていない。
     QuickTimeはビデオとコンピュータとの対話的コンテンツを取り扱うためにAppleによって開発されたマルチメディア ソリューションである。
     QuickTimeは、1991年にリリースされ、後に、Windowsでダウンロード可能なバージョンが開発された。
     Zero Day Initiative(ZDI) Webサイトは、パッチされていない、あるいは、インターネット上で活発に脆弱性攻撃されているこのソフトウェア中のセキュリティホールの詳細を公開している。
     それにもかかわらず、AppleのWebサイトでは依然としてQuickTimeをダウンロードできるが、もはやAppleがWindows用のアップデートは行うことはないと、ZDIは発言している。
     セキュリティ企業Trend Microは、セキュリティ ブレチンで、新しく発見された脆弱性は、このソフトウェアを危険なまま放置すると発言している。
     「これらの脆弱性、もしくは、Apple QuickTimeの他の脆弱性に対する可能性ある攻撃からWindowsシステムを保護するための唯一の方法は、今、QuickTimeをアンインストールすることである」と、Trend Microは発言している。
     しかしながら、Mac版QuickTimeは、今後もアップデートを受けとることができる。
     AppleはWindows版QuickTimeの終了をアナウンスしていないが、AppleのWebサイトは、このソフトウェアの一部を「レガシー」ツール(【訳注】 代替すべき新しい技術などのために古くなったコンピュータのシステムや技術などのこと(Wikipediaより))であると説明している。
     Windows版QuickTimeのアンインストールガイド(リンクは日本語サイトに貼り替えています)は、「QuickTime 7 をアンインストールすると、レガシーの QuickTime 7 Web プラグイン (インストールされている場合) も削除されます。追加のソフトウェアやプラグインを使わなくても、幅広いブラウザやデバイスでより快適に動画を再生できるように、HTML5 Web 標準を採用する Web サイトが増えてきています。従来のブラウザプラグインを削除すると、Windows パソコンのセキュリティが向上します。」と述べている。
     Appleはコメントを拒否した。

    身代金を支払うまでファイルを削除し続けるJigsaw身代金要求型マルウェア感染は復号することができる
    BleepingComputer : News>Security (2016/04/11)
     新しい身代金要求型マルウェアがリリースされていた。このマルウェアはファイルを暗号化するだけでなく、150 US$の身代金の支払いが遅くなるに連れファイルを削除する。Jigsaw身代金要求型マルウェア(脅迫文に現れる画像から名付けられた)は、一時間毎にファイルを削除する、そして、あなたが身代金を支払うまで毎時間毎に感染を開始する。現時点で、この身代金要求型マルウェアが拡散している方法は分かっていない。
     これは、この種の脅威が、身代金要求型マルウェアによって実行されているのを、我々が確認した初めてのことである。良いニュースは、無料で犠牲者のファイルを復号することを可能にする方法が発見されたことである。


    Jigsaw身代金要求型マルウェア

    Jigsaw身代金要求型マルウェアの脅威は深刻である

     我々はファイルを削除すると脅す身代金要求型マルウェアを見たのは初めてではないが、これを実際に実行しているものを見たのは初めてである。Jigsaw身代金要求型マルウェアは60分毎にファイルを削除し、次に、このプログラムを再起動する。
     毎時間、Jigsaw身代金要求型マルウェアは、コンピュータからファイルを削除し、カウンタをインクリメントする。時間が経つに連れ、このカウンタは、毎時間削除されるファイルを増やしていく。
     けれども、より破壊的なことは、この身代金要求型マルウェアが起動する度に削除するファイルの量である。最初の感染の後、この身代金要求型マルウェアは、再起動するかプロセスを終了するかの何れかで、自身を再起動する。Jigsawは犠牲者のコンピュータから数千のファイルを削除する。
     このプロセスは、非常に破壊的である、そして、身代金の支払いのために犠牲者に圧力をかけるために使用されていることは明らかである。

    Jigsaw身代金要求型マルウェアを復号し削除する方法

    ありがたいことに、MalwareHunterTeamのDemonsSlay335と私自身の解析により、この身代金要求型マルウェアを無料で復号する方法が発見された。この情報を使用して、DemonsSlay335は、Jigsaw身代金要求型マルウェアによって暗号化されたファイルを復号する復号プログラムをリリースした。あなたのファイルを復号するために、あなたが最初に実行すべきことは、更なるファイルが削除されることを防止するために、タスクマネージャでfirefox.exeとdrpbx.exeを終了することである。次に、MSConfigを実行し、%UserProfile%\AppData\Roaming\Frfx\firefox.exe実行ファイルを指向しているfirefox.exeと名付けられているスタートアップ エントリを無効にしなさい。
     あなたが身代金要求型マルウェアを終了し、そのスタートアップを無効にしたら、ファイルの復号に進もう。この最初のステップは、以下のURLからJigsaw Decryptorをダウンロードし解凍することである。

    https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip

     次に、JigSawDecrypter.exe ファイルをダブルクリックして起動する。このプログラムが起動すると、以下類似の画面が表示される。


    Jigsaw復号プログラム

     ファイルを復号するには、ディレクトリを選択し Decrypt My Filesボタンをクリックする。あなたがドライブ全体を復号したいのであれば、C: ドライブを選択しなさい。あなたは、このツールがファイルを適切に復号することを確認するまで、Delete Encrypted Files オプションにチェックマークを入れてはならないとアドバイスされている。
     あなたのファイルの復号が終了したら、この画面は以下のようになる。


    復号終了

     これで、あなたのファイルは復号された。私は、あなたのコンピュータの感染をスキャンするためにアンチウィルスもしくは、アンチマルウェア プログラムを実行するよう指示する。

    この身代金要求型マルウェアは悪戯するためのものなのか?

     MalwareHunterTeamがJigsaw身代金要求型マルウェアの更なる変種を解析した後、彼は、興味ある点をもたらした。「彼らはお金が好きなのか、それとも人々を弄びたいのか?」 この変種を解析したとき、それ等が、特定の日付の後にだけ実行するようにコーディングされていることが判明した。例えば、変種Portugueseは、2016年04月06日以降にだけ実行するようにハードコードされていたが、他の変種は2016年03月23日に発動するようにセットされていた。
     また要求される身代金額も、20US$から200US$までと広範囲に渡っている。この様な人々は、金銭が動機になっているのか、それとも、これは彼らにとっての大いなる遊びなのか?

    Jigsaw身代金要求型マルウェアの技術的な詳細

     Jigsaw身代金要求型マルウェアが起動すると、このマルウェアは特定のファイル拡張子を求めてドライブをスキャンし、それ等をAES暗号化を使用して暗号化し、このマルウェアのバージョンに応じて、そのファイル名に .FUN, .KKK, .GWS, or, .BTC 拡張子を追加する。

    .jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql,
    .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep,
    .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd,
    .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm,
    .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx,
    .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam,
    .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi,
    .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx,
    .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb,
    .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby , .1pa, .Qpd, .Txt, .Set, .Iif , .Nd, .Rtp, .Tlg,
    .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd,
    .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd,
    .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf,
    .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met,
    .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4,
    .XPM, .zip, .rar

     ファイルを暗号化すると、%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt に位置している暗号化されたファイルのリストに、そのファイル名を追加する。また、Bitcoinアドレスも割り当てており、それを %UserProfile%\AppData\Roaming\System32Work\Address.txt ファイルに保存している。
     最後に、Jigsawは、あなたがWindowsにログインする度に身代金要求型マルウェアを起動するオートランを設定する。残念なことに、この身代金要求型マルウェアが起動する度に、1000の暗号化されたファイルが削除される。


    脅迫文

     この脅迫文の内部に、0 に向かってカウントダウンしていく60分タイマーが存在している。0 になると、このカウンタがリセットされた回数に基づいて特定の量のファイルを削除する。リセットされる度に、カウンタはインクリメントされる。これは、次のリセットでより多くのファイルの削除を発生させる。
     我々が確認している脅迫文のテキストを以下にリストする。これらを追跡し続けたMalwareHunterTeamに大いに感謝する。

     そして、

     そして、Portugueseの脅迫文

     犠牲者が身代金を送金すると、犠牲者は check payment ボタンをクリックできるようになる。このボタンをクリックすると、この身代金要求型マルウェアは、支払いが割り当てられたBitcoinアドレスに実行されたことを確認するために、http://btc.blockr.io/ サイトをクエリーする。割り当てられたアドレス中のBitcoinの量が、指定の身代金の額より大きな場合、このマルウェアは自動的にファイルを復号する。 アップデート(2016/04/12): 発見されていた他の変種用の.KKK と .BTC 拡張子が含められた。
    アップデート(2016/04/13): 新しい .GWS拡張子、幾つかの変種が特定の時間に起動するために設定される方法、身代金の変更、新しい脅迫文のテキストが含まれた。

    Jigsaw身代金要求型マルウェア関連ファイル

    %UserProfile%\AppData\Roaming\Frfx\
    %UserProfile%\AppData\Roaming\Frfx\firefox.exe
    %UserProfile%\AppData\Local\Drpbx\
    %UserProfile%\AppData\Local\Drpbx\drpbx.exe
    %UserProfile%\AppData\Roaming\System32Work\
    %UserProfile%\AppData\Roaming\System32Work\Address.txt
    %UserProfile%\AppData\Roaming\System32Work\dr
    %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt

    Jigsaw身代金要求型マルウェア関連レジストリ エントリ

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe
          %UserProfile%\AppData\Roaming\Frfx\firefox.exe


    Petya身代金要求型マルウェアの暗号化は打ち負かされ、パスワード生成プログラムがリリースされた
    BleepingComputer : News>Security (2016/04/10)
     Twitterのハンドル名leostoneという個人によって、Petyaで暗号化されたコンピュータの復号用のパスワードを生成することができるアルゴリズムが作成された。私のテストでは、このアルゴリズムは、7秒で私のキーを生成することができた。
     このキーを生成するために使用される解決策は、遺伝的アルゴリズムと呼ばれ、問題を解決するために進化過程を真似るものである。MathWorksによると:

    遺伝的アルゴリズム(GA)は、生物学的進化を模倣する自然淘汰の過程に基づき、条件付きと非条件付きの両方の最適化問題を解決するための方法である。このアルゴリズムは、繰り返し個別解決策集団を修正する。各ステップで、この遺伝的アルゴリズムは、現在の母集団から個々をランダムに選択し、次の世代の子供を生み出すための親として、それ等を使用している。累代に渡り、最適な解決策に向けて、この集団は進化していく。

     Leostoneは、犠牲者が、感染したドライブから或る情報を提供した場合に、キーを生成するために使用できるWebサイト(他のサイトがダウンした場合、あなたは、このサイト(【訳注】 リンク切れ)を使用することができる)を立ち上げている。あなたは、復号キーを生成するためにleostoneのサイトを使用することができるが、このサイトを使用するために要求される情報の取得方法を以下に提示する。

    ハードドライブを復号するためのPetya復号キーを生成する方法

     Leostoneの復号ツールを使用するには、Petyaの影響を受けたドライブを他のコンピュータに接続し、それからデータを抽出する必要がある。抽出されるために必要なデータは、オフセット0のセクタ55(0x37h)で始まる512バイトと、オフセット33(0x21)のセクタ54(0x36)からの8バイト ノンスである。次に、このデータは、Base64エンコーディングに変換される必要があり、そして、キーを生成するために、https://petya-pay-no-ransom.herokuapp.com/ で使用される。
     残念なことに、多くの犠牲者にとって、このデータを抽出することは簡単なタスクではない。良いニュースは、Fabian Wosar(Emsisoft)が、このデータを簡単に抽出できる特別なツールを作成したことである。このツールを使用するには、影響を受けたコンピュータから暗号化されたドライブを取り外し、それを適切に動作しているWindowsコンピュータに接続する必要がある。あなたの感染したコンピュータが、複数のドライブを持っているのであれば、あなたのコンピュータのブートドライブ(C:\ ドライブ)だけを取り外せば良い。
     コンピュータからハードドライブを取り外し、それを別のコンピュータに接続すことが難しい人は、USBハードドライブ ドッキング ステーション(【訳注】 一つの販売店の例として、Amazonのサイトを紹介しておきます)を購入しなさい。私が使用し推奨するドッキングステーションは、Inateck FD1003ドッキング ステーションである。これは、3.5"と2.5"の両方のSATAドライブをサポートし、あなたがコンピュータにそのドライブを接続するために必要な全てのものが搭載されているためである。
     正常に動作しているコンピュータに暗号化されたドライブを装着したら、Fabian WosarのPetya Sector Extractorをダウンロードし、デスクトップに保存しなさい。保存したら、Petya Sector Extractorを解凍し、PetyaExtractor.exeを実行する。このプログラムが起動すると、Petya身代金要求型マルウェア ブートコードを含むドライブに関して、そのコンピュータのリムーバルドライブと固定ドライブの全てをスキャンする。感染したドライブが検出されると、このツールは自動的に、そのドライブを選択し、以下のような画面を表示する。


    Petya Sector Extractor

     ここで、Webブラウザを開き、https://petya-pay-no-ransom.herokuapp.com もしくは https://petya-pay-no-ransom-mirror1.herokuapp.com/ の何れかのサイトに進む。このサイトには、Base64 encoded 512 bytes verification data と Base64 encoded 8 bytes nonce とラベルされた二つのテキストボックスがある。あなたの復号キーを生成するためのleostoneのサイトのために、あなたはFabianの Petya Sector Extractorから抽出されたデータを、こちらのテキストボックスに入力する必要がある。
     Petya Extractorで、Copy Sectorボタンをクリックする。これは、クリップボードに512バイト検証データをコピーする。ここで、復号サイトに戻り、検証データをBase64 encoded 512 bytes verification data とラベルされたテキストボックスにペーストする。
     ここで、Petya Sector Extractorに戻り、Copy Nonceボタンをクリックして、nonce(ノンス)をクリップボードにコピーする。再び、復号サイトに戻り、Base64 encoded 8 bytes nonceとラベルされたテキストボックスに、この nonce をペーストする。実行すると、この復号サイトは、以下に示すような二つのテキストボックス中にデータを持っていなければならない。


    データが入力されているPetya復号サイト

     復号パスワードを生成するには、Submitボタンをクリックする。Leostoneのサイトは、ここで、Petya身代金要求型マルウェア ロックスクリーン用のパスワードを生成するための遺伝的アルゴリズムを実行する。このプロセスは殆ど時間を取らない。終了すると、以下に示すように、あなたのパスワードが表示される。


    発見されたPetya復号キー

     ここで、このパスワードを書き留め、暗号化されたハードドライブを元のコンピュータに装着し直す。ドライブを装着したら、感染したコンピュータをブートする、そして、Petya身代金要求型マルウェアのロックスクリーンが表示されたら、生成されたパスワードを入力する。このパスワードは、受け入れられるはずであり、この身代金要求型マルウェアは、あなたのハードドライブの復号を開始するだろう。


    復号が開始されたハードドライブ

     ハードドライブが復号されると、この身代金要求型マルウェアは、コンピュータを再起動することを要請してくる。これは、通常通りブートするはずである。
     感謝の気持ちを表明したい人々には、Leostoneの復号サイトに、Donation(寄付)ボタンがある。

    アップデート(2016/04/11): 復号の主たるサイトがダウンした場合のミラー復号サイトに関する追加情報。
    ミラーサイト: https://petya-pay-no-ransom-mirror1.herokuapp.com/

    復号されたCryptoHost: パスワードで保護されたRARファイル中にファイルをロックしている
    BleepingComputer : News>Security (2016/04/08)
     CryptoHostと名付けられた新しい身代金要求型マルウェアがセキュリティ研究者Jackによって発見された。この身代金要求型マルウェアは、データを暗号化し、次に、そのファイルを取り戻すために 0.33 Bitcoin もしくは、およそ140 US$を要求してくると述べられている。けれども、実際には、あなたのデータは暗号化されていない、代わりに、あなたのファイルは、パスワードで保護されたRARアーカイブ中にコピーされる。幸いなことに、この感染で作成されたパスワードは簡単に発見されるので、感染したユーザは、ファイルを取り戻すことができる。この感染は現在、Ransom:MSIL/Manamecrypt.A もしくは、Ransom_CRYPTOHOST.A として検出されている。
     私はまた、更なる解析に関してMichael GillespieMalwareHunter Teamに感謝する。


    CryptoHost身代金要求型マルウェア

    ファイルをCryptoHost身代金要求型マルウェアから復号もしくは、取り戻す方法

     私は通常、身代金要求型マルウェア中の脆弱性を明かにしない。これは将来のバージョンにおいて、開発者に修正を導くことになるからである。残念なことに、ある匿名のサイトが無責任にも、これらのファイルの復号に使用できる方法を公開したので、既に、この脆弱性は秘密ではなくなった。
     CryptoHostにコンピュータが感染すると、CryptoHostは、C:\Users\[ユーザ名]\AppData\Roaming フォルダに置かれたパスワードで保護されたRARアーカイブに、特定のデータ ファイルを移動する(技術的な解析は以下に詳述する)。このファイルは41文字で名付けられており、拡張子は存在しない。ファイルの一例は、3854DE6500C05ADAA539579617EA3725BAAE2C57 である。このアーカイブのパスワードは、アーカイブの名前とログインしたユーザ名とを結合したものである。そこで、ユーザの名前がTestであり、RARアーカイブがC:\Users\Test\AppData\Roaming\3854DE6500C05ADAA539579617EA3725BAAE2C57 であれば、このパスワードは、3854DE6500C05ADAA539579617EA3725BAAE2C57Test となる。
     パスワードを見つけようとは思わない人々は、Michael Gillespieが作成したパスワード生成プログラムを使用することができる。
     取りかかるにあたり、最初にcryptohost.exeプロセスを終了する。これを実行するには、スタートメニューを開き、Task Manager(タスクマネージャ)とタイプする。Task Managerの検索結果が表示されたら、このプログラムを起動するために、それをクリックする。ここで、プロセス タブをクリックし、以下に示したように、cryptohost.exeを選択する。次に、このプログラムを終了させるために「プロセスの終了」ボタンをクリックする。


    Cryptohost.exeプロセスの終了

     ここで、あなたのファイルが含まれているパスワードで保護されたRARファイルを解凍するために、我々は最初に、7-Zipアプリケーションをインストールする必要がある。7-Zipをインストールしたら、C:\Users\[ユーザ名]\AppData\Roaming フォルダを開き、上で説明された情報を使用して、このアーカイブファイルを見つける。ここで、そのファイルを右クリックし、以下の画像に示されているように、Extract to "foldername"(「フォルダ名」に解凍)オプションを選択する。


    解凍ウィザード

     7-Zipが、あなたにパスワードを促してきたら、上述したパスワードを入力し、[Enter]キーを押す。あなたのデータは、RARアーカイブと同じ名前で名付けられたフォルダに解凍されている。終了したら、そのフォルダを開き、あなたの C: ドライブのルートに、このフォルダの全てをコピーしなさい。これで、あなたのデータ ファイルは復元されているはずである。

    CryptoHost身代金要求型マルウェアの削除方法

     CryptoHostがインストールされると、この身代金要求型マルウェアは、cryptohost.exeと呼ばれるファイルを作成し、C:\Users\[ユーザ名]\AppData\Roaming フォルダに格納する。この感染は、ログイン時に、この身代金要求型マルウェアを実行するsoftwareと名付けられたオートランも作成する。この感染を削除するには、タスクマネージャを使用して、cryptohost.exeを終了し、次に、cryptohost.exeを削除する。オートランを削除するには、以下のレジストリキーを削除しなさい。

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\software      %AppData%\cryptohost.exe

     あなたが、手動でCryptoHostを削除したくないのであれば、殆どのセキュリティ製品が、現時点でこの感染を検出し、自動的にこれを削除してくれる。

    CryptoHostの技術的解析

     CryptoHostは現在、インストールされたとき、cryptohost.exeを %AppData% フォルダに解凍し、これを実行するuTorrentインストーラをバンドルしている。実行されると、CryptoHostは特定の拡張子に一致した全てのファイルを %AppData% フォルダ中に置かれたパスワードで保護されたRARアーカイブに移動する。このアーカイブの名前は、ダッシュが全て削除された以下の情報のSHA1ハッシュになる。

    processorId + volume_serial_number_of_c: + motherboard_serial_number

     このアーカイブのパスワードは、SHA1ハッシュ+ユーザ名の形になっている。SHA1ハッシュが、3854DE6500C05ADAA539579617EA3725BAAE2C57 であり、ユーザ名が Testであれば、 パスワードは、3854DE6500C05ADAA539579617EA3725BAAE2C57Test になる。
     CryptoHostによってパスワード保護されたアーカイブに移動させられるファイル拡張子は以下である。

    jpg, jpeg, png, gif, psd, ppd, tiff, flv, avi, mov, qt, wmv, rm, asf, mp4, mpg, mpeg, m4v, 3gp, 3g2, pdf, docx, pptx, doc, 7z, zip, txt, ppt, pps, wpd, wps, xlr, xls, xlsl

     このアーカイブの作成が終了すると、この身代金要求型マルウェアは、アーカイブ中のファイルをリストすることを実行し、%AppData%\Files ファイルに、このリストを保存する。CryptoHostはここで、以下に示す脅迫画面を表示する。


    CryptoHost脅迫画面

     この画面は、あなたが、この感染に関する様々な情報を取得できるように、そして、影響を受けたデータファイルをリストするために、四つのサブスクリーンに分割されている。以下に、そのうちの二つの画面を示す。


    どうすればいいのか画面


    支払いチェック画面

     犠牲者がファイルを復号したいのなら、Check Payment Statusボタンをクリックする必要がある。これは、あらゆる支払い者が割り当てられているBitcoinアドレスへのblockchain.infoをチェックするだけである。ブロックチェーン クエリーによって戻されこのテキストが、CryptoHostインターフェースのFeeラベルにリストされている実際のメンバーを含んでいたなら、この身代金要求型マルウェアは、あなたのファイルを解凍するだろう。これは、犠牲者が正確な金額を支払う必要があることを意味している。より多くの金額が支払われた場合には、この身代金要求型マルウェアは、ファイルを復号しないままだろう。
     初回起動時に、CryptoHostは、セーフモードでのブートを不可能にするために、HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot キーの削除を試みる。ありがたいことに、このキーを削除するために必要な特権の下では、このプロセスは動作しない。
     CryptoHostはまた、特定の文字列のプロセス名とウィンドウ タイトルをモニタしている。これらの文字列が検出されると、関連するプロセスは終了させられる。私のテストでは、プロセス名でのみ動作し、ウィンドウ タイトルでは動作しなかった。これが、検索する文字列のリストは以下である。

    anti virus, anti-virus, antivirus, avg, bitdefender, eset, mcafee, dr.web, f-secure, internet security, obfuscator, debugger, monitor, registry, system restore, kaspersky, norton, ad-aware, sophos, comodo, avira, bullguard, trend micro, eset, vipre, task manager, system configuration, registry editor, game, steam, lol, rune, facebook, instagram, youtube, vimeo, twitter, pinterest, tumblr, meetme, netflix, amazon, ebay, shop, origin

     この開発者がセキュリティ製品をターゲットにしているだけではなく、犠牲者が訪問するかもしれない一般的なサイトや、ゲーム用に使用されるプロセスもまたターゲットにしていることは注目に値する。これは身代金を支払っている犠牲者に更に追い討ちをかけることになる。
     大事なことを言い忘れていたが、この身代金要求型マルウェアは、如何なる方法でも、このマルウェアの開発者とコミュニケーションをしない、支払いに関してblockchain.infoをチェックするときに、ネットワーク コミュニケーションを行うだけである。

    CryptoHost関連ファイル

    %Temp%\uTorrent.exeuTorrent.exe
    %AppData%\cryptohost.exe
    %AppData%\files
    %AppData%\processor.exe

    CryptoHost関連レジストリエントリ

    HKCU\Software\Classes\FalconBetaAccount
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\software      %AppData%\cryptohost.exe


    Adobe Flashを持っているか? 積極的に悪用されている0-Dayのフローを今、アップデートしなさい
    GrahamCluley : News (2016/04/08)
     彼らが今週初めに約束していたように、Adobeは、Flash Playerの緊急のセキュリティアップデートをリリースした。これは、ハッカーによって既に活発に悪用されている脆弱性(CVE-2016-1019として知られる)を保護するものである。
     以下が最新のセキュリティ ブレチンでのAdobeの発言を掲げる。

     Adobeは、Windows, Macintosh, Linux, ChromeOS用のAdobe Flash Playerのセキュリティ アップデートをリリースした。これらのアップデートは、攻撃者が影響を受けるシステムの制御を奪うことを潜在的に可能にする深刻な脆弱性を解決している。
     Adobeは、CVE-2016-1019が、Flash Playerのバージョン 20.0.0.306とそれ以前のバージョンを搭載しているWindows 10と、それ以前のバージョンを実行しているシステムで活発に悪用されていることを認識している。

     セキュリティ企業Proofpointの説明では、Flash中のCVE-2016-1019脆弱性は、Magnitude脆弱性攻撃キットを使用してCerber身代金要求型マルウェアを拡散するために悪意あるハッカーによって悪用されている。
     Flashが、あなたにとって重要ではないのであれば、ことは簡単である、Adobe Flashを今アップデートするか、もしくは、完全に削除しなさい。
     あなたが完全にFlashをアンインストールするステップをとる準備ができていないのであれば、最低でも、"Click to Play"(クリックトゥプレイ)を有効にすべきである。Click to Playは、あなたが指定の許可を与えた場合にのみ、あなたのブラウザにFlashエレメンツの表示を実行するものである。
     思い出しなさい、FlashはWindowsユーザにとってだけセキュリティ上の頭痛の種ではない。この脆弱性は、Flash PlayerのMac OS X, Linux, ChromeOS版でもまた存在している。

    Chromeの拡張はユーザを広告ページに、こっそりリダイレクトしていた
    Sophos : NakedSecurity (2016/04/06)
     Googleは、ブラウジング セッションがハイジャックされたとするユーザからの苦情の後、人気のあるBetter Histryを締め出した。
     これは、金銭目的であるように思われる。この拡張は、利用者が希望する目的地を表示する前に、プロキシサーバーを介して、ユーザのHTTPトラフィックをリダイレクトし、この攫われたセッションの50%において、広告のある特別なページをユーザに示しいた。
     この拡張のオーナーのために広告収入を獲得することを実行するだけでなく、ユーザのWebトラフィックをスパイする(後で、オンライン広告主に販売される可能性のある分析の収集)ことを彼らに可能にしていた。
     コメンター(【訳注】 ブログなどでコメントを残す人の事(weblioより))は、週末GitHubに、この拡張の心得違いを、オリジナルの作者の注意を引くように示した。
     ところが、数ヶ月前に、彼がBetter Historyを売り払っていたことが判明した。彼は、バージョン 3.9.5 までだと発言している。
     このオーナーは、汚らしいとは思えない advault.net と呼ばれる会社に、この拡張を売ったとReddit上で発言している。

     私は、いろいろ確認した。彼らは真っ当なようであったし、適切なサイトを持っていた。(あなたは、advault.net をクリックするとき、ad blockを無効にする必要があるが、もちろん、そうしなくてもいい)

     ユーザが、バージョン3.9.7から3.9.8へのアップデートを促されたとき、物事は悪い方向に進み始める。その時、この拡張は、「あなたが訪問しているWebサイトに関する、あなたのデータ全てを読み込んだり、変更したりする」ための特別なパーミッションを求めてくる。  先行販売(純粋な形)で、Better Historyには、今までにアクセスしたページを閲覧し発見することを容易にするChromeユーザの履歴セクションに対する特別なフィルターが追加されていた(Softpediaによって投稿されたこのスクリーンショット中に示されているように)。
     Better Histroryの新しいオーナーは、"common.js" と呼ばれるスクリプトを導入した。これは、ユーザのブラウザにChromeトラフィックをリダイレクトするプロキシ拡張をインストールする。
     彼らは目立たないように行動していた。advault.netは、この拡張のGitHubレポジトリに変更を追加することを停止していたので、この拡張に悪意あるコードが滑り込まされたとする証拠は存在していない。
     Redditのユーザ Scarazerは、同じ悪意あるコードが他の幾つかのGoogle Chrome拡張(Chrome Currency Converter, Web Timer, User-Agent Switcher, Better History, 4chan Plus, Hide My Adblockerを含む)に感染していることを発見したと記述している
     火曜日の午後の時点で、Google Chrome Webストアから削除されたリスト中の唯一の拡張は、4chan Plusである。Googleはまた、ユーザがこれを報告するレビューを書くように互いに働きかけた後に、Better Histroryを締め出した。

    Rokku身代金要求型マルウェアは独自の一意のキーで各ファイルを暗号化する
    BleepingComputer : News>Security (2016/03/28)
     Rokku身代金要求型マルウェアは、現在e-Mail添付ファイルで拡散している新しい感染である。感染すると、犠牲者のデータファイルは暗号化され、次に、復号するための身代金として 0.24 Bitcoinもしくは、およそ 100 US$ が要求される。現時点で、無料でファイルを復号する方法はないが、この感染に関しては、弱点を解析中である。

    Rokku暗号化プロセス

     Rokkuがインストールされると、そのコンピュータ上の全てのシャドー ボリューム コピーを削除するので、シャドー ボリューム コピーを使用してデータを復元することはできなくなる。次に、そのコンピュータ上のデータファイルを暗号化し、.rokku 拡張子を追加する。これは、ファイルが test.jpg であったなら、そのファイルが test.jpg.rokku になることを意味している。
     EmsisoftのFabian Wosarによると、Rokkuは、犠牲者のデータを暗号化する時、Salsa20アルゴリズムを使用する、そして、独自の一意のキーで各ファイルを暗号化する。このファイルのキーはRSAを使用して暗号化され、関連ファイルの最後の252バイトに格納される。これは、開発者が、個々の復号キーを、テストファイル復号のために提供することを可能にしている。これは、私が知る限り、Salsa20アルゴリズム(AESに比べ大変大きな暗号加スピードを提供する)を使用している最初の身代金要求型マルウェアである。


    Rokkuが暗号化したフォルダ

     暗号化されたフォルダ内と、犠牲者のスタートアップ フォルダ内に、Rokkuは、README_HOW_TO_UNLOCK.HTML と README_HOW_TO_UNLOCK.TXT と名付けられた二つの脅迫文を作成する。これらの脅迫文は、犠牲者のファイルに発生したことに関する情報とRokkuのTor支払いサイトへのリンクを含んでいる。


    README_HOW_TO_UNLOCK.HTML 脅迫文

     Rokkuで興味を引く機能は、脅迫文中に Google Website Translator Plugin(Google Webサイト翻訳プラグイン)を使用していることである。これは、彼らが英語で脅迫文を作成し、英語を理解できない人々のために、簡単にこの翻訳機能を使用することを可能にしている。
     現時点で、Rokkuは無料で復号することはできないが、Salsa20のキーを暗号化するためにRSA-512のような脆弱なアルゴリズムを利用しているために、将来、解決策が発見されるかもしれない。

    Rokkuのロック解錠サービスと名付けられたTor支払いサイト

     Rokku身代金要求型マルウェアは、Unlock Service(解錠サービス)と呼ばれるTor支払いサイトを利用している。このサービスは、初回に関してログインするために暗号化されたファイルを、あなたにアップロードするよう要求しているところに興味がある。ログインすると、あなたは今後のログインに使用するための一意の ”order id” を提供される。


    Unlock Service(解錠サービス)ログイン画面

     ログインすると、あなたは、Order ID を含む Unlock Service(解錠サービス)画面、犠牲者が支払う必要のあるBitcoinの量、身代金が送信されなければならないBitcoinアドレスを表示されるだろう。その上、多くの記事は、QRコードがこのページ上に表示されているという事実に対して述べられているが、これは、CryptWallが暫くの間QRコードを取得する機能を提供していたので、新しい機能ということではない。


    Unlock Service(解錠サービス)支払いページ

     Rokku Unlock Service(解錠サービス)は、犠牲者が復号できることを証明するために無料で一つのファイルを復号することを可能にしている。あなたがファイルをアップロードすると、そのファイル特有の復号キーは、リストされ、次に、その一つのファイルを復号するための復号プログラムをダウンロードできるようになる。各ファイルは独自のキーを持っているので、与えられたこの復号キーは、そのファイルのみでしか動作しないことに注意しなさい。


    テスト ファイル復号画面

     このキーは、次に復号プログラムに入力され、以下に示すようにテストファイルを復号することができる。


    Rokku身代金要求型マルウェア 復号プログラム

     既に述べたように、現在、この身代金要求型マルウェアは無料で復号することはできない。けれども、分析者は、RSA-512コンポーネントに、個別のファイルのキーを復号できる弱点があるかどうか確認するために、このマルウェアを詳細に解析している。

    Rokku身代金要求型マルウェアを削除する方法

     Rokku身代金要求型マルウェアは、脅迫文以外の如何なるファイルも自動起動の場所に設定していない。これは、あなたのコンピュータを再起動したり、このマルウェアが終了すると、この身代金要求型マルウェア感染は、間違いなくアクティブにならないことを意味している。Rokkuを削除するには、実行ファイルを削除するために、お気に入りのアンチウィルスでコンピュータをスキャンしなさい。他方、脅迫文は、殆どのアンチウィルス企業が、脅迫文や他の悪意のないファイルを削除しないので、手動で削除する必要がある

    Rokku身代金要求型マルウェア関連ファイル
    %StartMenu%\Programs\Startup\README_HOW_TO_UNLOCK.HTML
    %StartMenu%\Programs\Startup\README_HOW_TO_UNLOCK.TXT


    Coverton身代金要求型マルウェアに身代金を支払ってもデータを復元できない
    BleepingComputer : News>Security (2016/03/28)
     先週、Covertonと呼ばれる新しい身代金要求型マルウェアが、リリースされた。これはAES+RSA暗号化を使用し、ファイルの身代金として 1Bitcoinを要求する。残念なことに、解析は、この身代金要求型マルウェアは暗号法論的には健全であることを示した。これは、無料でファイルを復号するために利用可能な内在的な弱点が存在しないことを意味している。これに起因して、犠牲者の一部は、身代金を支払う方向に挙動した。けれども、Decryptorを受け取った後、犠牲者は、彼らのファイルが適切に復号されないことを学んだ。


    Converton Decryptor

     二人の犠牲者からの報告は、Covertonの連中から送信されたこのDecryptorが、適切に復号しない、もしくは、オリジナルのデータを不十分な暗号化にするかのどちらかであることを示している。いずれにせよ、犠牲者が身代金を支払ったと聞いて十分にイライラするだろうが、更に悪いことには、この復号プログラムは、犠牲者の助けにならないことを我々が発見したことである。
     Coverton身代金要求型マルウェアに感染した人々に関して、あなたが身代金を支払うつもりでいるのであれば、お金をドブに捨てることになる可能性を真剣に考えたほうがいい。この身代金要求型マルウェアに関する詳細な技術情報を知りたい人々は、以下のセクションを参照しなさい。この身代金要求型マルウェアを議論したい人々、もしくは、支援を得たい人々は、Coverton Ransomware Infection Support and Help Topicを使用しなさい。

    Coverton身代金要求型マルウェア ファミリ

     Coverton身代金要求型マルウェアは、今月の23日に初めて発見された。そして、この身代金要求型マルウェアがどのように拡散しているのかは現在未知である。インストールされると、それ自体を %UserProfile%\userlog.exe としてコピーし、オートランを設定するので、Windowsが開始されたとき、このマルウェアは自動的に起動する。この身代金要求型マルウェアは次に、特定の拡張子を含むファイルに関してあなたのコンピュータをスキャンし、AES暗号化を使用して、一致したファイルを暗号化する。あなたが感染したCoverton身代金要求型マルウェアの変種に応じて、暗号化されたファイルは、.coverton, .enigma, .czvxce の拡張子を暗号化されたファイルに追加される。例えば、test.jpgは、test.jpg.coverton, test.jpg.enigma, test.jpg.czvxce の何れかになるだろう。
     ターゲットにされるファイル拡張子は以下である。

    1cd, 1st, 2bp, 3dm, 3ds, 3fr, 4db, 4dl, 4mp, 73i, 7z, 7z001, 7z002, 8xi, 9png,
    a00, a01, a02, a3d, abm, abs, abw, accdb, accdc, accde, accdr, accdt, accdw,
    accft, ace, act, adn, adp, af2, af3, aft, afx, agg, agif, agp, ahd, ai, aic, aim,
    ain, albm, alf, alz, ani, ans, apd, apm, apng, aps, apt, apx, apz, ar, arc, arh,
    ari, arj, ark, art, artwork, arw, asc, ascii, ase, ask, asp, aspx, asw, asy, aty,
    avatar, awdb, awp, awt, aww, axx, azz, b1, b64, ba, backup, bad, bak, bay, bbs,
    bdb, bdp, bdr, bean, bh, bhx, bib, blend, blkrt, bm2, bmp, bmx, bmz, bna, bnd, bndl,
    boc, bok, boo, brk, brn, brt, bss, btd, bti, btr, bz, bz2, bza, bzabw, bzip, bzip2,
    c00, c01, c02, c10, c4, c4d, cal, cals, can, car, cb7, cba, cbr, cbz, cd5, cdb,
    cdc, cdg, cdmm, cdmt, cdmtz, cdmz, cdr, cdr3, cdr4, cdr6, cdrw, cdt, cdz, cf, cfu,
    cgm, chart, chord, cimg, cin, cit, ckp, clkw, cma, cmx, cnm, cnv, colz, cp9, cpc,
    cpd, cpg, cps, cpt, cpx, cr2, crd, crwl, css, csv, csy, ct, cv5, cvg, cvi, cvs,
    cvx, cwt, cxf, cyi, czip, daconnections, dacpac, dad, dadiagrams, daf, daschema,
    db, db2, db3, dbc, dbf, dbk, dbs, dbt, dbv, dbx, dc2, dca, dcb, dcr, dcs, dct,
    dcx, dd, ddl, ddoc, dds, deb, ded, design, df1, dgc, dgn, dgs, dgt, dhs, dib,
    dicom, dist, diz, djv, djvu, dm3, dmi, dmo, dnc, dne, doc, docm, docx, docxml,
    docz, dot, dotm, dotx, dp1, dpp, dpx, dqy, drw, drz, dsk, dsn, dsv, dt, dt2, dta,
    dtsx, dtw, dvi, dvl, dwg, dx, dxb, dxf, dxl, dz, eco, ecs, ecw, ecx, edb, efd,
    efw, egc, eio, eip, eit, email, emd, emf, emlx, ep, epf, epi, epp, eps, epsf, eql,
    erf, err, etf, etx, euc, exr, f, fadein, fal, faq, fax, fb2, fb3, fbl, fbx, fcd,
    fcf, fdb, fdf, fdp, fdr, fds, fdt, fdx, fdxt, fes, fft, fh10, fh11, fh3, fh4, fh5,
    fh6, fh7, fh8, fic, fid, fif, fig, fil, flc, fli, flr, fm5, fmp, fmp12, fmpsl,
    fmv, fodt, fol, fountain, fp3, fp4, fp5, fp7, fp8, fpos, fpt, fpx, frt, ft10, ft11,
    ft7, ft8, ft9, ftn, fwdn, fxc, fxg, fzb, fzv, g3, gca, gcdp, gdb, gdoc, gdraw,
    gem, geo, gfb, gfie, ggr, gif, gih, gim, gio, glox, gmbck, gmspr, gmz, gpd, gpn,
    gro, grob, grs, gsd, gthr, gtp, gv, gwi, gz, gz2, gza, gzi, gzip, ha, hbc, hbc2,
    hbe, hbk, hdb, hdp, hdr, hht, his, hki, hki1, hki2, hpg, hpgl, hpi, hpl, hs, htc,
    html, hwp, hz, i3d, ib, icn, icon, icpr, idc, idea, idx, igt, igx, ihx, iil, iiq,
    imd, info, ink, int, ipf, ipx, itc2, itdb, itw, iwi, j, j2c, j2k, jarvis, jas,
    jb2, jbig, jbig2, jbmp, jbr, jfif, jia, jis, jng, joe, jp1, jp2, jpe, jpeg, jpg, jpg2,
    jps, jpx, jrtf, jtf, jtx, jwl, jxr, kdb, kdbx, kdc, kdi, kdk, kes, kic, klg, knt,
    kon, kpg, kwd, latex, lbm, lbt, lgc, lis, lit, ljp, lmk, lnt, lp2, lrc, lst, ltr,
    ltx, lue, luf, lwo, lwp, lws, lxfml, lyt, lyx, m3d, ma, mac, maf, man, map, maq, mat,
    max, mb, mbm, mbox, md5txt, mdb, mdbhtml, mdf, mdn, mdt, me, mef, mell, mft,
    mgcb, mgmf, mgmt, mgmx, mgtx, mhtml, min, mmat, mng, mnr, mnt, mobi, mos, mpf,
    mpo, mrg, mrxs, msg, mt9, mud, mwb, mwp, mxl, myd, myl, ncr, nct, ndf, nfo, njx, nlm,
    notes, now, nrw, ns2, ns3, ns4, nsf, nv2, nwctxt, nyf, nzb, obj, oc3, oc4, oc5,
    oce, oci, ocr, odb, odm, odo, ods, odt, ofl, oft, omf, openbsd, oplc, oqy, ora,
    orf, ort, orx, ota, otg, oti, ott, ovp, ovr, owc, owg, oyx, ozb, ozj, ozt, p7s,
    p96, p97, pages, pal, pan, pano, pap, pbm, pc1, pc2, pc3, pcd, pcs, pcx, pdb,
    pdd, pdf, pdm, pdn, pe4, pef, pfd, pff, pfi, pfs, pfv, pfx, pgf, pgm, phm, php,
    pi1, pi2, pi3, pic, pict, pix, pjpeg, pjpg, pjt, pl, plantuml, plt, pm, pmg,
    png, pni, pnm, pntg, pnz, pobj, pop, pp4, pp5, ppm, ppt, pptm, pptx, prt, prw,
    ps, psd, psdx, pse, psid, psp, pspbrush, psw, ptg, pth, ptx, pu, pvj, pvm, pvr,
    pwa, pwi, pwr, px, pxr, pz3, pza, pzp, pzs, qdl, qmg, qpx, qry, qvd, ras, raw, rctd,
    rcu, rdb, rdl, readme, rft, rgb, rgf, rib, ric, riff, ris, rix, rle, rli, rng, rpd,
    rpf, rpt, rri, rs, rsb, rsd, rsr, rst, rt, rtd, rtf, rtx, run, rw2, rwl, rzk,
    rzn, s2mv, s3m, saf, safetext, sai, sam, save, sbf, scad, scc, sci, scm, scriv,
    scrivx, sct, scv, scw, sdb, sdf, sdm, sdoc, sdw, sep, sfc, sfera, sfw, sgm, sig,
    sk1, sk2, skcard, skm, sla, slagz, sld, sldasm, slddrt, sldprt, sls, smf, smil,
    sms, snagitstamps, snagstyles, sob, spa, spe, sph, spj, spp, spq, spr, sqb, sql,
    sqlite, sqlite3, sqlitedb, sr2, srw, ssa, ssfn, ssk, st, ste, stm, stn, stp, str,
    strings, stw, sty, sub, sumo, sva, svf, svg, svgz, swf, sxd, sxg, sxw, t2b, tab,
    tb0, tbn, tcx, tdf, tdt, te, teacher, tex, text, tfc, tg4, tga, thm, thp, thumb,
    tif, tiff, tjp, tlb, tlc, tm, tm2, tmd, tmv, tmx, tn, tne, tpc, tpi, trelby, trm,
    tvj, txt, u3d, u3i, udb, ufo, ufr, uga, unauth, unity, unx, uof, uot, upd, usr,
    utf8, utxt, v12, vault, vbr, vct, vda, vdb, vec, vff, vml, vnt, vpd, vpe, vrml, vrp,
    vsd, vsdm, vsdx, vsm, vst, vstm, vstx, vue, vw, wb1, wbc, wbd, wbk, wbm, wbmp,
    wbz, wcf, wdb, wdp, webdoc, webp, wgz, wire, wlmp, wmdb, wmf, wn, wp, wp4, wp5, wp6,
    wp7, wpa, wpb, wpd, wpe, wpg, wpl, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, wvl,
    x, x3d, x3f, xar, xbdoc, xbplate, xdb, xdl, xhtml, xld, xlf, xlgc, xls, xlsm, xlsx,
    xmind, xmmap, xpm, xps, xwp, xy3, xyp, xyw, y, yal, ybk, yml, ysp, z3d, zabw, zdb,
    zdc, zif, zw

     ファイルを暗号化しているとき、Covetonはまた、ファイルが暗号化された各フォルダ中に、!!!-WARNING-!!!.html と !!!-WARNING-!!!.txt と名付けられた脅迫文を作成する。これらの脅迫文は、この身代金要求型マルウェアのTOR復号サイトにアクセスする方法に関する指示と、支払いの実行方法を提供している。脅迫文の一例を以下に示す。


    HTML Coverton脅迫文

     Covertonはまた、犠牲者のマシンのシャドー ボリューム コピーを削除するので、暗号化されていないファイルへの復元のために、これを使用することはできない。最終的に、この身代金要求型マルウェアが起動した時、暗号化フェーズが開始した時、それが終了した時、暗号化されたファイルの量、暗号化されたファイルのトータルのファイルサイズ、その他の情報をコマンド&コントロールサーバに送信する。この情報は、あなたの統計を表示する時、TOR支払いサイトによって使用される

    Coverton復号サイト

     Coverton用のTOR支払いサイトは、Coverton Decryptorと呼ばれる。このサイトで、犠牲者は暗号化されたファイルの数と合計サイズのような情報を見ることになる。各犠牲者は、1 Bitcoinの身代金を送信するために使用する一意のBitcoinアドレスを与えられる。


    Coverton Decryptorサイト

     支払いが実行されると、Bitcoin取引に関する十分な確認がなされ、このDecryptor用のダウンロードリンクが表示される。既に述べたように、このDecryptorが暗号化されたファイルを適切に復号するわけではないと報告されている。従って、あなたが、身代金を支払ったところで、このリスクが存在していることを理解しておきなさい。

    Coverton身代金要求型マルウェア関連ファイル

    %UserProfile%\userlog.exe
    %UserProfile%\Desktop\!!!-WARNING-!!!.html
    %UserProfile%\Desktop\!!!-WARNING-!!!.txt
    %UserProfile%\Desktop\old

    Coverton身代金要求型マルウェア レジストリエントリ

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\userlog      %UserProfile%\userlog.exe

    悪意あるペイロードがPNGファイルに隠されていた
    Kaspersky : Secure List (2016/03/24)
     サイバー犯罪者にとって最も複雑なタスクの一つは、彼らの悪意あるコードがアンチウィルスによって検出されるないことを保証し、目的を成就することである。このために、より複雑な感染プロセスに、彼らは多額を投資し、従来のフィッシングを越え、暗号化されているファイル(既知のファイルフォーマットを使いさえする)中に悪意あるペイロード(【訳注】 payloadには、一発のミサイルに搭載できる爆発物の総量という軍事用語としての意味があります。マルウェアに置き換えると、一つのマルウェアが搭載している悪意の総量くらいの意味になります)を隠蔽するテクニックを使用している。これは、我々がインターネットで新しいBrazilianトロイで発見したことである。このトロイは、PNGイメージ中に悪意あるファイルを隠蔽しようとする。そして、攻撃は単純なフィッシングPDFで始まる。

    マルウェアの拡散

     これは、セキュリティニュース(この種の攻撃は、数ヵ月前アメリカで公表された、そして今、彼らはブラジルで同じ方法を使用している)に従うと、ブラジルの犯罪者によるかのようである。このキャンペーンで使用されているフィッシングの側面は、e-MailでPDF添付ファイルを配布する。このファイルは無害である。この種の攻撃は、実行ファイルもしくは、ファイル名に .pdf 拡張子を含む .ZIP ファイルを配布するために使用される方法と同一である。

     添付されているPDFは、メール本文に一般的に使用されるテキストを含んでいるが、そのリンク(下図参照)は、ユーザを悪意あるファイルに導いている。

     PDFの内容の精密な調査は、悪意あるリンク並びに、HTMLコンテンツから、このPDFを生成するために使用されるツールのURLを明らかにしている。

    悪意のペイロード

     このリンクは我々に、悪意あるJARをダウンロードするように促してくる。このJARファイルは、他のファイルを含むZIPファイルをダウンロードする。これらのファイルの中に、我々は、拡張子を持たない三つのファイルを発見した。そこには、一般的な画像フォーマットであるPNGファイルヘッダーが含まれていた。通常、このヘッダーは、ファイルを開くために使用されるファイルタイプを示している。これによく似たものが、数年前BMPファイルで発見されている。

     このファイルに着目する。我々は、このファイルが63×48ピクセルの単色画像であることを確認できるが、ファイルサイズ 1.33MB は、この種の画像では大きすぎる。これらのファイルで幾つかの操作を実行するバイナリを解析することで、我々は、このPNGファイルをメモリにロードする関数を特定した。

     この関数は、このPNGファイルをメモリにロードし、復号し、RunPE(悪意あるコードが他のプロセスのコンテキスト中で実行される場所、このケースの場合は、ieplore.exe)として知られるテクニックを使用して、抽出されたバイナリを実行する。
     このコードから、我々は、このPNGファイルが僅か179byte(0xB3)であり、残りのコンテンツは暗号化された悪意あるファイルるであることを同定できた。

     これに基づいて、我々は何とか、このPNGファイルのコンテンツを復号するためのスクリプトを書くことができた。

     マルウェアコード中で発見されたキーを与えることによって、我々はこのファイルを復号することに成功した。

    結び

     Brazilian攻撃は、日毎に進化し、より複雑に効果的になっている。これは、未知のソースからのe-Mailに慎重になる必要がある。取り分け、このようなリンクや添付ファイルを含んでいるものは。
     PNGファイル中にホストされている悪意あるペイロードは、そのランチャなしに実行されることはないので、これは、メインの感染物として使用されることはできない。これは通常、あなたの受信箱に配布され、別のモジュールによってインストールされる必要がある。
     このテクニックは、犯罪者が首尾よくPNG画像に見えるファイル内部にバイナリを隠蔽することを可能にする。これは、ホスティング サーバ上の悪意あるファイルを検出するための自動化されたプロセスをバイパスするだけでなく、アンチウィルス企業の解析プロセスを困難にもする。
     この攻撃に関連するファイルは、以下としてKaspersky Labの製品で検出される。

    Trojan.Win32.KillAv.ovo
    HEUR:Trojan.Win32.Generic
    Trojan-Downloader.Win32.Banload.cxmj
    Trojan-Downloader.Win32.Agent.hgpf
    HEUR:Trojan-Downloader.Java.Generic

     この攻撃に関連するURLもまた、Kaspersky Labの製品によってブロックされている。

    Nemucodトロイの .CRYPTED身代金要求型マルウェアの復号プログラムがリリースされた
    BleepingComputer : News>Security (2016/03/23)
     EmsisoftのFebian WosarがNemucod .CRYPTED もしくは、Decrypt.txt身代金要求型マルウェアの復号プログラムをリリースした。復号プログラムは、我々のユーザの一人macomacoによって既にリリースされていたが、復号キーを生成するためにPythonを要求した。Fabianが、この身代金要求型マルウェアを解析したとき、彼は、今迄の身代金要求型マルウェアと類似の暗号化スキームが利用されていることを確認し、Windows復号プログラムをリリースすることができた。
     この身代金要求型マルウェアは、e-MailにJavascript添付ファイル(.JS)として送信されるNemucod Trojan.Downloaderを介して拡散している。ユーザが、この添付ファイルを開くと、JavaScriptが実行され、更に、犠牲者のコンピュータにマルウェアがダウンロードされる。最近、Nemucodによってダウンロードされているマルウェア感染の一つが、.CRYPT身代金要求型マルウェアである。この身代金要求型マルウェアは、犠牲者のデータを暗号化し、復号キーを取得するために ~0.4bitcoinを要求する。

    Nemucodの .CRYPT 身代金要求型マルウェアを復号するには

     あなたが、この身代金要求型マルウェアに感染しているのであれば、このリンクから decrypt_nemucod.exe をダウンロードし、それを、あなたのデスクトップに保存しなさい。
     あなたの復号キーを発見するには、暗号化されたファイルと、同じファイルの暗号化されていないファイルの両方を同時にdecrypt_nemucod.exeアイコン上にドラッグ&ドロップする必要がある。これを実行するには、そのファイルの暗号化されたバージョンと暗号化されていないバージョンの両方を選択し、この二つのファイルを、この復号プログラムにドラッグしなさい。あなたが、暗号化されたファイルのオリジナルのバージョンを持っていないのであれば、C:\Users\Public\Pictures フォルダに存在するサンプル画像を使用することができる(【訳注】 例えば、暗号化された犠牲者が使用しているOSが、64-bit Windows 7 Home Premiumであれば、このバージョンのOSには全て同じサンプル画像が含まれている。そこで、友人や会社から暗号化されていない同じサンプル画像を入手することで、両方のバージョンが揃うことになり、この復号プログラムで復号キーを発見することができます)。あなたのファイルの一つを暗号化するために使用されているキーが分かると、あなたのコンピュータ上の他の全てのファイルを復号するために、そのキーを使用することができる。
     同時に二つのファイルをドラッグする方法に関しては、以下の画像を参照しなさい。このキーを生成するために、私は暗号化されたPNGファイル、暗号化されていない通常のPNGファイル、decrypt_nemucod.exe を含むフォルダを作成した。次に、通常のPNGファイルと暗号化されたPNGファイルの両方を同時に、この復号プログラムにドラッグした。


    二つのファイルを同時に復号プログラムにドラッグする方法

     復号プログラムにファイルをドラッグすると、このプログラムが起動するにあたり、UAC(ユーザ アカウント制御)が表示される。先に進には Yes をクリックする。これで、このプログラムは起動し、復号キーを発見するためにブルートフォース(総当たり方式)を実行する。このキーがブルートフォースされると、以下に見られるような新しいウィンドウが表示される。


    発見された復号キーの例

     OKボタンを押すと、あなたが同意しなければならない実施許諾契約(ライセンス アグリーメント)が表示される。続けるには、OKボタンを押す。これで、以下に示すようなNemucod復号プログラムのメイン画面を見ることになる。


    Nemucod復号プログラム

     Defaultで、この復号プログラムは、C:ドライブのファイルだけを復号する。他のドライブにも暗号化されたファイルがある場合は、このリストに、そのドライブを追加するためにAdd File(s)ボタンをクリックしなさい。準備できたら、ファイルの復号を始めるためにDecryptボタンをクリックしなさい。Decryptをクリックすると、この復号プログラムは、全ての暗号化されたファイルを復号し、以下のような結果画面に復号状況を表示する。


    復号結果

     Nemucodが身代金要求型マルウェア以外のものも配布していることに注意することは重要である。Nemucod TrojanDownloaderはまた、Kovter感染や他のマルウェアをインストールする。これは、Nemucodによってダウンロードされた他の感染が存在しないことを確かめるためにアンチウィルスやアンチマルウェア プログラムでコンピュータをスキャンすることが強く推奨される。あなたはまた、コンピュータからKovterを削除するこのガイド(英文)を使用することもできる。
     この身代金要求型マルウェアに関する詳細な技術情報を知りたい人々は、次のセクションを読みなさい。あなたが、この復号プログラムの動作に関する支援を必要としているのであれば、こちら(CRYPTED Ransomware (Decrypt.txt) - How to Decrypt and Help Topic)に質問しなさい。

    Nemucod身代金要求型マルウェアの暗号化プロセス

     この身代金要求型マルウェアは現在、Nemucod TrojanDownloaderの一部であり、e-Mail経由で送信されるJavaScript(.JS)添付ファイルを介して拡散している。この身代金要求型マルウェアが実装している興味ある部分は、暗号化のステップが二つのプログラムに分割されていることにある。このJavaScriptインストーラは、様々なコマンドとバッチファイルを生成する。そして、このJavaScriptは、ダウンロードされたファイルを使用して実際の暗号化を実行する。
     ユーザがJS添付ファイルを開くと、このJavaScriptは、身代金要求型マルウェアの実行ファイルを %TEMP%\5021052.exe にダウンロードし保存する。けれども、この実行ファイルは未だ起動されない。次に、このスクリプトは、ターゲットにするファイルをスキャンし、それらを暗号化するために使用されるコマンドを含むCMDコマンドを作成し実行する。


    Nemucod JS ソース

     このCMDコマンドは、特定のファイル拡張子を含むファイルを検索し、ターゲットファイルが発見されると、.CRYPT 拡張子を付けるようにリネームする。次に、そのファイルを引数にして %TEMP%\5021052.exe を起動する。5021052.exe実行ファイルは、XOR暗号化を使用してファイルの最初の部分2048byteを暗号化する。このプロセスは以下の拡張子を持つ各ファイルで行われる。

    *.zip *.rar *.7z *.tar *.gz *.xls *.xlsx *.doc *.docx *.pdf *.rtf *.ppt *.pptx *.sxi *.odm *.odt *.mpp *.ssh *.pub *.gpg *.pgp *.kdb *.kdbx *.als *.aup *.cpr *.npr *.cpp *.bas *.asm *.cs *.php *.pas *.vb *.vcproj *.vbproj *.mdb *.accdb *.mdf *.odb *.wdb *.csv *.tsv *.psd *.eps *.cdr *.cpt *.indd *.dwg *.max *.skp *.scad *.cad *.3ds *.blend *.lwo *.lws *.mb *.slddrw *.sldasm *.sldprt *.u3d *.jpg *.tiff *.tif *.raw *.avi *.mpg *.mp4 *.m4v *.mpeg *.mpe *.wmf *.wmv *.veg *.vdi *.vmdk *.vhd *.dsk

     ファイルを暗号化すると、CMDスクリプトは、レジストリに様々な自動起動エントリを追加する。これで、ユーザが、このコンピュータにログインしたとき、脅迫文が表示され、この身代金要求型マルウェアは実行される。CMDスクリプトが終了すると、このスクリプトは、それ自体をコンピュータから削除する。
     暗号化ルーチンが終了すると、この身代金要求型マルウェアは、以下に見られるような、Decrypted.txt脅迫文を表示する。


    脅迫文

     Nemucodが身代金要求型マルウェア コンポーネント以外のものを配布していることに注目することは重要である。Nemucod TrojanDownloaderはまた、Kovter感染と可能なら他のマルウェアをインストールする。


    Kovter感染

     それゆえ、全ての感染が削除されていることを確認するためにアップデートしたアンチウィルスでコンピュータをスキャンすることは必須である。

    Nemucodトロイ関連ファイル

    %Temp%\502105.txt
    %Temp%\5021052.exe
    %LocalAppData%\evum\
    %LocalAppData%\evum\1QGNQ.2MGvFO
    %AppData%\BlastoffCounterpoiseDissimilitude
    %AppData%\ForesideDopattaEmpyrean
    %AppData%\gangbang.dll
    %AppData%\htmlhelp.title.xml
    %AppData%\libertine.dll
    %AppData%\minimize_hover.png
    %AppData%\System.dll
    %Desktop%\Decrypt.txt

    Nemucodトロイ関連レジストリエントリ

    HKCU\Software\Classes\.2MGvFO
    HKCU\Software\Classes\.2MGvFO\      ayC5
    HKCU\Software\Classes\ayC5
    HKCU\Software\Classes\ayC5\shell
    HKCU\Software\Classes\ayC5\shell\open
    HKCU\Software\Classes\ayC5\shell\open\command
    HKCU\Software\3c1cee05f3
    HKCU\Software\Classes\ayC5\shell\open\command\
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\      [unreadable_char]
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Crypted      %Temp%\502105.txt
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\      [unreadable_char]


    Maktub身代金要求型マルウェアのアート
    BleepingComputer : News>Security (2016/03/22)
     新しい身代金要求型マルウェアがセキュリティ研究者Yonathan Klijnsmaによって発見されMaktub Lockerと名付けられた。私は、この身代金要求型マルウェアの支払い要求サイトを確認し最も注意を向けるべきことを詳細に示すことにした。この復号サイトに取りかかる前に、チョットだけこの身代金要求型マルウェア自体を簡単に概要する。
     今までのところ、Maktub Lockerは、データを暗号化し、ファイルの身代金として 1.4 bitcoin を要求する標準的な変種のように見える。或る期間の後、犠牲者は身代金を増額される新しいステージに入る(最終的には、身の代金の金額は、3.9 bitcoin の上限に達する)。Maktub Lockerは、現在、暗号化したファイル用に固定された拡張子を使用するのではなく、犠牲者毎にランダムな拡張子を割り当てている。
     現時点で、この身代金要求型マルウェアは解析中であり、内部動作と、我々がこの暗号化方法を打ち破ることができるか否かに関しては、殆ど分かっていない。我々が認識していることは、.SCR 拡張子の添付ファイル付き実行ファイルをe-Mailすることで拡散しているということである。この添付ファイルは、サービス利用規約の更新であることを装っており、開くとこの身代金要求型マルウェアを実行する。この添付ファイルのファイル名の一例は、TOS-update-2016-Marth-18.scr である。
     この身代金要求型マルウェアが起動すると、更新された利用規約を装うWordドキュメントが表示されるが、その間に、この身代金要求型マルウェアは静に犠牲者のコンピュータ上のデータを暗号化している。


    インチキの更新された利用規約ドキュメント(クリックで拡大)

     Maktubが犠牲者のファイルの暗号化を終了すると、_DECRYPT_INFO_[random].html と題された脅迫文(下図参照)を表示する。


    脅迫文 _DECRYPT_INFO.html(クリックで拡大)

     私はマルウェアから利益を得る人々とは対極にいるものではあるが、Maktub Lockerが本当に目立っていることは、感染ではなく、そのTOR復号サイトで与えられた詳細な注意である。この身代金要求型マルウェアのサイトは、芸術的とは言えないまでも、私が今までに見てきた中で最も素晴らしい身代金要求型マルウェアのサイトである。
     この復号サイトは5頁に分割されており、各ページは独自の芸術的テーマを含んでいる。このロゴは、Deviant Artのデザイナのものを掻っ払ってきたかのうようであるが、このアートワークは、この身代金要求型マルウェアの開発者によってデザインされたか否かは明らかでない。とは言うものの、これらのページの背景となっているアートワークに一致するものを、私は発見できていない。
     この復号サイトの最初のページは、犠牲者のファイルに何が発生したのかの簡単な紹介である。


    Helloのページ(クリックで拡大)

     次のページは、殆どの身代金要求型マルウェアが持っている無料の復号ページである。この身代金要求型マルウェアは、通常1ファイルであるのに対して2ファイルを無料で復号することを申し出ている。


    我々は嘘をついていないのページ(クリックで拡大)

     三番目のページは、犠牲者が入室できる異なる支払い段階を表示している。時間の経過と共に、次の支払い段階に進み、身代金はより高額となる。


    身代金の金額ページ(クリックで拡大)

     四番目のページは、犠牲者が身代金を送信するために使用しなければならない一意のbitcoinアドレスを提供している。


    私は何処に支払うのかのページ(クリックで拡大)

     最後に、五番目のページは、いつものbitcoin購入方法に関するページである


    Bitcoin購入のページ(クリックで拡大)

     身代金要求型マルウェア業界が、上手く立ち行かなくなったなら、彼らはWebデザインに挑戦するのかもしれない。詳細な情報がリリースされたなら、私は必ず、それをこのサイトに投稿するだろう。 

    Surprise身代金要求型マルウェアは、TeamViewerを介してインストールされ、メモリから実行される
    BleepingComputer : News>Security (2016/03/22)
     最近、暗号化されたファイルに .surprise 拡張子をつける新しいマルウェアについて、一人のメンバーがフォーラムに投稿した。私はサンプルを受け取り、それがEDA2身代金要求型マルウェアの高度に改竄された変種をメモリから実行するローダーであることを突き止めた。十分に興味深いものであるが、間もなく、感染した人々がTeamViewer(【訳注】 手元のパソコンを操作するのと同様に外部のパソコンをインターネット経由で遠隔操作するソフトウェア(teamviewer.comより))接続を介して実行されているとするレポートが届いた。

    TeamViewerを介してインストールされる最初の身代金要求型マルウェア

     Surpriseの犠牲者から詳細なレポートが届いたとき、不穏な傾向が発見された。犠牲者の全てがTeamViewerをインストールしていた。TeamViewerを使用しているマシンに何者かが接続し、Surprise.exeファイルを、彼らのデスクトップにアップロードしたことをログは示していた


    投稿より: TeamViewerのログ(クリックで拡大)

     詳細なログがポストされた、そこには攻撃者が身代金要求型マルウェアをアップロードするためのIDとそれを実行するためのIDの二つのTeamViewer IDが存在していたことを確認できる。これらのIDは、夫々 479441239 と 479440875 であった。
     TeamViewerが関係していることが分かったので、私は即座にTeamViewerのサポートに連絡し、この攻撃を論議するために、彼らのセキュリティチーム部門の者に、私に電話するかメールするように連絡した。セキュリティチームのメンバーの一人との話で、関係しているIDは、もはやTeamViewerで使用されておらず、既に無効になっていると告げられた。私はまた、この身代金要求型マルウェアの開発者によって実行された接続は、犠牲者の証明書を使用していたとも告げられた。TeamViewerは、これらのアカウントの一部が、アカウント ダンプ(犠牲者の証明書が、この身代金要求型マルウェアによって取得された場所)に含まれていた可能性があると感じていた。
     様々なデータベースをチェックしたところ、私は、犠牲者の半分を超える人々が、https://haveibeenpwned.com/ サイト上にリストされていることを発見した。
     この時点で、Surprise身代金要求型マルウェアが消滅していたことが明かになったので、我々はこれ以上調査することが不可能になった。

    検出を回避するためにメモリから実行する

     我々がSurprise身代金要求型マルウェアで確認した別の興味を引く特徴は、実行ファイルそれ自体に暗号化の機能や、身代金要求型マルウェア プログラムに関連する他の挙動が含まれていないことである。代わりに、このマルウェアは、暗号化されたBASE64エンコード文字列に変換する別の実行ファイルを含んでいる。実行時に、この文字列は復号され、メモリにロードされ、次にメモリから直接実行される。
     この方法は、アンチウィルス定義ファイルをバイパスするだけでなく、行動検出をもバイパスするために使用されている。行動検出は、シグネチャ検出が簡単にバイパスされるので、身代金要求型マルウェアを検出し停止するための最善の方法になっている。ファイル中の暗号化機能(行動解析の一般的なターゲット)をロードせず、メモリから実行するように試みることによって、彼らは検出されないことを望んでいる。ありがたいことに、これは事実ではない。
     以下は、彼らがこのテクニックを使用している方法を示しているソースコードの一部である。


    メモリからファイルを実行する(クリックで拡大)

     この悪意ある挙動は、身代金要求型マルウェアがメモリから起動される時に、検出されるので、今までのところ、これは助けになっていない。

    Surprise身代金要求型マルウェアの暗号化プロセス

     既に説明したように、この身代金要求型マルウェアは犠牲者のコンピュータに接続しているTeamViewerを介して拡散する。そして、これは、この身代金要求型マルウェアの開発者がSurprise.exeと呼ばれるファイルを犠牲者のデスクトップにアップロードするために使用されている。このファイルが起動すると、このファイルは暗号化されているBASE64でエンコードされている実行ファイルをメモリに復号し、そこからこの実行ファイルを起動する。
     起動すると、この身代金要求型マルウェアは、そのコマンド&コントロール サーバ(犠牲者のコンピュータ名とユーザ名を送信し、公開鍵を取得する場所)に接続しようとする。この公開鍵は、生成されたAES暗号化キーを暗号化するために使用される。そして、次に、そのコマンド&コントロール サーバに送り返される。
     この身代金要求型マルウェアは、特定のファイル拡張子を含むファイルに関してコンピュータ上の全ての固定ディスクをスキャンする。一致したファイルを見つけると、このAES暗号化キーで暗号化し、そのファイルに .surprise 拡張子を追加する。標的にされているファイル拡張子は以下である

    .asf, .pdf, .xls, .docx, .xlsx, .mp3, .waw, .jpg, .jpeg, .txt, .rtf,
    .doc, .rar, .zip, .psd, .tif, .wma, .gif, .bmp, .ppt, .pptx, .docm,
    .xlsm, .pps, .ppsx, .ppd, .eps, .png, .ace, .djvu, .tar, .cdr, .max,
    .wmv, .avi, .wav, .mp4, .pdd, .php, .aac, .ac3, .amf, .amr, .dwg,
    .dxf, .accdb, .mod, .tax2013, .tax2014, .oga, .ogg, .pbf, .ra, .raw,
    .saf, .val, .wave, .wow, .wpk, .3g2, .3gp, .3gp2, .3mm, .amx, .avs,
    .bik, .dir, .divx, .dvx, .evo, .flv, .qtq, .tch, .rts, .rum, .rv, .scn,
    .srt, .stx, .svi, .swf, .trp, .vdo, .wm, .wmd, .wmmp, .wmx, .wvx,
    .xvid, .3d, .3d4, .3df8, .pbs, .adi, .ais, .amu, .arr, .bmc, .bmf,
    .cag, .cam, .dng, .ink, .jif, .jiff, .jpc, .jpf, .jpw, .mag, .mic,
    .mip, .msp, .nav, .ncd, .odc, .odi, .opf, .qif, .xwd, .abw, .act, .adt,
    .aim, .ans, .asc, .ase, .bdp, .bdr, .bib, .boc, .crd, .diz, .dot, .dotm,
    .dotx, .dvi, .dxe, .mlx, .err, .euc, .faq, .fdr, .fds, .gthr, .idx,
    .kwd, .lp2, .ltr, .man, .mbox, .msg, .nfo, .now, .odm, .oft, .pwi,
    .rng, .rtx, .run, .ssa, .text, .unx, .wbk, .wsh, .7z, .arc, .ari,
    .arj, .car, .cbr, .cbz, .gz, .gzig, .jgz, .pak, .pcv, .puz, .rev, .sdn,
    .sen, .sfs, .sfx, .sh, .shar, .shr, .sqx, .tbz2, .tg, .tlz, .vsi,
    .wad, .war, .xpi, .z02, .z04, .zap, .zipx, .zoo, .ipa, .isu, .jar,
    .js, .udf, .adr, .ap, .aro, .asa, .ascx, .ashx, .asmx, .asp, .indd,
    .asr, .qbb, .bml, .cer, .cms, .crt, .dap, .htm, .moz, .svr, .url,
    .wdgt, .abk, .bic, .big, .blp, .bsp, .cgf, .chk, .col, .cty, .dem,
    .elf, .ff, .gam, .grf, .h3m, .h4r, .iwd, .ldb, .lgp, .lvl, .map,
    .md3, .mdl, .nds, .pbp, .ppf, .pwf, .pxp, .sad, .sav, .scm, .scx,
    .sdt, .spr, .sud, .uax, .umx, .unr, .uop, .usa, .usx, .ut2, .ut3,
    .utc, .utx, .uvx, .uxx, .vmf, .vtf, .w3g, .w3x, .wtd, .wtf, .ccd, .cd,
    .cso, .disk, .dmg, .dvd, .fcd, .flp, .img, .isz, .mdf, .mds, .nrg,
    .nri, .vcd, .vhd, .snp, .bkf, .ade, .adpb, .dic, .cch, .ctt, .dal,
    .ddc, .ddcx, .dex, .dif, .dii, .itdb, .itl, .kmz, .lcd, .lcf, .mbx,
    .mdn, .odf, .odp, .ods, .pab, .pkb, .pkh, .pot, .potx, .pptm, .psa,
    .qdf, .qel, .rgn, .rrt, .rsw, .rte, .sdb, .sdc, .sds, .sql, .stt,
    .tcx, .thmx, .txd, .txf, .upoi, .vmt, .wks, .wmdb, .xl, .xlc, .xlr,
    .xlsb, .xltx, .ltm, .xlwx, .mcd, .cap, .cc, .cod, .cp, .cpp, .cs,
    .csi, .dcp, .dcu, .dev, .dob, .dox, .dpk, .dpl, .dpr, .dsk, .dsp,
    .eql, .ex, .f90, .fla, .for, .fpp, .jav, .java, .lbi, .owl, .pl, .plc,
    .pli, .pm, .res, .rsrc, .so, .swd, .tpu, .tpx, .tu, .tur, .vc, .yab,
    .aip, .amxx, .ape, .api, .mxp, .oxt, .qpx, .qtr, .xla, .xlam, .xll,
    .xlv, .xpt, .cfg, .cwf, .dbb, .slt, .bp2, .bp3, .bpl, .clr, .dbx, .jc,
    .potm, .ppsm, .prc, .prt, .shw, .std, .ver, .wpl, .xlm, .yps, .1cd,
    .bck, .html, .bak, .odt, .pst, .log, .mpg, .mpeg, .odb, .wps, .xlk,
    .mdb, .dxg, .wpd, .wb2, .dbf, .ai, .3fr, .arw, .srf, .sr2, .bay, .crw,
    .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .rwl, .rw2,
    .r3d, .ptx, .pef, .srw, .x3f, .der, .pem, .pfx, .p12, .p7b, .p7c, .jfif,
    .exif, .rar

     ファイルを暗号化しているとき、このマルウェアは、$ 記号、もしくはファイル名中に c:\windows と c:\program文字列を含むあらゆるファイルをスキップする。
     この身代金要求型マルウェアが、そのコンピュータでの暗号化を終了すると、デスクトップに3つのファイルを作成する。これらのファイルと、その内容は以下である。

      ・ %Desktop%\DECRYPTION_HOWTO.Notepad 脅迫文
      ・ %Desktop%\surprise.bat。これは、Shadow Volume Copiesを削除するために vssadmin.exe Delete Shadows /All /Quiet を実行する
      ・ 暗号化されたファイルのリストを含む %Desktop%\Encrypted_Files.Notepad ファイル。

     この身代金要求型マルウェアの脅迫文

      あなたのファイルに何が発生したのか?
      あなたのファイルの全ては強力な暗号化で守られている。
      キーなくしてファイルを復号する方法はない。
      ファイルが、あなたにとって重要でないのであれば、システムを再インストールしなさい。
      ファイルが重要なら、金額とファイルの復号方法を相談するために我々にメールしなさい。
      nowayout@protonmail.com と nowayout@sigaint.org に、e-Mailすることができる。
      両方のe-Mailアドレスに対してe-Mailを書きなさい。
      我々は、BITCOINを受け入れる。あなたが、BITCOINをgoogleすることを知らないのであれば、我々はあなたの国でBITCOINを購入する場所と方法の指示を与えることができる。
      金額はファイルとネットワークの重要性に依存し、0.5 から 25 BITCOIN になるだろう。
      あなたは、復号するために1つの暗号化されたファイルを我々に送信できる。
      あなたの国、感染したシステムのコンピュータ名とユーザ名を記述して我々に気兼ねなくメールしなさい。

     残念ながら、現時点で、この感染によって暗号化されたファイルを無料で復号する方法はない。

    Surprise身代金要求型マルウェア関連ファイル

     
      %Desktop%\DECRYPTION_HOWTO.Notepad
      %Desktop%\surprise.bat
      %Desktop%\Encrypted_Files.Notepad


    Emsisoftが、Xorist身代金要求型マルウェア ファミリーに関する復号サービスを提供
    BleepingComputer : News>Security (2016/03/21)
     身代金要求型マルウェアのXoristファミリーは、我々のセキュリティ フォーラムでサポート要求が頻繁に見られるようになっている。コンピュータ感染のこのファミリーは、潜在的なマルウェア配布者が、この身代金要求型マルウェアを独自にカスタマイズしたバージョンを簡単に作成することを可能にするビルダーを使用して構築されている。この問題は、暗号化されたファイル拡張子、ターゲットにされているファイル、脅迫文が、簡単にカスタマイズされ、それ故、犠牲者が、特定のビルドに関連する手助けを見つけることが、より困難になっていることにある。例えば、我々は、暗号化されたファイルの拡張子に、EnCiPhErEd,.73i87A, .p5tkjw, .PoAr2wを使用した身代金要求型マルウェアの変種を見てきた。もっと多くが世の中に存在していることは確かである。
     良いニュースは、EmsisoftFabian Wosarは、このビルダーを発見し、このファミリーの感染を復号プログラムを作成することができた。あなたが、明らかにXorist身代金要求型マルウェアの変種に感染したのであれば、以下のトピックの一つに投稿し、無料であなたのファイルを復号するための支援を受けることができる。

     あなたが、Xorist身代金要求型マルウェアの変種を作成する方法に関して詳細に学習したいのであれば、以下を読みなさい。

    独自の身代金要求型マルウェアを構築する

     独自の身代金要求型マルウェア実行ファイルを作成することは、このビルダーを持っていさえすれば、大変簡単である。このビルダーは、現在[Pastorok]のEncoder Builder v.24と呼ばれており、暗黒Webマルウェアと脆弱性攻撃フォーラムの犯罪志望者によって、ほぼ間違いなく購入されている。人々がこのビルダーを手に入れたら、彼らは単純に、これを実行し、この身代金要求型マルウェアの、彼らのバージョンに使用したいオプションを選択すればいいだけである。適切にビルダーを設定した後、ボタンをクリックする。そこで、カスタマイズされた身代金要求型マルウェア実行ファイルが作成される。この感染がどのように配布されるかは、このビルダー次第なので指摘することはできない。


     Xorist身代金要求型マルウェア ビルダー

    上の画像に見られるように、このビルダーを使用して独自の身代金要求型マルウェアを作成することは、大変簡単である。単純に使用したい様々なオプションを選択し、”Cleate!”ボタンをクリックするだけ。次に、このビルダーは、実行ファイルを保存したい場所を尋ねてくる。そして、このビルダーは、彼らの希望通りに、それを配布する。
     Defaultで、このビルダーは、特定のIDを含むSMSテキストを指定の番号に送信するように犠牲者に指示する標準の脅迫文を使用するように設定されている。この身代金要求型マルウェアの各ビルドは、全ての犠牲者に同じパスワードを利用しているので、開発者は、支払いが実行されると、犠牲者に送信するためのパスワードを決定するために関連IDを使用することが可能となる。
     犠牲者は、このパスワードを取得し、この身代金要求型マルウェアによるプロンプトに、このパスワードを入力する。このパスワードが正しいのであれば、この身代金要求型マルウェアは暗号化されたファイルを復号する。


     パスワード プロンプト

     Defaultで、この変種に使用される暗号化はTEAであり、このパスワードは、4kuxF2j6JU4i18KGbEYLyK2d、暗号化ファイルの拡張子は、.EnCiPhErEd である。この感染のDefault脅迫文(HOW TO DECRYPT FILES.txt)は、以下のように述べている。

      Attention! All your files are encrypted!
      To restore your files and access them,
      please send an SMS with the text XXXX to YYYY number.

      You have N attempts to enter the code.
      When that number has been exceeded,
      all the data irreversibly is destroyed.
      Be careful when you enter the code!

      注意! あなたのファイルは全て暗号化された。
      ファイルを復号し、アクセスするためには
      XXXXテキスト付きのSMSメッセージを番号YYYYに送信しなさい。
      あなたは、N回このコードの入力ができる。
      この回数を超えると、データの全ては不可逆的に破壊される。
      コードを入力する時には注意しなさい。

     この身代金要求型マルウェアの標的になっているDefault拡張子は以下である

      *.zip, *.rar, *.7z, *.tar, *.gzip, *.jpg, *.jpeg, *.psd, *.cdr, *.dwg, *.max,
      *.bmp, *.gif, *.png, *.doc, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.txt, *.pdf,
      *.djvu, *.htm, *.html, *.mdb, *.cer, *.p12, *.pfx, *.kwm, *.pwm, *.1cd, *.md,
      *.mdf, *.dbf, *.odt, *.vob, *.ifo, *.lnk, *.torrent, *.mov, *.m2v, *.3gp,
      *.mpeg, *.mpg, *.flv, *.avi, *.mp4, *.wmv, *.divx, *.mkv, *.mp3, *.wav, *.flac,
      *.ape, *.wma, *.ac3

     このビルダーによってカスタマイズできる機能は以下を含んでいる。
      ・ 脅迫文
      ・ 暗号化されたファイル拡張子
      ・ ターゲットにされるファイル拡張子
      ・ 感染の実行あたりでパスワードを作成する
      ・ 感染が犠牲者のファイルを暗号化した後にメッセージボックスを表示するか否か
      ・ 暗号化アルゴリズム(TEAもしくはXOR)
      ・ 復号パスワード
      ・ マルウェア実行ファイルが使用するためのアイコン
      ・ 壁紙を変更するか否か
      ・ このマルウェアが自動起動するのか、しないのか
      ・ 各フォルダに脅迫文を生成するか否か
      ・ このマルウェアをUPXでパックするのか、しないのか
     殆どの部分に関して、この身代金要求型マルウェアは、あまり洗練された感染ではない。この問題は、ビルダーを使用する容易さに起因している。誰もが、この巨大な身代金要求型マルウェアのマーケットで試し、換金するための配布者に瞬時になることができる。

    Xoristによって追加されたファイル

      %Temp%\[random].exe
      %UserProfile%\Desktop\HOW TO DECRYPT FILES.txt

    Lenovoが、悪意あるAngler脆弱性攻撃キットを排除している
    GrahamClueley : News (2016/03/20)
     攻撃者は最近Lenovo PCの顧客によって使用されるスタート ページをセキュリティ侵害し、ユーザを悪意あるAngler脆弱性攻撃キットにリダイレクトしていた。
     F-Secureセキュリティ アドバイザSean Sullivanは、F-Secureのクライアントからのアップストリーム検出報告は、このセキュリティ侵害が、3月13日に発生したことを示しているとブログにポストしている。

       ある期間(比較的短い)ポータルサイト'startpage.lenovo.com'は、訪問者を不名誉にもAngler脆弱性攻撃キットにリダイレクトしていた。

     この悪名高いAngler脆弱性攻撃キットは、暗号化する身代金要求型マルウェアの世界では著名である。
     昨年10月に遡る。CiscoのTalos Security Intelligence and Research Groupは、この脆弱性攻撃キットの悪意ある行為のおよそ半分のブロックを支援した。これは見事な離れ業であるが、Anglerは、今日もアクティブなまま残っている。
     ごく最近、Angler脆弱性攻撃キットは、CryptoWall 4.0身代金要求型マルウェアをドロップするドライブバイ キャンペーン、SkypeユーザWajamブラウザ アドオンをターゲットにしている二つの悪意ある広告キャンペーン、無意識で皮肉にもタイトルしたGuardianの記事("Cybercrime: is it out of control?")に観察されている。

     

     その間にも、Lenovoは、昨年のSuperfishの大失敗の後、そのユーザの信頼を取り戻すための継続的な闘争に未だに携わっている。
     Lenovoは、その後間もなく、より安全なPC体験を約束したが、ルートキットのようなユーティリティ特権の昇格の脆弱性、そのSHAREitアプリケーション中の危険なDefaultパスワード設定が発見されていることは、これを改善するのは困難な戦いであることを示唆している。
     Lenovoがオンラインでの存在感関連でキマリの悪いセキュリティ上の失敗をしたことは初めてのことでさえない。一年前、LenovoのWebサイトが、Lizard Squadハッキンググループによって、そのDNSエントリをハイジャックされ、十代前半向けディズニー映画"High School Musical"(ハイスクール ミュージカル)の歌を再生するようにされていたことを誰が忘れるだろうか?
       このセキュリティ侵害は、Lenovoの負のイメージを多分改善しないだろう。このことを考慮に入れて、我々は、Lenovoのスタート ページが、日曜日の夕方大変小さなトラフィックしか受けとらないことを希望する。
     Anglerのような脆弱性攻撃キットは、犠牲者のコンピュータにマルウェアをインストールするための梃子にできる脆弱性を求めて、パッチされていないソフトウェアをスキャンする。従って、ユーザは、利用可能になると直ちにソフトウェアのアップデートを常に実行することが、Webで遭遇した広告をクリックするとき、注意することのトレーニングを行うことが重要である。

    悪意あるスクリプトが、コンピュータに感染するために身代金要求型マルウェアと共にバラ撒かれていた
    Bitdefender : HOTforSecurity (2016/03/18)
     10000を超える新しいマルウェアの変種が毎日セキュリティ研究者によって発見されている。これは、攻撃者の背後にいる犯罪者が、それと同時に、ユーザに感染するための方法を発明する必要があるということを意味していない。
     事実、正直に言うと、ユーザのコンピュータをセキュリティ侵害するために使用されている方法は、しばしば、我々が20年前に確認している攻撃と同じタイプに近いものである。
     何故、新しい発明がなされないのか、既存の方法が成功しているからである。
     我々は、人々が彼らの失敗から学び、経験が、同じエラーを何度も繰り返すことから我々を妨げると考えたい。しかし、我々が実際にマルウェア キャンペーンを考察したとき、ハッカーによって使用されている古い戦術が、上手く動作していることは明かである。
     コンピュータがマルウェアによって感染させられる最も一般的な方法の一つは、ブービートラップ(攻撃者が注意深く細工したメッセージをあなたの受信箱に送信する)されたe-Mail添付ファイルである。
     時として、彼らは世界中の数千人の人々にメッセージを送信するし、他の場合には、彼らは企業内部の個人をターゲットにしている。
     彼らが誰を標的にしているかに拘らず、彼らは添付ファイルをクリックして確認したいという、人間の弱点(私は、これを「人間の脳のバグ」と呼びたい)に依存している。そして、そのコンピュータは、最終的に感染する。
     私の受信箱を調べたとき、私は、犯罪組織が世界中のコンピュータをセキュリティ侵害しようとする彼らの企ての中で、積極的にこの技術を使用している膨大な数の督促状を発見している。
     例えば、以下に単純な例を引いておく、これは、実際に何の努力もせずにソーシャルエンジニアに、好奇心を利用してクリックさせる証明であるかのように見える。

    ZIPファイルが添付された多量の"document"e-Mail。このZIPファイルに何が含まれているのかの説明、もしくは、あなたに送信された理由に関しての説明は、このe-Mail中には提供されていない。
     あなたの生来の好奇心は、この添付ファイルをクリックさせるのに十分であるかもしれない。そして、内部の悪意あるJavaScriptが解凍される。

     あなたが、このZIPファイル中に含まれる難読化されたJavaScriptファイルを実行するという失敗を犯したなら、あなたはまず間違いなく、LockyもしくはTeslaCrypt身代金要求型マルウェアのコピーが、あなたのファイルを暗号化し、直後に、それらを安全に取り戻すための身代金の支払いを要求してくることは明らかである。
     この様なマルウェア キャンペーンは、一般的に長くは続かない。マルウェア キャンペーンの背後にいる犯罪者達は、アンチウィルス企業による検出を回避するために彼らのマルウェアを変更し、彼らの悪意あるペイロード(【訳注】 payloadには一発のミサイルに搭載できる爆発物の総量という軍事用語としての意味があります。マルウェアの場合、悪意の総量もしくは悪意の総体という意味になります)を他のWebサーバーからダウンロードするように変更する。
    この様な攻撃が突発し、数時間で収まったとしても、他のものが向かっている最中であり、より多くのものが、あなたの受信箱中に現れていることは間違いないだろう。
     答えは多層防御(アンチウィルス ソフトのアップデートの実行(上述の攻撃は、BitdefenderによってGeneric.JS.DownloaderC.8C211DF9として検出される)、最先端のセキュリティパッチを適用し続けること、そして、入り口で危険な添付ファイルを実際にブロックしていない場合には、受信箱中の求めてもいないものが到着したとき、どのようなタイプのファイルをクリックするのかということを介して自制心を訓練すること)である。
     歴史が我々に教えていることは、これらの攻撃は、それらをクリックする人々がいる限り継続するということである。

    Pompous身代金要求型マルウェアはバックドアによって打ち負かされた
    BleepingComputer : News>Security (2016/03/10)
     新しい身代金要求型マルウェアが昨日リリースされた。このマルウェアは、オープンソースEDA2身代金要求型マルウェアに基づいている。この身代金要求型マルウェアは、AES暗号化を使用してデータを暗号化し、Locked拡張子を追加する。そして、復号キーを入手するには、0.5 Bitcoinの身代金を要求する。EDA2身代金要求型マルウェアの変種はかなり多く出回っているが、この物語を別のものにしているのは、この身代金要求型マルウェアの開発者が尊大であり、我々が犠牲者のキーを取得することを可能にしていたことである。
     この感染の脅迫文は、Malekal Morteによって最初にツイートされ、次に、数時間後、犠牲者がBleepingComputerにこの身代金要求型マルウェアについてポストした。通常、身代金要求型マルウェアの開発者は、犠牲者に指示を与えるとき、大変事務的である。
     ところが、この開発者は、警察が彼らを決して発見できないと自慢し、犠牲者が了見違いをしたとし、基本的に権力を誇示することで、逆上せ上がった間抜けのように振る舞っている。

     あなたが私を発見することは決してできない。警察が私を発見することは決してできない。あなたが好むのなら、彼らに相談しなさい、さぁ、どうぞ、どうぞ。しかし、データが戻ってくることを期待してはならない。彼らは、コミュニティを支援することが重要なのであって、あなたの最終期限に間に合わせることの支援を重要とはしていない。彼らが、数日間あなたのデスクトップを保持する必要があると言ったなら、大笑いだ、あなたはマシン(データは言うまでもなく)を二度と見ることはないだろう。私は今まで5年間、これを実行してきた、そして、未だに捕まっていない。
     Best Buy(【訳注】 米国の大手家電量販チェーン店)は、暗号化を解除する能力は持っていない。NSA(【訳注】 米国国家安全保障局)は、暗号化されたファイルを復号することは多分できないだろう。そう、NSAはできるかもしれないが、少なくとも数年間、彼らのcomputation cluster(【訳注】 複数のコンピュータを1台であるかのように利用する接続方法(インターネット辞典より))に対して、あなたが高い優先性を持っているとは、私は絶対に思えない。
     72時間の間、あなたは、決してこれらのファイルを開くことはできない。私は権力者に対して戦う者をあまり好まない。また、あなたが、最終期限の延長を求める方法はない。やるだけやってみろ。
     そう、最悪という分けではないことに感謝しなさい。しようと思えば、私はもっと金銭を要求することもできた。私はISISと子供の首を切り落とすための金銭を蓄えるために活動することもできた。私は意地悪な最低男であり、あなたのデータを即座に破壊することもできた。私はそのような者か? 否。私は生活するための金銭を必要としている(実話)、そして、私は如何なるハッカー「コミュニティ」も気にしていない。あなた自身を犠牲にすることで、将来あなたが保護することになる者は誰もいない。私は、この損失を補填するために多くの人々のデータを暗号化するだけである。

    以下の画像をクリックすると脅迫文全文を読むことができる。

     残念ながら、この身代金要求型マルウェアは大変成功していて、一日で凡そ700人の犠牲者を暗号化している。この身代金要求型マルウェアは、新しいFarCryゲーム用のクラックであることを装って、これを実行している。更に、少なくとも3人が、彼らの復号キーのために身代金を支払っている


    犠牲者が購入したコードを入手するWebサイト

     この時点で、彼らのコマンド&コントロールサーバがシャットダウンされたことが明きらかになっているので、もはや、この身代金要求型マルウェアは動作しない。

    バックドアがレスキューする

     良いニュースは、このEDA2身代金要求型マルウェアは、その中に、全ての復号キーを取得することを可能にするバックドアを持っていた。このバックドアを使用して、EDA2の開発者Utku Senと、我々の助っ人の一人demonslay335は、全てのキーを取得し、それを、適切な復号キーに変換することができた。次に、Demonslay335は、復号プログラムと一緒に取得した復号キーのリンクをポストした。
     この変種で感染した人々に関して、あなたは復号キーの全てを閲覧するためにこちらをクリックすることができる。このリストを表示したら、あなたのコンピュータ名を検索し、関連するキーをコピーしなさい。次に、Hidden Tear Decryptor(直リンク)をダウンロードし、暗号化されたファイルを復号するために、そのキーを使用しなさい。

    Adobe、Flashのバグに緊急のセキュリティパッチをリリース
    BBC : Technology (2016/03/11)
     Adobeは、広汎に使用されているFlashメディア プレーヤ中の抜け道を閉じるための緊急のパッチをリリースした。
     Adobeのセキュリティ アドバイザリにおいて、Adobeは、このバグの一つが、「限定的な数の標的型攻撃」で活発に悪用されていると発言している。
     全部で、このパッチは、Flashプレーヤ中の23の個別のセキュリティ バグを閉じている。
     このセキュリティ ホールを悪用している攻撃者は、有用なデータを盗んだり、そのマシンの所有者をスパイするためにコンピュータの制御を奪うことが可能である。
     このアップデートは、多くの問題が緊急(最高レベル)として評価されているので、可能な限り早急に、パッチを適用するよう人々を駆り立てている。
     このセキュリティホールは、様々なプラットフォーム(Windows、Mac、Linux)と、AndroidとiOSを実行しているphoneを含むデバイスで使用されているFlashプレーヤのバージョン中に発見された。
     多くのセキュリティ企業は、悪意ある添付ファイルやブービートラップされたWebページの犠牲者にならないようにするためにFlashプレーヤをアンインストールするように推奨している。多くのWeb企業は、攻撃者を妨害することを目指して現在、Flashの使用を停止している。
     幾つかの他の企業も、今週セキュリティ パッチをリリースしている。Firefoxのアップデートは、40の個別の脆弱性(半分が緊急として評価されている)を閉じた。
     更に、Googleは、他のものと一緒に「高」として評価されている三つのセキュリティホール閉じた。Googleは、抜け道を見つけた二人の研究者に対して合計13,000$(約 148万円)をバグ報奨金として支払っている。
     火曜日、Microsoftは、幾つかの異なるプログラム(Internet ExplorerとEdgeブラウザを含む)中の13の問題を解決するための定例のセキュリティ アップデートをリリースした。

    Opera: ブラウザに組み込みadblocker(広告ブロック)を搭載予定
    The Guardian : Tech (2016/03/10)
     Operaは、そのデスクトップ ブラウザの新しいバージョンに、サードパーティーの拡張の必要をなくすために、組み込みの広告防止機能を導入する。
     このノルウェーのソフトウェア企業は、タブ ブラウジングのような、後日、他のブラウザでも一般的になった新機軸の歴史を持っている。また、ポップアップ ブロック(旧世代の挑戦的な広告をターゲットにしていた)の祖でもある。
     Operaは、この変更が、ブラウザが広告ネットワークへの要求(これは、ページのロードを緩慢にする)を妨げることによって、90%もページをロードする時間を減少することができると発言している。
     Operaは、Operaブラウザ中に直接この機能を組み込んだために、ページのロード時間は、既存のアドブロッカー プラグインや、ブラウザ拡張より40%高速になっていると、この会社は発言している。
     最近のレポートに見られることによると、イギリスのインターネットユーザの900万人(22%)以上が、アドブロッカーをインストールしている、そして、この防御は、18歳から24歳の間で利用率がかなり高く、ほぼ半分の人々が何らかの形でアドブロッカーを使用している。
     Operaの組み込みアドブロッカーは、当初そのブラウザのデスクトップバージョンだけとされていたが、将来的にモバイルバージョンにも追加されそうである。Operaのスポークスマンは、「広告ブロックのテクノロジは、消費者が、実際に発言していることに広告業界が注意を払うようにすることが目的であり、そのための注意喚起である」と発言している。
     より速いローディング、プライバシーとセキュリティの向上、殆ど気を散らされないようにすることが、アドブロッカーへの要求を増加させてきた理由であるが、これらの使用は、収入を広告表示に依存しているオンライン広告の広告主に懸念を発生させている。今月初旬、John Whittingdale(イギリスの)文化メディア体育大臣は、アドブロッキングを「現代のみかじめ料」と呼んだ。
     PageFairとAdobeの研究(PDF)は、2015年にアドブロッカーによって失われたオンライン広告収入は、218億$(154億ポンド、約2兆4800億円)と見積もっており、2016年には、ほぼ倍の414億$になるだろうと見積もっている。広告配置企業Caratは、グローバル デジタル及びモバイル広告は、今年1500億$に近づくだろうと予測している。
     Opera(北京崑崙万維科技有限公司(Beijing Kunlun Technology)によって主導される中国企業グループによって12億3千万$での買収に同意した)は、彼らの最初のコンピュータWebブラウザを1995年にもたらした。
     スマートフォンの普及に伴い、Operaはモバイル ブラウザと広告市場に活動の中心をシフトした。これは、彼らの収入の大部分を現在稼ぎだしており、2億8100万ユーザを持っている。
     このオスロを本拠とする企業は、Microsoft, Google, Firefox, Appleからの主流のデスクトップコンピュータ ブラウザから距離置かれて第5位に位置している。
     Operaの収入のかなりの部分は、そのブラウザ中の広告に依存しているが、ページに影響を与える広告ブロック規制を導入することは矛盾とはならないと考えると発言している。Operaスポークスマンは、広告ブロックに関する要求は、メッセージが、より破壊的でなくなり、より適切なものになったときには、広告ブロックの需要は衰えなければならないと発言している。

    HTTPS Webサイトの1/3は、DROWN攻撃に対する脆弱性が放置されている
    ESET : WeLiveSecurity (2016/03/03)
     新しい脆弱性は、HTTPS Webサイトの1/3程で、復号に門戸を開いたままになっている。これは、ユーザ名、パスワード、クレジットカード番号を含む重要なデータがリスクに晒される可能性があることを意味している。
     この脆弱性は、DROWNと称されている(Decrypting RSA with Obsolete and Weakened eNcryption、【訳注】 攻撃者は SSLv2 をサポートしている脆弱なサーバから 秘密鍵を入手し、 暗号化された通信内容を解読することが可能(JVNVUより))、そして、SSLv2証明書を使用してサーバに影響を与えている。DROWNに関するWebサイトは、サイトの33%程(トップ100万ドメイン中の25%を含む)が影響を受けるだろうと述べている。
     The Next Webによると、記述の時点で脆弱性のあるサイトは、Yahoo, BuzzFeed, Flickr, SamsungのようなメジャーなWebサイトを含んでいる。
     SSLv2は、1990年代から利用可能であったし、数年に渡って脆弱性が存在していることは知られていた。そこで、殆どのサーバは現在別のプロトコルを使用している。しかしながら、SSLv2を可能にしている場合には、最先端のサーバーとクライアントに対しても脅威が存在することが、現在浮かび上がってきた。
     DROWN Webサイトは、近年の米国政府の政策による暗号化の弱体化を指摘している。これは、一年の内に、FREAK(【訳注】 古い暗号セットに含まれる強度の弱い暗号(RSA Export Suites)を攻撃して通信の内容を読み取る手法)とLogjam(【訳注】 Hellman鍵交換の脆弱性を使ったTLSプロトコルに対する攻撃)へと続く、三つのメジャーなインターネット セキュリティの脆弱性に帰結している。
     あなたのドメインもしくはIPアドレスに脆弱性があるか否か確認するために、DROWN Webサイトは、ツールをポストしている。
     脆弱性が発見されたなら、サーバの所有者に即座に攻撃を防止するアクションをとるように提案しなさい。
     「DROWNに対して防御するには、秘密鍵が、SSLv2接続を可能にしているサーバソフトウェアを如何なる場所でも使用されていないことを、サーバ オペレータは保証する必要がある。これは、webPサーバ, SMTPPサーバ, IMAPとPOPサーバ, SSL/TSLをサポートしている他のあらゆるソフトウェアを含む。」
     サイバー犯罪者が、最近の発表に先立って、この脆弱性を攻撃したと疑う根拠は存在していないが、詳細が公開された現在、これらに対する対策をとることは肝要である。

    Cerber身代金要求型マルウェアは、データを暗号化するだけでなく演説もする
    BleepingComputer : News>Security (2016/03/03)
     Cerberと名付けられた身代金要求型マルウェアが、ここ一週間程で浮上してきている。しかし、我々は本日まで、そのサンプルを入手することができていなかった。サンプルを発見し、この身代金要求型マルウェアが実行することを解析した@BiebsMalwareGuy@MeegulWorthに感謝する。感染すると、犠牲者のデータファイルは、AES暗号化を使用して暗号化され、このファイルを復元するために、1.24 Bitcoinもしくは~500 US$の身代金の支払いを要求される。残念ながら、現時点で、暗号化された犠牲者のファイルを無料で復号する方法は知られていない。
     現時点で、我々は、Cerber身代金要求型マルウェアが拡散している方法を認識していないが、SenseCyによると、終了した地下のロシア フォーラムに関するサービスとして提供されている。これは、おそらく新しいRansomware as a Service(RaaS、【訳注】 サービスとしてランサムウェアを販売することには利点があります。RaaSは、不正活動の出処である作成者が突き止められる可能性を軽減させます。ランサムウェアをサービスとして販売することによって、作成者には、発覚のリスクを増やさずにいくらかの利益を得るという旨味があるのです。Chimeraの場合コミッションは50%で、大した骨折りでない割に大きな報酬です(トレンドマイクロ・セキュリティブログより))であることを意味している。
     この身代金要求型マルウェアに感染した、あるいは、この感染に関して論議したい人々に、我々は、ここに専用のサポート トピック(CERBER Ransomware Support and Help Topic)を開設している

    Cerberの暗号化プロセス

     初回起動で、Cerberは、犠牲者が何処の国の者であるかを確認する。そのコンピュータが以下の国の何れかである場合には、Cerber自体を終了し、そのコンピュータを暗号化することはない。

     アルメニア、アゼルバイジャン、ベラルーシ、ジョージア、キルギスタン、カザフスタン、モルドバ、ロシア、トルクメニスタン、タジキスタン、ウクライナ、ウズベキスタン

     犠牲者が上述の国に該当しない場合、Cerberは、%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\ フォルダに、Cerber自身をインストールし、それ自体に任意のWindows実行ファイル名を設定する。例えば、我々が、この身代金要求型マルウェアの解析を実行したとき、このマルウェアは自分自身をautochk.exeと名付けた。次に、このマルウェアは、以下のコマンドを使用して、次のブートの時、自動的に[ セーフモードとネットワーク]でブートするようにWindowsを設定する。

    C:\Windows\System32\bcdedit.exe" /set {current} safeboot network

     Cerberは、あなたがWindowsにログインした時、自動的に実行するように、それ自体を設定し、あなたのコンピュータがアイドル状態になった時、スクリーンセーバとして実行するように、それ自体を設定する、そして、一分毎に、それ自体を実行するためのタスクを設定する。このフェーズにおいて、Cerberが実行されると、インチキのシステム警告を表示し、再起動プロセスを開始する。この再起動が許可されるまで、インチキのシステム警告を表示し続ける。あなたが表示されるかもしれない例は、以下を含む。


    シャットダウン警告 1


    シャットダウン警告 2

     ある不明な理由から、このコンピュータは、次に、[セーフモードとネットワーク]で再起動し、あなたがログインすると、再び自動的にシャットダウンし、通常モードに戻って再起動する。コンピュータが通常モードで再起動すると、この身代金要求型マルウェアは実行され、犠牲者のコンピュータを暗号化するプロセスを開始する。
     この身代金要求型マルウェアに関するHasherazadeの解析に感謝する。この解析は、Cerberが実行される時、その設定にJSON設定ファイルを使用していることを発見した。この設定ファイルは、暗号化するための拡張子は何か、暗号化されてはならない国か、暗号化しないファイルやフォルダは何か、そして、様々な他の設定情報を詳らかにしている。
     あなたのデータを暗号化しているとき、Cerberは、特定のファイル拡張子に一致するあらゆるファイルに関して犠牲者のドライブレターをスキャンする。一致するデータファイルが発見されると、Cerberは、AES-256暗号化を使用して、そのファイルを暗号化し、ファイル名を暗号化し、それに .CERBER 拡張子を追加する。例えば、暗号化されていないファイル名が test.doc であった場合、暗号化されると Zu0ITC4HoQ.cerber にリネームされる。現在ターゲットになっているファイル拡張子は以下である。

    .contact, .dbx, .doc, .docx, .jnt, .jpg, .mapimail, .msg, .oab, .ods, .pdf, .pps,
    .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip,
    .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi,
    .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv,
    .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid,
    .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe,
    .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb, .3dm, .aac,
    .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw,
    .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm,
    .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .pspimage, .r3d, .rw2, .sldm, .sldx, .svg,
    .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp,
    .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design,
    .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh,
    .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4,
    .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit,
    .edb, .flvv, .gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf,
    .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm,
    .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde,
    .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back,
    .backup, .backupdb, .bank, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5,
    .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs,
    .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf,
    .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibank, .ibd, .ibz, .iiq, .incpas, .jpe,
    .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .moneywell, .mrw,
    .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb,
    .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem,
    .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf,
    .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb,
    .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex,
    .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv

     暗号化するためのファイルを検索している時、Cerberは、bootsect.bak, iconcache.db, thumbs.db, もしくはwallet.datと名付けられたファイル、もしくは、フルパスが以下の文字列を含むファイルをスキップする。

    :\$recycle.bin\
    :\$windows.~bt\
    :\boot\
    :\drivers\
    :\program files\
    :\program files (x86)\
    :\programdata\
    :\users\all users\
    :\windows\
    \appdata\local\
    \appdata\locallow\
    \appdata\roaming\
    \public\music\sample music\
    \public\pictures\sample pictures\
    \public\videos\sample videos\
    \tor browser\

     更に、CerberはマップされていないWindows共有をスキャンし、列挙し、それらの上に発見されたあらゆるデータを暗号化する能力を含んでいる。このネットワークが、設定ファイルで 1 に設定されていると、Cerberは、あなたのネットワーク上でアクセス可能なあらゆるネットワーク共有(たとえそれが、そのコンピュータにマップされていない場合でさえ)をスキャンし暗号化するだろう。


    ネットワーク設定

     この時点で、この機能は設定ファイル中でOFFにされているが、この機能が新しい身代金要求型マルウェアで一般的になり始めているので、全てのシステム管理者が、彼らのネットワーク共有のセキュリティを強固にすることが重要である。
     大事なことを言い忘れていたが、Cerberは、デスクトップ並びに暗号化された全てのフォルダに3つの脅迫文を作成する。これらのファイルは、# DECRYPT MY FILES #.html, # DECRYPT MY FILES #.txt, # DECRYPT MY FILES #.vbs と名付けられている。これらの脅迫文は、あなたのデータに何が発生したかの説明を含むと共に、あなたが身代金の支払いを実行し、復号プログラムを取得すためのTor復号サービスへのリンクを含んでいる。


    Cerberの脅迫文

     各脅迫文の末尾にはラテン語の引用を含んでいる。 .Quod me non necat me fortiorem facit - Cerberの脅迫文から

     英語では、これは、"That which does not kill me makes me stronger"(どのような苦境であっても死なない限り、その苦境により私は強くなる - ニーチェ)と翻訳される。

    Cerberは、犠牲者をもっと動揺させるために、演説してくる

     Cerberが作成した脅迫文は、他と比べて多少「特別」である。# DECRYPT MY FILES #.vbs ファイルはVBScriptを含んでおり、犠牲者のコンピュータに演説を発生させる。


    VBS スクリプト

     上のスクリプトが実行されると、あなたのコンピュータは、あなたのコンピュータのファイルが暗号化されたと述べるメッセージを話す。これは何度も繰り返されるだろう。このメッセージは、以下で聞くことができる(【訳注】 リンクは省略します)。

    Cerberの復号プログラム

     脅迫文には、decrypttozxybarc.onion Torサイトへのリンクが存在している。これは支払いと復号サービスとして挙動する。このサイトは、Cerber Decryptorと名付けられており、12の異なる言語でアクセス可能である。


    言語選択画面

     あなたが言語を選択すると、キャプチャの入力を促され、最終的に、Cerber Decryptorのページに出迎えられることになる。このページは、身代金の支払い方法、身代金額、7日以内に支払わない場合は、身代金は2倍になるとする情報を提供している。


    Cerber復号プログラムのページ Part 1


    Cerber復号プログラムのページ Part 2

     Cerber復号プログラムのページの完全画像は、こちらに見出すことができる。
     犠牲者がリストされているBitcoinアドレスに対して支払いを実行すると、その犠牲者の支払いは、この復号ページのPayment History(支払い履歴)セクションに表示される。指定の量のBitcoinの転送が確認されると、このページは、犠牲者固有の復号プログラムへのダウンロード リンクを提供してくる。  既に述べたように、残念ながら、暗号化されたファイルを無料で復号する方法は存在しない。あなたが、この身代金要求型マルウェアの犠牲者であるのなら、あなたの最善のオプションは、あなたのファイルをバックアップから復号することである。この身代金要求型マルウェアに感染した人々、もしくは、 この感染に関して議論したい人々のために、我々は専用のトピック(CERBER Ransomware Support and Help Topic)をこちらに作成している。

    Cerber身代金要求型マルウェア関連ファイル

    "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"

    Cerber身代金要求型マルウェア関連レジストリ エントリ

    HKCU\Control Panel\Desktop\SCRNSAVE.EXE     "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
    HKCU\Software\Microsoft\Command Processor\AutoRun     "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run     "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random]     "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\[random]     "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"

    デタラメなESETアンチウィルス アップデートは、全Webがブラウズするにはあまりに危険であると伝えている
    The Register : Security (2016/02/29)
    ESETアンチウィルス(【訳注】 NOD32)を信頼しているWebサーファーは、月曜日の朝にリリースされた効を奏しないアンチウィルス アップデートを行った後、Webサーフィンすることが困難になっている。
     このアップデートは、それを適用した人々を、殆どのインターネット(ESET独自のサイトを含む)をブラウズすることをできなくしている。
     Amazon、MSN等のようなサイトは、敵対的なJavaScriptコードで汚染されているとするラベルを誤って貼られている。
     ESETは、Twitterフィードとフォーラムで問題を確認している。
     「我々は、最新のシグネチャでの問題を特定した、これが解決されるまで、我々はウィルス シグネチャを以前のものに戻すことを推奨する」と、ESETはTwitterアップデートで発言し、続けて「元に戻すガイドは、商用ユーザに関しては、http://support.eset.com/kb3008/、ホームユーザに関しては、http://support.eset.com/kb3351」と述べている。
     およそ30分後、このスロバキアを本拠とする企業は、英国の顧客に、この問題は、問題の最上位に置かれていると告げている。

    ウィルス シグネチャがアップデートされたことを告げるESETのTwitter

     ESETのスポークスマンがThe Registerに告げたところによると、「ESETは、幾つかのWebサイト、もしくは、それらのコンポーネントへのアクセスを不正にブロックするウィルス データベース アップデートをリリースした。我々は、この問題を直ちに学習し、このアップデートは撤回された。そして、およそ2時間後、この問題を修正した新しいアップデートを配備した。この問題はユーザのデータに影響を与えることはないし、ユーザは、問題のあった期間、完全に保護されている。」
     彼は更に、「しかしながら、我々は、この問題を発生させ、ユーザに不便をかけたと言う事実に関して謝罪する」と、追加している
     この問題に関する詳細な情報はESETのWebサイトで見つけることができる。
     このヘマはサンフランシスコでのRSAカンファレンスの前夜に発生した。これは、多くの上級セキュリティ担当者が、移動中であったことから取り分け悪いタイミングだった。
     誤検出は、アンチウィルス パッケージのアキレス腱として知られている、そして、全てのベンダが時々、この誤検出で悩まされる。けれども、品質保証プロセスは年々改善されているものの、誤りは依然として発生している。増加しつづける同定するために必要とされるマルウェアセキュリティパッケージの量は、セキュリティ アップデートが頻繁に実行する必要があることを意味している。これもその一つである。

    ハッカーはワイアレス キーボードやマウスの脆弱性を介してコンピュータをハイジャックできる
    GrahamCluley : News (2016/02/24)
     微々たる金額で、攻撃者は、沢山のワイアレス マウスとキーボード中に発見された脆弱性を悪用することによって、彼らがコンピュータの制御を奪うことを可能にするデバイスを構築することができる。
       Bastille Networksの技師Marc Newlinは、最近彼の研究に関する論文を公開した、名付けて"MouseJack"(マウスジャック)。

       「MouseJackは、非Bluetooth型ワイアレス マウスとキーボードに影響を与えるセキュリティ脆弱性のコレクションである。7つのベンダの全てで、これらの脆弱性は、攻撃者が、15$のUSBドングルを使用して、100メートル離れていても犠牲者のコンピュータに任意のコマンドをタイプすることを可能にしていた。」

     このMouseJackは、幾つかのベンダが彼らの非Bluetoothワイアレス マウスとキーボードに設定していた方法中のフローを指摘している。これは、そのデバイスに送信される無線周波数パケットをリッスンしているコンピュータに接続されたUSBドングルとの通信である。これらのデバイスは、埋め込まれているnRF24Lトランシーバを介して通信する。この埋め込まれているnRF24Lトランシーバは、Nordic Semiconductorによって作成されたが、付与されている実際の機能は各ベンダによって変更することができる。
     殆どのベンダは、ワイアレス マウスとキーボードから、このドングルに伝達されるデータを暗号化する対策を講じているので、このコミュニケーション チャンネルを盗聴することを妨げる支援となっていると、あなたは思っているだろう。
     しかし、無線周波数パケットに関する業界標準は存在していないので、企業の一部は、事前に対策を施していない。

       「テストされたマウスのうち、ワイアレス コミュニケーションを暗号化していたものは一つもなかった。これは、認証メカニズムが存在していないことを意味している、そして、マウスによって伝達されたパケットと、攻撃者によって伝達されたパケットを識別することはできない。結果として、攻撃者はマウスであることを装うことができ、彼ら独自の動作/クリック パケットをドングルに伝達することができる。」

     これは厳密にこの研究の結果である。
     Crazyradio PA USBドングルに影響を与える実装されたツールを使用して、Newlinは、攻撃者が犠牲者のドングルにインチキのキーボードを強制的に組み合わせることができ、犠牲者のコンピュータに一連のコマンドを搬送するキープレス パケットを送信できるることを実証した。これらのコマンドは、攻撃者が、悪意あるWebサイトからルートキットやウィルスをインストールし、「恰も、それらがコンピュータのキーボードでタイプされたかのように」影響を受けたコンピュータにファイルを送信することを可能にする。
     このようなドングルは、Amazonで60$で購入できる、そして、この技師が彼の研究を公開して以来、価格は上昇している。
     こちらにMouseJackのビデオがある。
     15行のコードで、Newlinと彼の仲間の研究者達は、彼らがコンピュータをセキュリティ侵害できることを発見した(100フィート(30.48m)以上離れた場所からの攻撃を含む)。
     この研究者は、来週のRSAカンファレンスでMouseJack攻撃を実行するために構築したツールの一つをプレゼンテーションするつもりである。
     とりあえず、ここに、影響を受ける製品の完全なリストがある。
     これらの脆弱性は、大変長い間公開されてこなかったが、幾つかの製品が、これらの脆弱性を解決するためにスワップアウトされる必要があることが既に明らかにされている。

       「そこにはキーボード、マウス、ドングルによって使用される二つの基本的タイプのnRF24Lチップがある。二つの基本的他イプとは、ワンタイムプログラマブル(【訳注】 コンピュータシステムで使用されるROMの一種で、通常時はデータを読み出すだけで書き込む事ができないが、特定の手順で書き込みが可能なもののこと。およびその特徴を持ったROMの総称(Wikipediaより))と、フラッシュメモリである。ワンタイムプログラマブル デバイスは、工場から出荷されるとアップデートすることができないが、フラッシュメモリはアップデート可能である」

     あなたがアップデートできる影響を受ける製品を持っているのであれば、利用可能になったなら直ちにパッチを適用しなさい。その他の影響を受ける全てのユーザに関しては、これらのワイアレス製品をコンピュータから外し、有線接続(より安全なコンピュータ部品)に戻しなさい。少なくとも差し当たりは。

    Comodoのセキュリティ キットは、コッソリ不完全なVNCサーバをインストールしていた
    The Register : Security (2016/02/18)
     GoogleのProject Zeroは、Comodoのインターネット セキュリティ ソフトウェア中に、もう一つのヘマ(Defaultで、推測可能なパスワードでVNCサーバ(【訳注】 Virtual Network Computing: リモートデスクトップ接続)を有効にしていた)を発見した。
     今月初め、グーグラー(【訳注】 フルタイムのGoogle従業員、もしくは、Googleに頻繁にアクセスし使いこなす人(Wiktionaryより))Tavis Ormandyは、Chromodoと名付けられているComodoのWebブラウザが、酷いセキュリティ設定のために、レースのコンドームと同程度に危険であると指摘した。そして今、Ormandyはハッカーにとって理想的なリモートデスクトップを含んだComodoのソフトウェアを発見した。
     Comodo アンチウィルス、Comodo ファイアーウォール、Comodo インターネットセキュリティをWindows PCにインストールすると、あなたは、GeekBuddyと呼ばれるプログラムを得ることになる。これは、Comodoの従業員が、利用者のPCのリモート テクニカル サポートを実行することを可能にするものである(対価と引きかえに)。
     GeekBuddyは、管理者レベルの特権を持つVNCサーバをインストールし、Defaultで有効にし、ローカルネットワークを開くことによって、これを可能にする。このサーバは全くパスワード保護されていないので、誰でもシステムに接続し、勝手に使用することができる。これは、パスワード保護を有効にすることによって修正されたが、Ormandyは、このパスワードが推測可能なものであることを発見した。
     あなたが、Comodoのソフトウェアを実行しているのであれば、あなたのPC上のマルウェア、あなたのネットワーク上の悪漢共、もしくは、おそらくインターネット上の誰もが、あなたのPCの制御を取得できる可能性がある。
     ログインした通常ユーザなら誰でも、あるいは、システム上で実行中のソフトウェアは、WindowsレジストリからVNCパスワードを掴むことができ、そのサーバに接続することによって、より高い特権を掴むことができる。このパスワードは、比較的短く、単純で、予測可能なものなので、リモートから接続している人々によって推測可能である。基本的に、PCは、このセキュリティ パッケージによってバックドアを開けられている。
     「これは、明らかに、そして、バカバカしいローカル特権の昇格である。そして、これは、Comodoがパスワードをブランクのままにしておく代わりに、パスワードを生成することによって解決したと信じていたことを意味している」と、Ormandy(Googleの情報セキュリティ エンジニア)は報告している。
     「これは、パスワードが、SHA1(Disk.Caption+Disk.Signature+Disk.SerialNumber+Disk.TotalTracks)の単純な最初の8文字である場合とは限らない。これは、Comodoが問題を解決したとする攻撃を明らかに妨げていないので、私は、Comodoが、パスワードの生成方法を、誰もわざわざチェックすることはないだろうと、考えたのではないかと思っている。」 


    このVNCサーバを使用して、calc.exeを開いたところ。画像をクリックすると拡大します。

    Ormandyは、1月19日にComodoにこのセキュリティ設計のフローを通知した。本日(木曜日)、Comodoは、子の脆弱性は、GeekBuddyのバージョン4.25.380415.167で解決されたとGoogleのスタッフに告げている。このバージョンは、02月10日にリリースされた。我々は、90%のユーザが、今までに自動的にインストールされたと告げられている。

    無料は代償を伴う: アドウェアはあなたのデバイスを乗っ取ることができる
    Bitdefender : HotforSecurity (2016/02/19)
     無料の物を好まない者がいるだろうか? 金銭を支払うことなくソフトウェアを取得することは素晴らしいことである。事実、フリーソフトと呼ばれるものの中には商用ではコストがかかり、個人利用では無料のものがあるが、ユーザがコンピュータからそのようなプログラムを削除しようとすると、このユーザは貴重な時間とエネルギーを費やすことが必要なものがある。
     例えば、最近の報道は、アドウェア アプリケーション Mintcast 3.0.1とShell&Servicesを削除すべきとユーザに警告している。この二つのアドウェアは、不必要なポップアップ広告を表示するだけでなく、Firefoxのセーフ ブラウジングをOFFに切り替える。もちろん、これは、あなたのマシンを、あらゆる種類のオンライン上の脅威に対して開く。セキュリティの仲間の間でPUPsと呼ばれているようなアプリケーションは、通常フリーウェア パッケージに添付されてやってくる。そして、ユーザは、コンピュータにインストールされていることに、大抵の場合、何の考えも持っていない。

    鬱陶しいポップアップから危険なスパイ プログラムに
     「アドウェア」は、広告をサポートしている全てのソフトウェアを総称するために使用される専門用語である。けれども、ソフトウェアの専門家にとって、アドウェアは、認識の如何に拘らず不必要は広告を表示するためにコンピュータにインストールされるマルウェアの種類であり、大きな悩みと苛立ちとなるものである。
     アドウェアからの特に汚らわしいものは、スパイウェアと呼ばれる。これは、基本的に、そのコンピュータ ユーザの行動をスパイし、そのソフトウェアの作者やサードパーティが、ユーザの個人情報データにアクセスすることを可能にするものである。

    誰もが悪意あるアドウェアの犠牲者になる可能性がある
     全世界のITマネージャと最高情報責任者とのインタビューを基にしたMicrosoftとIDCからの2013年のレポート(PDF)によると、回答者の22%は、ポップアップ広告を蔓延らせることをシステムに発生させるソフトウェアをインストールしたと発言している。
     小さな中国企業で作られた捨て値のAndroidデバイスは、不可能ではないが、削除することが極端なまでに困難なアドウェアをプレインストールしている。
     殆ど知られていない企業からの低コストのタブレット上に発見される可能性のある殆ど知られていないマルウェアの一部は、多分、Cloudsota(デバイス上にアドウェアと他のタイプのマルウェアをインストールし、ユーザがインストールしているアンチウィルス ソフトを削除するトロイ)である。際限なくポップアップ広告を表示するタブレットは、Amazonのようなオンラインストアで販売中である。そして、何万ものものは、既にパッチされていると、ibtimes.co.ukは伝えている。

    強力なセキュリティ アプリケーションでデバイスを保護する
     最新のシステムアップデートを取得し、ファイアーウォールを使用することは、間違いなく汚らわしいアドウェアをブロックする支援となる。ITセキュリティ プロバイダ産業のリーディングカンパニーであるBitdefenderは、その製品中に強力なアンチ-アドウェア ツールを搭載している。このアンチウィルス アプリケーションは、潜在的に不要なアプリケーションを検出する。Bitdefenderはまた、WindowsMac用に無料のアドウェア 削除ツールも提供している。

    .locky拡張子は、何を意味しているのか? それは、あなたが身代金要求型マルウェアによって攻撃されたことを意味している
    Graham Clueley : News (2016/02/18)
    【訳注】 二つ下の、「Locky身代金要求型マルウェアは、ローカルファイルと、マップされていないネットワーク共有を暗号化する」の続報になります。

     Dridexボットネット アフィリエイトへの明白なリンクを搭載している身代金要求型マルウェアが、少なくとも45万コンピュータ ユーザに感染しようとしていたことが発見された。
     Palo Alto Networksのセキュリティ研究者Brandon Levene, Micah Yates, Rob Downsは、火曜日に公開したブログへの投稿で、「Locky」とニックネームされた、この身代金要求型マルウェアに関する幾つかの背後関係を提供している。

     「Palo Alto Networks AutoFocusを使用して、Unit 42(【訳注】 Palo Alto Networksの脅威研究チーム)は、Bartallexマクロ ダウンローダを含む40万以上の個別のセッションを観察した。そして、これは犠牲者のマシンにLocky身代金要求型マルウェアを投下する。研究者達は、拡散スタイルが類似であること、ファイル名を完全に書き換えること、Lockyの初期出現に起きていた特定の攻撃的なアフィリエイトからのキャンペーンの欠乏を理由としてDridexボットネット アフィリエイト220とLockyの間に関連があると疑っている。」

     一般的に遭遇するバンキング トロイであるDridexは、少なくとも昨年10月に部分的に取り除かれたと考えられていた。しかしながら、研究者達は、今年初め、このマルウェアが幾つかのイギリスの銀行をターゲットにしていることを観察していた

     現在、このDridexボットネット アフィリエイトを操作している人々は、身代金要求型マルウェアが、通常のトロイより儲かるペイロードであると決定したように見える。
     Locky感染プロセスは、悪意あるMicrosoft Wordドキュメント添付ファイルを同梱するインチキの金融スパムメールで開始される。以下がDynamoのブログで公開されているものである。

    From: June Rojas < RojasJune95@myfairpoint.net>
    Date: 16 February 2016 at 09:34
    Subject: ATTN: Invoice J-06593788

    Dear nhardy,

    Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice.

    Let us know if you have any questions.

    We greatly appreciate your business!

    June Rojas
    Apache Corporation
    www[dot]apachecorp[dot]com

    ユーザが、この添付ファイルを開き、マクロを有効にすると、埋め込まれているコードが、そのマシン上で、このマルウェアを実行する。
     暗号化プロセスを停止する機会があることが注目される。ランダムな暗号化キーをローカルに生成する他の身代金要求型マルウェアと異なり、Lockyは、そのコマンド&コントロールサーバ(C&C)インフラストラクチャを介してメモリ中でキー変換を実行する。したがって、ユーザがC&Cとの通信を(Webとの接続を切断することのような方法で)中断させたなら、その場で暗号化プロセスを停止させることができる。
     しかしながら、この通信の継続が妨害されなかった場合、身代金要求画面が、そのコンピュータ上に表示され、ユーザを身代金支払いのポータル ページにリダイレクトする。

     現時点で、この身代金要求型マルウェアは、接続されているネットワークドライブ上のファイルを含む(【訳注】 二つ下で和訳済み)全てのドキュメントを、hash.locky(【訳注】 ハッシュ値.locky、ハッシュの部分は、[一意のID][同定子]になります)として暗号化し、全てのVSS(【訳注】 Microsoft Visual SourceSafe: マイクロソフトのバージョン管理システム(MSDNより))スナップショットを削除する。
     Palo Alto Networksによって観察された446000の個別の感染の殆どは、米国において発生していた。
     感染率50%、0.5 Bitcoinでの支払率を1%と仮定すると、この攻撃者が、この身代金要求型マルウェアを介して数十万ドルの純益をあげることが想定できる。

     Palo Alto Networksの研究チームは、Locky身代金要求型マルウェアの開発者が遠大な抱負を持っていると確信している。

     「Lockyは、他のビッグネームの身代金要求型マルウェア ファミリーのランクに仲間入りすることに狙いを定めて一生懸命努力している。その現在の実装において幾つかの弱点があるにも拘らず、我々は、将来、この脅威に関する更なる開発を確認することになるだろうと思っている。最終的に、一つの攻撃グループによる成功体験は、他の人を励まし触発する。サイバー犯罪者に敵対する者が、暗号化に基づく強要を介して犠牲者に対して既に利益をあげている強要を共有化するための努力を進め続けることは言わずもがなである。」

     このことを考慮すると、ユーザがデータを頻繁にバックアップすること、e-Mailに添付されたWordドキュメントのマクロを有効にしないこと、および、彼らのコンピュータ上で実行しているソフトウェアに可能な限り早急にパッチを充てることが重要である。
     Lockyと他の形式の身代金要求型マルウェアに対する保護に関する詳細なアドバイスは、Sophos Naked Securityのレポートを読みなさい。

    Instagram: アカウント ハッキングと戦うために二段階認証を追加
    Bitdefender : HOTforSecurity (2016/02/17)
     今迄、Instagramは、ワンステップ認証(古典的なユーザ名とパスワード ログイン アルゴリズム)だけを使用していた。ユーザは今、二段階認証をアクティベートすることができ、一時的なログイン コードでSMSを経験することができる。
     この決定は昨年、複数のアカウント(Taylor SwiftやKris Jennerのような有名人を含む)が、ハックされた後に行われた。
     最近、Instagramは、ユーザがログアウトすること無にアカウント間の切り替えを可能にしている(顧客が求めていた、もう一つの機能)。
     二段階認証は、ログインした後、デバイスに送信するためのコードを入力することによって同一性を確認することをユーザに要求する。多くの銀行サービスのように、たとえ、ユーザのパスワードが盗まれたりクラックされたりした場合でさえ、アクセス強度を二倍にし、人々のアカウントに侵入してデータ盗難のリスクを軽減する方法である。以下に、Google, Facebook, Twitter, Dropbox, Yahoo, PayPal, Appleに関する二要素認証を有効にすることを手助けする簡単なガイドがある。

    Locky身代金要求型マルウェアは、ローカルファイルと、マップされていないネットワーク共有を暗号化する
    BleepingComputer : News>Security (2016/02/16)
     新しい身代金要求型マルウェアが発見されLockyと名付けられた。この身代金要求型マルウェアは、AES暗号化を使用して、データを暗号化し、ファイルを復号するために 0.5 Bitcoinを要求する。この身代金要求型マルウェアは、私の息子によって名付けられたかのように見えるが、これに関して子供っぽいところは何一つない。Lockyは多大な数の拡張子をターゲットにしている。さらに重要なことは、マップされていないネットワーク共有上のデータを暗号化することにある。マップされていないネットワーク共有上のデータを暗号化することは、コードに関しては重要なことではないが、我々は最近、DMA Lockerにこの機能を確認し、今、Lockyで確認することになったので、この機能が標準になってきたと言ってもいいだろう。CryptoWallのように、Lockyは、正しいデータに復号することをより困難にするために、暗号化されたファイルのファイル名を完全に変更する。
     現時点で、Lockyによって暗号化されたファイルを復号する方法は知られていない。

    Lockyはインチキの請求書を介してインストールされる

     Lockyは現在、悪意あるマクロが付属するWordドキュメント添付ファイルを含むe-Mailを介して拡散している。このe-Mailメッセージは、ATTN: Invoice J-98223146 のような件名と、"Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice"(添付の請求書(Microsoft Word文書)を確認し、請求書の末尾にリストされている条件に応じて、お支払いください)のような本文を含んでいる。これらe-Mailの一例を以下に示す。


    Locky拡散用e-Mail

     これらe-Mailメッセージの添付ファイルは、invoice_J-17105013.doc に類似した名前を含む悪意あるWordドキュメントである。このドキュメントが開かれると、テキストはスクランブルされ、Enable the macros if the text is unreadable(このテキストが読めない場合には、マクロを有効にしてください)で始まるメッセージを表示する。


    悪意あるWordドキュメント

     犠牲者が、このマクロを有効にすると、このマクロは、リモートサーバから実行ファイルをダウンロードし、それを実行するだろう。


    悪意あるマクロ

     マクロによってダウンロードされたファイルは、%Temp% フォルダに格納され実行される。この実行ファイルが、Locky身代金要求型マルウェアであり、起動するとあなたのコンピュータ上のファイルの暗号化を始める。

    Lockyは、犠牲者のデータを暗号化し、ファイル名を完全に変更する

     Lockyが起動すると、このマルウェアは、犠牲者に16桁の16進数値(F67091F1D24A922B のような)を作成し割り当てる。Lockyは、データ ファイルを暗号化するために、全てのローカルドライブとマップされていないネットワーク共有をスキャンする。ファイルを暗号化するとき、Lockyは、AES暗号化アルゴリズムを使用し、以下の拡張子に一致したファイルを暗号化する。

      .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla,
      .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2,
      .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif,
      .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar,
      .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf,
      .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3,
      .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam,
      .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std,
      .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm,
      .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp,
      .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf,
      .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

     さらに、Lockyは以下の文字列の一つを含む完全なパス名とファイル名のあらゆるファイルをスキップする。

      tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp,
      thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

     Lockyがファイルを暗号化すると、そのファイルを[unique_id][identifier].locky([一意のID][同定子].locky) の形式にリネームする。そこで、test.jpgが暗号化されると、F67091F1D24A922B1A7FC27E19A9D9BC.lockyのようなファイル名にリネームされるだろう。この一意のIDと他の情報は、暗号化されたファイルの末尾に埋め込まれる。
     それらがローカルドライブにマップされていない場合でさえ、ネットワーク共有上のファイルをLockyが暗号化することを強調しておくことは重要である。予期されていたように、これは徐々に一般的になってきている、そこで、全てのシステム管理者は、全ての開いているネットワーク共有を可能な限り厳しいパーミッションに厳重管理しなければならない。
     暗号化プロセスの一部として、Lockyは、そのマシン上の全てのShadow Volume Copiesを削除するので、Shadow Volume Copiesを使用して犠牲者のファイルを復元することはできない。Lockyは、以下のコマンドを実行することでShadow Volume Copiesを削除する。

      vssadmin.exe Delete Shadows /All /Quiet

     Windowsデスクトップとファイルが暗号化された各フォルダに、Lockyは、_Locky_recover_instructions.txt と呼ばれる脅迫文を作成する。この脅迫文は、犠牲者のファイルに何が発生しているのかということに関する情報と、復号ページへのリンクを含んでいる。


    Lockyの脅迫文

     LockyはWindows壁紙を %UserpProfile%\Desktop\_Locky_recover_instructions.bmp に変更する。そして、この脅迫文は、文字による脅迫文と同じ指示を含んでいる。


    Lockyの壁紙

     大事なことを言い忘れていたが、Lockyは、様々な情報をレジストリの以下のキーの下に格納する。

      ・ HKCU\Software\Locky\id - 犠牲者に割り当てられた一意のID
      ・ HKCU\Software\Locky\pubkey - RSA公開鍵
      ・ HKCU\Software\Locky\paytext - 脅迫文に取り出して使用するためのテキスト
      ・ HKCU\Software\Locky\completed - この身代金要求型マルウェアが、コンピュータ.r の暗号化を終了したか否か

      Locky復号ページ

       Locky脅迫文の内部には、Locky Decrypter Pageと呼ばれるTorサイトへのリンクがある。このページは、6dtxgqam4crv6rr6.onion に位置し、身代金として送信する大量のBitcoin、このBitcoinを購入するための方法、あなたが支払いを送信すべきBitcoinアドレスを含んでいる。犠牲者が割り当てられているBitcoinアドレスに身代金を送信すると、このページは、犠牲者のファイルを復号するための復号プログラムを提供するだろう。


      Lockyの復号ページ

      Locky関連ファイル

        %UserpProfile%\Desktop\_Locky_recover_instructions.bmp
        %UserpProfile%\Desktop\_Locky_recover_instructions.txt
        %Temp%\[random].exe

      Locky関連レジストリ エントリ

        HKCU\Software\Locky
        HKCU\Software\Locky\id
        HKCU\Software\Locky\pubkey
        HKCU\Software\Locky\paytext
        HKCU\Software\Locky\completed     1
        HKCU\Control Panel\Desktop\Wallpaper     "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"


      PadCrypt: ライブ サポート チャットとアンインストーラを搭載した最初の身代金要求型マルウェア
      BleepingComputer : News>Security (2016/02/14)
       新しい身代金要求型マルウェアが、@abusu.chによって発見されMalwareHunterTeamによって解析され、PadCryptと名付けられた。PadCryptは、犠牲者にライブ サポート チャットとアンインストーラを提供する最初の身代金要求型マルウェアである。CryptoWallは、彼らの支払いサイト上で顧客にサポートを提供した最初の身代金要求型マルウェアであったが、PadCryptのライブ チャットの使用は、犠牲者がマルウェア開発者とリアルタイムに双方向通信することを可能にするものである。このような機能は、犠牲者が「サポート」してもらい、支払いの紛らわしいプロセスをガイドしてもらうことになるので、支払い金額は増加する可能性がある。

      PadCrptはライブ サポート チャットを提供している

       PadCryptのリリースで、犠牲者に対するサポートは、マルウェア開発者がライブ チャットを提供するという新しいレベルに到達した。PadCrypt身代金要求型マルウェアのメイン画面中には、以下の画像で示したように、Live Chatと呼ばれるリンクが存在する。


      PadCrypt身代金要求型マルウェア画面

       犠牲者がLive Chatオプションをクリックすると、犠牲者が開発者にメッセージを送信することを可能にする別画面が開く。開発者が応答すると、彼らの対応が同じスクリーン中に表示される。


      PadCryptのライブ チャット機能

       この時点で、PadCrypt用のコマンド&コントロールサーバは、オフラインなので、この身代金要求型マルウェアは、あなたに身代金要求画面は表示した場合でさえ、実際には何も暗号化することはない。さらに、このライブ サポート チャットはC2サーバ(コマンド&コントロールサーバ)を要求するので、このライブチャット機能も同様に使い物にならない。

      PadCrptは感染を簡単に削除する

       この感染を削除したい人々のために、PadCryptはアンインストーラをダウンロードし、インストールすることによって簡単に削除することができる。我々は最近、犠牲者が自動起動を有効にしたり無効にしたりすることを可能にしている身代金要求型マルウェアを確認したが、アンインストール プログラムを提供している身代金要求型マルウェアに関しては、これが初めてである。PadCryptがインストールされると、アンインストーラは、%AppData%\PadCrypt\unistl.exe にダウンロードされインストールされる。このアンインストーラが実行されると、脅迫文とPadCrypt感染に関連するファイルは削除される。残念ながら、暗号化されたファイルは、暗号化されたままである。

      身代金要求型マルウェア開発者はCryptoWallが大好きである

       他の身代金要求型マルウェアの開発者が真似することを愛して止まないCryptoWallに関するものがある。これはまた、PadCryptでも発生している。実行ファイルは、その中でCryptoWallに対する大変多くの参照を持っている。例えば、PadCrypt実行ファイル用のPDB(【訳注】 プログラムデータベース)は以下である

        C:\Users\user\Documents\Visual Studio 2013\Projects\Cryptowall 2.0\Cryptowall\bin\Debug\Obfuscated\PadCrypt.pdb

      この身代金要求型マルウェアに関するC#プロジェクト中にもCryptoWallへの多くの参照がある。例えば、この身代金要求型マルウェアの名前空間の一つは、CryptoWallと呼ばれている。


      CryptoWall名前空間

      PadCrpt暗号化プロセス

       PadCryptはZipアーカイブへのリンクを含むスパムを介して拡散している。このZipアーカイブは、DPD_11394029384.pdf.scrのような名前が付けられており、いかにもPDFファイルであるかのうように見せかけている。けれども、このPDFファイルは、実際には、現在無効になっているコマンド&コントロールサーバからpackage.pdcrとunistl.pdcrのダウンロードが実行されると、 .src 拡張子にリネームされる実行ファイルである。既知のC2サーバ(annaflowersweb.com, subzone3.2fh.co, cloudnet.onlineを含む)が、この身代金要求型マルウェアによって使用されていた。このpackage.pdcrは、PadCrypt実行ファイルであり、uninstl.pdcrはアンインストーラである。この二つのファイルは共に、%AppData%\PadCrypt フォルダに格納される。
       PadCryptがファイルを暗号化する時、これは、拡張子に拘らず、ターゲット フォルダ中のあらゆるデータファイルを暗号化する。犠牲者のファイルを暗号化する時、PadCryptは以下のフォルダをスキャンし暗号化することにから始める。

        C:\Users\[login_name]\Downloads, C:\Users\[login_name]\Documents, C:\Users\[login_name]\Pictures, C:\Users\[login_name]\

       これらのフォルダの暗号化を終了すると、PadCryptは、C:ドライブをスキャンし、以下のフォルダ中に配置されていない、もしくは、ProgramData, PerfLogs, Config.Msi, $Recyle.Bin を含まない全てのファイルを暗号化する。

        C:\Users, C:\NVIDIA, C:\Intel, C:\Documents and Settings, C:\Windows, C:\Program Files, C:\Program Files (x86), C:\System Volume Information, C:\Recycler

       最後に、PadCryptは全てのローカルドライブを列挙し、検出された全てのファイルを暗号化する。
       暗号化プロセスの間、PadCryptは、以下のコマンドを実行することによってShadow Volume Copiesを削除する。

        vssadmin delete shadows /for=z: /all /quiet

       データの暗号化を終了すると、このマルウェアは、デスクトップに IMPORTANT READ ME.txt を作成する。このファイルには、以下に示すように、身代金の指示が含まれている。


      IMPORTANT READ ME.txt

      最終的に、脅迫画面は以下のように表示されるだろう。


      PadCrypt脅迫画面

       この脅迫画面は、0.8 Bitcoin、もしくは、PaySafeCardかUkashで ~$350の支払いを実行する方法に関する指示を示している。この指示は、支払いまでの猶予期間が96時間であり、それまでに、支払わない場合には、復号キーは破壊されると宣言している。
       この時点で、暗号化されたファイルを無料で復号する方法は知られていない。もしも我々が将来何らか分かったならば、必ず此処に投稿する。

      PadCrypt: 復号プログラムでは復古調になっている

       PadCryptは多くの驚き(カラフルで復古調な復号プログラムを含む)を同梱した身代金要求型マルウェアである。この復号プログラムが実行されると、これは %AppData%\PadCrypt\Files.txt から暗号化されたファイルのリストをインポートする。


      PadCrypt復号プログラム

       犠牲者がStartとタイプしEnterキーを押すと、この復号プログラムは、%AppData%\PadCrypt\data.txt 中に復号キーを捜す。それが検出されると、この files.txt ファイルにリストされている暗号化されたファイルは復号される。

      PadCrypt関連のファイル

        %Desktop%\IMPORTANT READ ME.txt
        %AppData%\PadCrypt\unistl.exe
        %AppData%\PadCrypt\decrypted_files.dat
        %AppData%\PadCrypt\File Decrypt Help.html
        %AppData%\PadCrypt\PadCrypt.exe
        %AppData%\PadCrypt\Files.txt

      PadCrypt関連のレジストリ エントリ

        HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run     "PadCrypt" = "%AppData%\PadCrypt\PadCrypt.exe"
        HKEY_CURRENT_USER\Control Panel\Desktop     "Wallpaper" = "%AppData%\PadCrypt\Wallpaper.bmp
        HKEY_CURRENT_USER\Control Panel\Desktop     "WallpaperStyle" = 1
        HKEY_CURRENT_USER\Control Panel\Desktop     "TileWallpaper" = 0


      新しいTeslaCryptの変種は、.MP3拡張子を使用している
      BleepingComputer : News>Security (2016/02/12)
       TeslaCrypt身代金要求型マルウェアの新しい変種が、幾つかのマイナーチェンジを含んでリリースされた。このバージョン番号は、3.0のままであるが、脅迫文はリネームされ、暗号化されたファイルのファイル拡張子は現在 .MP3 である。残念ながら、TeslaCryptの最新バージョンを復号する方法は未だに存在していない。
       この脅迫文のファイル名は現在、_H_e_l_p_RECOVER_INSTRUCTIONS+[3-characters].png, _H_e_l_p_RECOVER_INSTRUCTIONS+[3-characters].txt, _H_e_l_p_RECOVER_INSTRUCTIONS+[3-characters].HTML フォーマットになっている。それ以外は、過去を踏襲している。


      TeslaCryptの脅迫文(クリックすると拡大します)

       他の変更は、TeslaCryptが現在、.MP3拡張子でデータファイルを暗号化していることである。これは、オリジナルのファイル名が、test.jpgであるなら、このファイルが暗号化されると、test.jpg.mp3に変更されることを意味している。あなたは以下の画像中に暗号化されたファイルの例を見ることができる。


      MP3拡張子で暗号化されたファイル

       残念ながら現時点で、TeslaCryptのこの新しい変種を復号する方法は未だ存在していない。

      HydraCrypt, UmbreCrypt用の復号プログラムが利用可能になった
      EMSISOFT : Blog (2016/02/12)
      【訳注】 二つ下の「UmbreCrypt身代金要求型マルウェアは、ターミナル サービスを介して手動インストールされる」に関連した記事です。

       我々の研究チームは、今月初め、脆弱性攻撃キットを介して拡散している二つの新しいマルウェアファミリー(HydraCryptとUmbreCrypt)に気がついた。簡単な解析の後、この二つのファミリーは、昨年PastebBinにリークされたソースコードを持つCryptBoss身代金要求型マルウェアに密接に関連していることが判明した。HydraCryptとUmbreCryptは共に、暗号化スキームの実施詳細の一部(昨年、我々がCryptBossを復号することになったオリジナルのフローは、HydraCryptとUmbreCryptを復号することを可能にした)を変更している。
       残念なことに、HydraCryptとUmbreCryptの作者によって実行された変更は、そのファイルの末尾15バイトに回復不可能なダメージを与えるものであった。しかしながら、殆どのファイルフォーマットに関して、末尾に引きずっているバイト部分は重要ではない、もしくは、そのファイルを開き、保存することで、比較的簡単に修復できるものである。他のファイルフォーマットに関しては、専用の修復、復元ツールが利用可能であるかもしれない。
       あなたのシステム用の正しい復号キーを決定するために、この復号プログラムは、あなたに幾許かの支援を求めるだろう。あなたのシステム上で任意の暗号化されたファイルを、そのファイルの暗号化されていないオリジナルのバージョンを持っている場所で探しなさい。あなたが、この様なファイルのペアを見つけることができないのであれば、暗号化されたPNGファイルを探し、そして、インターネットから任意のPNGイメージを取得しなさい。暗号化されたファイルと暗号化されていないファイルを同時に選択し、この復号プログラムの実行ファイル上にドラッグドロップしなさい。紛らわしいようなら、以下のアニメーションを参照しなさい。


      暗号化されたファイルと暗号化されていないファイル、もしくは、暗号化されたPNGファイルと任意のPNGファイルを、この復号プログラムに一緒にドラッグドロップする

       この復号プログラムは、あなたが提供した二つのファイルに基づいて、あなたのシステム用の複合キーを決定することを試みる。このプロセスには時間がかかる。そして、あなたのCPUとシステムに依存して数日かかる可能性がある。
       復号キーが決定すると、以下のようなメッセージが表示される。


      復号プログラムが、あなたのシステム用の正しいキーを決定した後に表示されるメッセージ

       OKをクリックすると、この復号プログラムは通常のように起動する。あなたが、代わりにエラーメッセージを受け取った場合は、正しいファイルのペアをドラッグドロップしたことを確認しなさい。あなたが正しいファイルのペアをドラッグドロップしているのであれば、全く異なるマルウェア ファミリーによってターゲットにされたのか、この復号プログラムが未だサポートしていない新しい変種によってターゲットにされたかの何れかである。
       あなたがフォルダリストに追加した全てのフォルダは再帰的に復号される。これは、選択されたフォルダ中に存在するサブフォルダ中のファイルも同様に復号されることを意味している。
       あらゆる場合で、我々は最初に、幾つかのファイルでこの復号プログラムを実行するように、そして、多量のファイルを復号する前に、これ等のファイルが適切に復号されたことを手作業で確認するように指示している。これは、この復号プログラムが正しいキーを解析したことを確実にする。そこで、このマルウェアの作者が、この復号プログラムがサポートしていない、より最近の変種において暗号化アルゴリズムを変更していた場合でも、最終的に、あなたに多くの時間を節約することになるかもしれない。
       このマルウェアは、オリジナルファイルに関する如何なる情報も残していない。これは、この復号プログラムが、復号結果が正しいか否か確認できないことを意味している。この理由から、この復号プログラムは、念のために、あなたのシステム上の暗号化されたファイルを削除しない。これはまた、復号を開始する前に、あなたのディスクが十分な(フリーの)ディスクスペースを持っていることを確実にする必要があることを意味している。あなたが少量のディスクスペースや、空き領域を作成するための方法を持っていないのであれば、この復号プログラムは、復号した後、そのファイルの暗号化されたバージョンを削除するオプションも持っている。けれども、我々は、このオプションを誰かが使用することには、全く賛同しかねる。
       我々のHydraCryptとUmbreCrypt復号プログラムのダウンロードは、こちらから利用可能である。

      http://emsi.at/DecryptHydraCrypt

       あなたのシステムで復号を実行するにあたり支援を必要としたり、この復号プログラムが動作しなかったりした場合には、我々のテクニカルサポートに躊躇なく問い合わせなさい。

      SkypeユーザはAnglerサイバー犯罪を押し付ける悪意ある広告の標的にされている
      The Register : Security (2016/02/12)
       サイバー犯罪者は、Angler脆弱性攻撃キットの罠にSkypeユーザを振り向けるためにSkype上でブービートラップされた広告を稼働させていたのを見つけられた。
       この戦術(広汎な悪意ある広告キャンペーンの一部)は、最も一般的な攻撃ルートであるブラウザベースのアプリケーションさえ使用することなく、身代金要求型マルウェアや他の不快なものを押し付ける悪意ある広告にユーザが晒されていることを示している。
       F-Secureのセキュリティ研究者は、AppNexus広告プラットフォーム(adnxs.com)を介して発動される悪意ある広告キャンペーンを押し付けることを助けているSkypeの役割を露にした
       同じ悪意ある広告キャンペーンはまた、ショッピングサイト(ebay.it)、ゲーム フォーラム((wowhead.com, gsn.com, zam.com, wikia.com)、ニュースサイト(the Daily Mail)、msn.comのようなインターネット ポータルを含む様々なWebサイト上で毒性広告の主演をしていた。
       この攻撃の全ての要素は、最終的に、目標地点たるページ(このページはAngler脆弱性攻撃キットをホストしている)に、サーファーをリダイレクトするように設計されていた。このページはブラウザ脆弱性を攻撃し、Windows PCにTeslaCrypt身代金要求型マルウェアを押し付けようとする。
       Anglerは、悪漢共がターゲットのマシンにマルウェアを植え付けることを可能にするオールインワン ハッキング パッケージであり、これを実行するために、既知の、もしくは、0-Dayの脆弱性を攻撃する。このツールキットは、これを発見し破壊するための研究者の努力を挫折させることを目的として設計された様々な難読化やアンチ-サンドボックス トリックを介して検出されることを回避しようと試みている。
       この悪意ある宣伝キャンペーンは、F-Secureの研究者が、これを検出した直後に終了した。残念ながら、将来、同じような攻撃の可能性は高い。  David Bissonによれば、Skypeユーザに対する不定期的な悪意ある広告攻撃は、2014年前半から継続している。
       「この最新のキャンペーンは、広告を表示するプラットフォーム(それらがブラウザでなくとも)が、明らかに、悪意ある広告に対して免疫を持っていないことを証明している」と、Bissonは警告している

      UmbreCrypt身代金要求型マルウェアは、ターミナル サービスを介して手動インストールされる
      BleepingComputer : News>Security (2016/02/10)
       新しいCryptBoss身代金要求型マルウェアの変種がUmbreCryptと名付けられてリリースされた。この身代金要求型マルウェア ファミリーは、犠牲者のデータをAES暗号化を使用して暗号化し、その後、支払い指示を受けるために、このマルウェアの開発者にe-Mailするように要求する。現時点では、暗号化されたファイルを無料で復号する方法は存在していないが、EMsisoftのFabian Wosarが、彼のCryptBoss復号プログラムを、この変種でも機能するように修正すべく研究中である。
       UmbreCryptは、ハックされたターミナルやリモートデスクトップを介して手動でインストールされたと思っていると、私は多くの犠牲者によって告げられてきた。あなたが、この身代金要求型マルウェアに感染しているのであれば、あなたのWindowsイベント ログで、失敗したログインの企てをチェックし、セキュリティ侵害されたアカウントを決定するようにアドバイスする。

      アップデート 2016/02/10 午前11:25(米国東部時間): この身代金要求型マルウェアの今までの変種(HydraCryptのような)は、脆弱性攻撃キットを介して拡散していたことが明らかになった。この拡散方法が実際にハックされたターミナル サービスであるか否か100%確実ではない。意図していないクリックベイト(【訳注】 Webページの閲覧者にクリックする気にさせるリンクやバナー広告など)には謝罪する。確認のために、様々な犠牲者からの回答を待っている。

      UmbreCrypt暗号化プロセス

       インストールされると、UmbreCryptは、特定の拡張子に一致するデータファイルに関して、そのコンピュータ上のC, D, E, F, G, Hドライブをスキャンする。ターゲットにしている拡張子が発見されると、AES暗号化を使用して、そのファイルを暗号化し、暗号化されたファイルに umbrecrypt_ID_[victim_id] 拡張子を追加する。例えば、ファイルChrysanthemum.jpgは、Chrysanthemum.jpg.umbrecrypt_ID_abdag113 になるだろう。
       UmbreCryptがターゲットにしている拡張子は以下である。

        .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .unrec,
        .scan, .sum, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf,
        .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup,
        .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis,
        .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx,
        .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr,
        .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx,
        .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav,
        .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .wallet, .wotreplay, .xxx, .desc,
        .m3u, .flv, .js, .css, .rb, .png, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer,
        .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref,
        .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe,
        .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd,
        .dxg, .xf, .dwg, .pst, .accdb, .mdb, .ppt, .xlk, , .xls, .wps, .doc, .odb, .odc,
        .odm, .odp, .odt, .dx, .mrw, .nef, .tiff, .bd, .tar.gz, .mkv, .bmp, .dot, .xml,
        .pps, .dat, .ods, .qba, .qbw, .ini.$$$,
        .$db, .001, .002, .003, .113, .73b, .__a, .__b, .ab, .aba, .abbu, .abf, .abk,
        .acp, .acr, .adi, .aea,.afi, .arc, , .as4, .asd, .ashbak, .asv, .asvx, .ate,
        .ati, .bac, .backup, .backupdb, .bak2, .bak3, .bakx, .bak~, .bbb, .bbz, .bck,
        .bckp, .bcm, .bdb, .bff, .bif, .bifx, .bk1, .bkc, .bkup, .bkz, .blend1, .blend2,
        .bm3, .bmk, .bpa, .bpb, .bpm, .bpn, .bps, .bup, .caa, .cbk, .cbs, .cbu, .ck9,
        .cmf, .crds, .csd, .csm, .da0, .dash, .dbk, .dim, .diy, .dna, .dov, .dpb, .dsb,
        .fbc, .fbf, .fbk, .fbu, .fbw, .fh , .fhf, .flka, .flkb, .fpsx, .ftmb,
        .ful, .fwbackup, .fza, .fzb, .gb1, .gb2, .gbp, .ghs, .ibk, .icbu, .icf,
        .inprogress, .ipd, .iv2i, .jbk, .jdc, .kb2, .lcb, .llx, .mbf, .mbk, .mbw,
        .mdinfo, .mem, .mig, .mpb, .mv_, .nb7, .nba, .nbak, .nbd, .nbf, .nbi, .nbk,
        .nbs, .nbu, .nco, .nda, .nfb, .nfc, .npf, .nps, .nrbak, .nrs, .nwbak, .obk,
        .oeb, .old, .onepkg, .ori, .orig, .oyx, .paq, .pba, .pbb, .pbd, .pbf, .pbj,
        .pbx5script, .pbxscript, .pdb, .pqb, .pqb-backup, .prv, .psa, .ptb, .pvc,
        .pvhd, .qbb, .qbk, .qbm, .qbmb, .qbmd, .qbx, .qic, .qsf, .qualsoftcode,
        .quicken2015backup, .quickenbackup, .qv~, .rbc, .rbf, .rbk, .rbs, .rdb, .rgmb,
        .rmbak, .rrr, .sav, .sbb, .sbs, .sbu, .sdc, .sim, .skb, .sme, .sn1, .sn2, .sna,
        .sns, .spf, .spg, .spi, .sps, .sqb, .srr, .stg, .sv$,
        .tlg, .tmp, .tmr, .trn, .ttbk, .uci, .v2i, .vbk, .vbm, .vbox-pref, .vpcbackup, .vrb, .wbb, .wbcat,
        .wbk, .win, .wjf, .wpb, .wspak, .xbk, .xlk, .yrcbck, .~cw

      UmbreCryptはまた、彼らのパス中のディレクトリ名に含まれるファイルは暗号化しない、ディレクトリ名のホワイトリストを使用している。ホワイトリストされているフォルダは以下である。

        Windows, Program Files, PROGRAM FILES, Program Files (x86), PROGRAM FILES (x86), WINDOWS, ProgramData

       ファイルが暗号化された各フォルダに関しては、UmbreCryptは、README_DECRYPT_UMBRE_ID_[victim_id].txt と名付けられた脅迫文を作成する。
       このプログラムがデータの暗号化を終了すると、犠牲者のファイルに何が発生したかの情報を提供する脅迫画面を表示する。この情報は、身代金の支払い情報を受けとるために、この身代金要求型マルウェアの開発者にe-Mailを送信しなければならないことを犠牲者に告げる指示も含んでいる。


      UmbreCrypt脅迫画面

       これらの指示は、umbredecrypt@engineer.com もしくは umbrehelp@consultant.com に犠牲者の一意のIDを送信するように、そして、「スペシャリスト」が犠牲者に支払い方法に関する指示を返信するのを待つように、犠牲者に告げている。
       この時点で、無料でファイルを復元する方法は存在しないが、我々は常に、Shadow Volume Copiesからファイルを復元することを試すためにShadowExplorerのようなプログラムを試すようにユーザに提案している。復号プログラムがリリースされた場合には、我々は、それについて、必ずこのサイトに投稿する。

      UmbreCrypt関連ファイル

        %AppData%\ChromeSetings3264\
        %AppData%\ChromeSetings3264\default32643264.bmp
        %AppData%\ChromeSetings3264\default432643264.jpg
        %AppData%\ChromeSetings3264\[random].exe
        %UserProfile%\Desktop\README_DECRYPT_UMBRE_ID_[victim_id].jpg
        %UserProfile%\Desktop\README_DECRYPT_UMBRE_ID_[victim_id].txt

      UmbreCrypt関連レジストリ エントリ

        HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Internet Explorer Update     "[path_to_installer.exe]"
        HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ChromeSettingsStart3264     "%AppData%\ChromeSetings3264\wosybiny.exe"
        HKCU\Software\Microsoft\Windows\ChromeRandomAdress3264     [random].exe
        HKCU\Software\Microsoft\Windows\ChromeSettiings3264     [path_to_installer.exe]
        HKCU\Software\Microsoft\Windows\ChromeStarts3264     [path_to_installer.exe]
        HKCU\Software\Microsoft\Windows\TRUECRT3264     TrueUMBRE


      Google: Adobe Flashベースの広告を締め出すことに
      The Guardian : Technology (2016/02/10)
       Googleは、厳しい非難を浴びたAdobe Flashで作成された広告の受け入れを今年6月に停止し、2017年02月02日から完全に締め出すとアナウンスした。
       Google広告ビジネスの両腕Google Display NetworkとDoubleClickは、Flashの表示を停止する。これは、全ての広告がアニメーションに関してHTML5を使用する必要があることを意味している。
       「多くのデバイス上で多くの人々のブラウジング体験を強化するために、Google Display NetworkとDoubleClick Digital Marketingは、現在100%HTML5に移行中である」と、Googleは発言している。
       しかしながら、ビデオ広告は当面の間Flashを使用することが可能であるが、これらに関しても、時計は同様に時を刻んでいる。
       Ad Ageのデータによると、1億を越えるFlashベースの広告が、地球規模で2015年06月までの一年間にユーザに表示されており、バナー広告の84%が依然としてFlashであった。この数値は、明らかに前年比で減少しており、他の広告サービスも先例(Amazonが最近、自身のサイトからFlash広告を締め出したような)に従っているので、結局 0 まで漸減することが期待されている。
       Flashに関するGoogleの戦いは、Chromeブラウザも含んでいる。Chromeは昨年09月にDefaultでFlash要素をブロックすることを始めた(それらをアクティベートするには、ユーザが広告をクリックすることを要求する。基本的に誰も実行しようとは思わない)。Statcounterによると、Chromeは現在、デスクトップ インターネット マーケットの57.8%、モバイル、デスクトップ、タブレット、コンソールを含むグローバルインターネット使用者中の47.8%を占めている。
       YouTubeを含むビデオ サービス、HTML5用のFlashダンプやデジタル著作権管理を搭載したMicrosoftのSilverlightの所為で、Flashの最後の砦は、(管理用のパッケージのような)software-as-a-services(【訳注】 SaaS、ソフトウェアを通信ネットワークなどを通じて提供し、利用者が必要なものを必要なときに呼び出して使うような利用形態(e-Wordsより))埋め込みツールだろう。

      DMA Locker身代金要求型マルウェアはマップされていないネットワーク共有をターゲットにしている
      BleepingComputer : News>Security (2016/02/08)
       DMA Lockerは、先週PhysicalDrive0によって発見され、Malwarebytesのマルウェア解析者Hasherezadeによって解析された。この身代金要求型マルウェアは、AES暗号化を使用してデータを暗号化し、復号キー取得の引換として 4 Bitcoinを要求する。この身代金要求型マルウェアの今迄のバージョンは、プログラム中のフローにより復号することが可能であったが、新しいバージョンでは、この問題は解決されている。DMA Lockerは、幾つかの興味ある機能(マップされていないネットワーク共有の暗号化や、特定のフォルダ中に存在していない、あるいは、特定の拡張子を持っていない、あらゆるファイルをターゲットにしていることを含む)を含んでいる。

      DMA Lockerはマップされていないネットワーク共有をターゲットにしている

       未だ言及されていないDMA Lockerの一つの機能は、マップされていないネットワーク共有上のデータを列挙し暗号化する能力である。これは、追加することが複雑な機能ではないが、現在の身代金要求型マルウェア中に確認されている機能ではない。この機能は将来的に、身代金要求型マルウェアの標準になるだろうことが想定されるので、システム管理者は、全てのネットワーク共有が、その環境で動作する最も厳しいファイル パーミッションで実行されていることを確実にすべきである。


      ネットワーク共有はSMBを介して暗号化される

      暗号化プロセス

       殆どの身代金要求型マルウェアと異なり、DMA Lockerがデータを暗号化する時、暗号化するために特定の拡張子をターゲットにするのではなく、暗号化しないフォルダと拡張子のホワイトリストを使用している。したがって、この身代金要求型マルウェアは、あなたのシステム上に見出される殆ど全てのシステムと実行ファイルに関連していないファイルを暗号化する。
       暗号化されないホワイトリストに存在しているフォルダと拡張子は以下である。

        \Windows\,\Program Files\,\Program Files (x86)\,Games,\Temp,\Sample Pictures,\Sample Music,\cache

        .exe,.msi,.dll,.pif,.scr,.sys,.msp.com,.lnk,.hta,.cpl,.msc,.bat,.cmd

      DMA Lockerは、ファイルを暗号化するときにAES暗号化アルゴリズムを使用するが、暗号化されたファイルにカスタム拡張子を追加することはない。代わりに、DMA Lockerは、全ての暗号化されたファイルのヘッダーに同定子を追加するので、DMA Lockerは、そのファイルを暗号化したファイルとして同定することができる。以下の強調された部分が暗号化されたファイルの例である。


      暗号化されたファイル

       最後に、DMA Lockerがデータの暗号化を終了すると、身代金の支払い方法とファイルの復号方法を指示するロック画面をあなたに表示する。この身代金情報は、C:\ProgramData\cryptinfo.txt 中に保存されており、あなたが、そのコンピュータにログインする度に表示される。


      脅迫文付きのDMA Locker画面

       DMA Lockerは、静的Bitcoin支払いアドレス(1BA48s9Eeh77vwWiEgh5Vt29G3YJN1PRoR)を使用しているので、我々は如何程の身代金が支払われたかを監視することが可能である。残念ながら、現時点で、5人の犠牲者が身代金を支払ったことが明らかである。

      DMA Lockerから自分自身を防御するには

       通常のアンチウィルス防御の他に、あなたは、Hasherezadeによって発見されたトリック(DMA Lockerがデスクトップ上のいかなるファイルも暗号化しない)ことを使用することもできる。DMA Lockerはコンピュータを暗号化するとき、このプログラムは暗号化プロセスを終了したことを示す二つのファイルを作成する。この方法では、このプログラムが再び起動しても、あなたのデータを二回目の暗号化をすることはない。
      DMA Lockerを欺き、あなたのコンピュータが既に暗号化されていると錯覚させるには、以下の二つのファイルを作成することである。ファイルの内容は問題ではない。DMA Lockerに、あなたのデータを暗号化しないように欺くために、これらのファイルが存在する必要がある。

        C:\ProgramData\decrypting.txt
        C:\ProgramData\start.txt
        C:\Documents and Settings\All Users\decrypting.txt
        C:\Documents and Settings\All Users\start.txt

      復号されたDMA Locker

       あなたがDMA Lockerの今までのバージョンに感染しているのであれば(取り分け、ID 41:55:16:13:51:76:67:99 を含むもの)、EmsisoftのFabian Wosarによって作成された復号プログラムを使用して復号することが可能である。あなたのバージョンが、この復号プログラムに互換しているか否か確認するには、こちらのリンク(直リンク)から、decrypt_DMA Locker.exeをダウンロードし、あなたのデスクトップに保存しなさい。
       あなたが実行ファイルをダウンロードしたら、ダブルクリックして、このプログラムを実行しなさい。このプログラムが起動すると、以下に示すUAC(User Account Control)が表示される。先に進むために、Yesボタンをクリックしなさい。


      User Account Controlプロンプト

       次に、使用許諾書が表示されるので、続けるにはYesをクリックしなければならない。これでメインのDMA Locker復号プログラム画面が表示される。


      DMA Locker復号プログラム画面

       この復号プログラムを特定のフォルダ中の幾つかのファイルでテストするには、Clear objectsボタンをクリックし、テストしたいフォルダを追加しなさい。このツールが、そのフォルダを復号したなら、もう一度Clear objectsをクリックし、復号したいドライブを追加し、Decryptボタンをクリックしなさい。Decryptをクリックすると、DMA Locker Decrypterは、全ての暗号化されているファイルを復号し、以下の画面のような結果画面中に復号状況を表示する。


      復号結果

       これで、あなたのファイルの殆どは復号されているはずである。あなたが、このツールの使用に関して何らかの支援を必要としているのであれば、DMA Locker Ransomware Support Topicで質問しなさい。

      DMA Locker関連ファイル

        C:\ProgramData\cryptinfo.txt
        C:\ProgramData\date_1.txt
        C:\ProgramData\decrypting.txt
        C:\ProgramData\ntserver.exe
        C:\ProgramData\start.txt

      DMA Locker関連レジストリ エントリ

        HKCU\Software\Microsoft\Windows\CurrentVersion\Run\cryptedinfo notepad     c:\ProgramData\cryptinfo.txt
        HKCU\Software\Microsoft\Windows\CurrentVersion\Run\cssys     C:\ProgramData\ntserver.exe


      Font Processing Library中の脆弱性はFirefox、Linuxに影響を与える
      NDTV : Gadgets360>Internet News (2016/02/08)
       セキュリティ研究者達は、Libgraphite font processing libraryとしても知られるGraphite中に、幾つかのシステムに影響を与える脆弱性を発見した。攻撃された場合、この脆弱性は、攻撃者が、そのマシンに悪意あるフォントを蒔くことを可能にする。Libgraphiteライブラリは、Linux, Thunderbird, WordPad, Firefox, OpenOffice並びに、幾つかの他のメジャーなプラットフォームとアプリケーションで利用されている。
       Ciscoのセキュリティ研究者達は、Libgraphite font processing library中の4つの脆弱性を概要したアドバイザリを投稿した。この脆弱性の一つは、攻撃者がそのマシン上で任意のコードを実行することを可能にするものであり、取り分け、そのシステムをクラッシュさせることを可能にするものである。
       脆弱性の内の二つは、DoS状態に帰結することになる。「攻撃者は、ユーザが、これらの脆弱性の一つを引き金にする特別に細工されたフォントを使用してページを表示するアプリケーション(Graphiteを有効にしている)を実行している必要があるだけである」と、このチームはブログの投稿で記述している
       この脆弱性は、Firefox 11とそれ以降のバージョンや前述のアプリケーションそして、Graphiteをサポートしているサービスに影響を与える。「Mozilla Firefox 11とそれ以降のバージョンは、Graphiteを直接サポートしているので、攻撃者は簡単にサーバをセキュリティ侵害することができ、ユーザがそのサーバからページを表示した時に、特別に細工されたフォントを提供することができる(Graphiteはローカル フォント、サーバーベース フォントの両方をサポートしている)。」 記憶を辿ると、Firefoxは2012年にDefaultでGraphiteを含ませている。
       広範なデバイスへの影響だけでなく、この脆弱性は、攻撃者がマシンを手中にすることが大変容易であることでも懸念されている。Mozillaと様々なLinuxディストリビューションは、この問題を未だに解決できていない。  

      Oracle: Windows上のJavaに関する緊急のパッチをリリース
      The Register : Security (2016/02/08)
       Oracleは、Windowsでのインストレーション中の脆弱性を塞ぐためにJavaの緊急の定例外パッチをリリースした。
       CVE-2016-0603と名付けられたこのバグは、複雑である。これは、攻撃者がユーザを欺いてセキュリティ侵害されたWebサイトを訪問させた後に、犠牲者がJava 6, 7, 8をインストールする必要がある。しかしながら、攻撃が成功すると、犠牲者を「完全にセキュリティ侵害する」ことに帰結する。
       攻撃者が、十分に適正の無いエンドユーザを、彼らが信ずるべきJavaリリースをクリックするように(全くJava Webサイトではないにも関わらず)説得した場合を除き、攻撃を作動させることは大変困難である。
       今回だけは、現在のJava(他のものによって改竄されていないインストールを意味する)をクリーン インストールしている人々は、心配する必要は無い。
       「しかしながら、6u113, 7u97, 8u73以前のJavaの古いバージョンをダウンロードしているJavaユーザは、これらの古いダウンロードを処分し、6u113, 7u97, 8u73及びそれ以降のJavaのバージョンに置き換えなさい」と、Oracleのセキュリティ ブロガーEric Mauriceは記述している
       Oracleは、バグの本質に関する詳細な情報を公開していない。
       

      NanoLocker身代金要求型マルウェアは、早期に捕まえられれば復号可能
      BleepingComputer : News>Security (2016/02/04)
       先週、Adamの名前で活動しているセキュリティ研究者が、非常に詳細に、且つ、読みやすく、NanoLockerと名づけられている新しい身代金要求型マルウェアの解析をした。彼の解析の時点で、この身代金要求型マルウェアに関する情報はシマンテックのサイトに簡潔に記述されているだけだった。
       彼がこの身代金要求型マルウェアを解析したとき、彼は、この身代金要求型マルウェアがコマンド&コントロールサーバと通信する方法や、この身代金要求型マルウェアがAESキーを格納する方法中に欠陥を含む、幾つかの興味ある機能が含まれていることを発見した。このフローは条件さえ揃えば犠牲者のファイルを復号するために使用することができる。

      NanoLocker暗号化プロセス

       私がこの身代金要求型マルウェアのサンプルを取得することができ、それを仮想マシン上でテストすることをできるように、ハッシュを投稿してくれたAdamに感謝する。この身代金要求型マルウェア実行ファイルは、PDFアイコンを持っている。これは、おそらくe-Mail添付ファイルとして拡散することを意図していると思われる。一旦、実行されると、インチキのPDFエラーを表示する。これは、そのPDFが開くときに問題が発生したと思わせるものである。


      インチキのPDFエラー

       しかしながら、実際にはここで、このプログラムはバックグラウンドでコッソリ実行し、データを暗号化するためにあなたのドライブをスキャンしている。ターゲットのデータファイルを発見すると、AES暗号化を使用して、そのファイルを暗号化し、次に、%LocalAppData%\lansrv.ini に、そのファイル名とパスを追加する。NanoLockerによってターゲットにされているファイル拡張子は以下である。

        *.jpg, *.jpeg, *.tif, *.bmp, *.max, *.accdb, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*game*, *.*slot*, *.dwg, *.dxf, *.cpp, *.php, *.asp, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.eps, *.svg, *.swf, *.fla, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.aif, *.iff, *.mid, *.mpa, *.wma, *.avi, *.mov, *.mpeg, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.crt, *.pem, *.cer, *.pfx, *.odt, *.ods, *.odp, *.odm, *.odb, *.odc, *.xlk, *.dxg, *.pst, *.mdf, *.cdr, *.arw, *.dng, *.rar, *.zip, *.srf, *.bay, *.crw, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.ptx, *.pef, *.srw, *.der

       この拡張子のリストがRansom32がターゲットにしている拡張子のリストと同一であることに注目すべきである。
       この身代金要求型マルウェアが、あなたのデータを暗号化した後、このプログラムは実行を継続し、ここで、脅迫文と、キーを入力するためのキーを入力するために使用されるフィールドを表示し、次に、あなたのファイルを復号する。


      NanoLocker身代金要求画面

       この脅迫画面は、あなたが身代金を支払う方法に関する指示を含んでいる。キーを取得すると(詳細は後述)、あなたは、そのキーをKey Field(キー入力スペース)にペーストでき、このアプリケーションから直接ファイルを復号することができる。
       Adamによると、この身代金要求型マルウェアは、ICMP(【訳注】 Internet Control Message Protocol、TCP/IPが動作するために必要な、補助的な役割を果たすためのプロトコル(atmarkitより))パケットを使用してコマンド&コントロールサーバと通信する。これは、革新的方法であり、身代金要求型マルウェアに関する私の知識において、コマンド&コントロールサーバとの通信にICMPを使用した最初の事例である。
       この身代金要求型マルウェアのもう一つの興味を引く機能は、あなたに実行ファイルの自動起動を無効化する能力を与えていることにある。これで、この身代金要求型マルウェアは、あなたがログインしたとき、もはや起動することはない。

      支払いプロセス

       他の殆どの身代金要求型マルウェアと異なり、NanoLockerは、あなたがファイルを取り戻すために僅か0.1 Bitcoin(43米ドル)しか要求しない。この身代金要求型マルウェアが、あまり拡散していないことと身代金が小額であることから、このリリースはテスト ランであるのかもしれない。
       NanoLockerは、身代金を支払うときに、特有の支払い方法とキー検索を使用している。身代金の支払いにあたり、あなたは、身代金を支払うとき、Public Noteフィールド中のBASE64でエンコードされた文字列を送信することを要求される。この公開文は、Bitcoinトランザクションに添えられ、そして、このマルウェア開発者によって読まれることになる。支払いが受け取られると、このマルウェア開発者は、あなたの復号キーを含む別の公開文を含むマイクロトランザクションを送り返してくる。
       犠牲者は、このキーを取得し、ファイルを復号するために、このプログラム中のKey Fieldボックスにペーストすることになる。

      NanoLockerのキープロセス欠陥

       NanoLockerがファイルを暗号化するとき、シンメトリカル(左右対照的)暗号化アルゴリズム(【訳注】 パブリックキーやプライベートキーを使用しないのでよりシンプルに暗号化と解読が行われる。シンメトリカル暗号のメリットは大量の書類を短時間で暗号化できる(OpenLimitより))を使用している。これはファイルの暗号化と復号化に同じキーが使用されていることを意味している。残念なことに、この身代金要求型マルウェアがファイルの暗号化を終了すると、このAESキーをマスターRSA公開暗号鍵と共に暗号化する。そして、これを %LocalAppData%\lansrv.ini に格納する。この最終段階において、このAESキーは現在暗号化されているので、我々は、犠牲者のファイルを復号するために、これを使用することができない。


      RSAで暗号化されたAESキーを示している lansrv.ini ファイル

       しかしながら、Adamが発見したことは、NanoLockerが犠牲者のファイルを暗号化している間、このマルウェアは、%LocalAppData%\lansrv.ini ファイル中にAESキーを暗号化せずに格納しているということであった。このことは、犠牲者が暗号化が完了するまでに、コンピュータをOFFにすると、この身代金要求型マルウェアは、次に犠牲者がコンピュータを起動したとき、その時点から継続することができるということである。
       この束の間のキー格納メカニズムは、我々のアドバンテージとして資することができる。この感染がコンピュータの暗号化を終了する前に、犠牲者がコンピュータをシャットダウンしたり、この身代金要求型マルウェアのプロセスを終了した場合には、犠牲者は、%LocalAppData%\lansrv.ini ファイルから、このキーを取得することでき、これを使用してファイルを復号することができる。

      NanoLockerを復号するには

       既に述べたように、暗号化のアルゴリズムに弱点が無いので、我々がNanoLockerで暗号化されたファイルを復号することは可能ではない。しかし、犠牲者が暗号化が終了する前に、コンピュータをシャットダウンしたり、この身代金要求型マルウェアを終了するなら、我々は暗号化されていない暗号化キーを取得くすることが可能である。このキーを取得可能な人々に関してであるが、Adamは、このキーをインポートし、暗号化されたファイルを復号することができる復号プログラムを作成している。
       Adamの復号プログラムは、Windowsのコマンドラインから実行する必要があり、残念なことに、一回で1つのファイルしか復号することができない。Adamの復号プログラムに更に機能を追加したい人々に関してであるが、Adamは、GitHubに完全なソースコードを投稿している。全ての暗号化されたファイルのリストは、%LocalAppData%\lansrv.ini ファイル中に見つけることができる。
       この復号プログラムを使用するには、、これを、ここからダウンロードし、あなたのデスクトップに保存しなさい。
       以下のコマンドラインを使用して、この復号プログラムをコマンドラインから実行しなさい。

        NanoLocker_Decryptor.exe [encrypted_file] [file_to_save_decrypted_version] [lansrv.ini_file]

       実例として、この復号プログラムの使用方法を示す。

        NanoLocker_Decryptor.exe "C:\Users\Public\Pictures\Sample Pictures\Desert.jpg" "C:\Users\Public\Pictures\Sample Pictures\Desert-good.jpg" %userprofile%\appdata\local\lansrv.ini

       あなたが、このコマンドを実行すると、この復号プログラムは、キーが正当であることを確認し、以下に示すように、あなたのファイルを復号する。


      ファイルの復号中

       既に述べたが、この復号プログラムは、一回あたり1ファイルのみ復号する。あなたがフォルダ全体を復号するために、このプログラムを使用する必要があるのなら、あなたは、バッチファイルもしくは、このプログラムのソースコードに更なる機能を追加する誰かを必要とするだろう。あなたがバッチファイルを作成したなら、あなたは、%LocalAppData%\lansrv.ini ファイルから暗号化されたファイルのリストをエクスポートし、各ファイルを復号するループに入ることができる。

      NanoLocker関連ファイル

        C:\Users\User\AppData\Local\lansrv.exe
        C:\Users\User\AppData\Local\lansrv.ini
        C:\Users\User\Desktop\ATTENTION.RTF

      NanoLocker関連レジストリ エントリ

      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\LanmanServer     C:\Users\User\AppData\Local\lansrv.exe

      Googleは、ComodoのChromodoを危険なクラップウェアと名指し
      The Register : Security (2016/02/02)
       Googleのセキュリティ技術者は、Chromeのセキュリティを無効にするとしてComodoを厳しく罰した。
       Comodo Internet Securityをインストールしているユーザは、彼らのChromeインストレーションがComodo独自のブラウザに置き換えられていることを認識していないかもしれないと、本日付けのアドバイザリで説明している。
       このクラップウェア(【訳注】 ユーザーが求めておらず、欲しがってもいないのにコンピュータにインストールされているソフトウェアのこと(ZDNet Japanより))は、全く安全ではない。このクラップウェアは、Defaultブラウザとして設定され、「全てのショートカットを、Chromodoのリンクに置き換え、全ての設定、クッキー等は、Chromeからインポートされる。このクラップウェアはまた、他の胡散臭い実行の間に、DNS設定もハイジャックする」と、GoogleのTavis Ormandyは記述している。
       Chromodoは、ComodoのWebサイト上では「プライベート ブラウザ」として奨励しているが、Chromodoは、Chromeの同一生成元ポリシーを無効にするために、プライベートのみならず、使用に関してもおよそ安全ではない。
       同一生成元ポリシーは、それらが同じサイトからのものであるのなら、あるスクリプトは別のスクリプト中のデータにアクセスすることだけができるとする規則を強制する。これ無しでは、ユーザは、個人情報を嗅ぎ取ろうとする悪意あるサイトに晒されることになる。
       Googleは、Comodoが応答しなかったのでバグを公開したと、我々に告げている。
       Comodoがクラップウェアと指摘されたのは、今回が初めてではない。2015年、ComodoのPrivDogブラウザは、 ユーザのSSLセッションの中間者になっているとして、アメリカ合衆国国土安全保障省によって、止めさせられている
        Comodoが認証機関でもあることを考えれば、末端ユーザのセキュリティをバイパスすることは、重大な信頼への違反である。あなたがComodoのブラウザをインストールしているのであれば、それを削除しなさい。

      Amazonを騙るフィッシングが出回っている。「.co」ドメインは偽物。
      Amazon : ヘルプ&カスタマーサービス (2016/02/01)
      Amazon ヘルプ&カスターマーサービスから、情報がでています。
      Amazon.co.jp からのEメールかどうかの識別について

       RBBTodayに関連情報があります。

      英国、Lincolnshire(リンカンシャー)州議会は、身代金要求型マルウェアに攻撃され、100万ポンド要求されていた
      BBC : News>UK>Lincolnshire (2016/01/29)
       Lincolnshire州議会のコンピュータは、身代金として£100万(172,523,300円)を要求するマルウェアによって攻撃され、4日間稼働できないでいた。
       このマルウェアは、感染したマシンのデータを暗号化し、犠牲者が身代金を支払った場合にのみ、そのデータを復号するものである。
       当局は、そのシステムを修復するコンピュータセキュリティ プロバイダと共に作業したと発言している。
       Judith Hetherington-Smith情報統括役員は、少数のファイルだけが影響を受けたと発言している。
       当局は、このマルウェアが特定されたので、アクションを取り、そのシステムをシャットダウンしたと、彼女は発言している。
       これは、図書館やオンライン予約システムを含むいくつかのサービスに影響がでたことを意味している。
       Hetherington-Smith女史は、「人々は紙と鉛筆だけしか使用できなかった数年前に戻された」と発言している。
       攻撃に関して、彼女は、「攻撃は瞬時に発生した。我々は、これを特定しネットワークをシャットダウンしたが、何時もながら、幾つかのダメージ(少数のファイルが、このソフトウェアによって暗号化された)が、ネットワークを遮断する前に発生していた」と発言している。
       「多くのファイルは、我々がバックアップから復元することで利用可能になるだろう。」
       この州議会は、来週始めには殆どのシステムが再稼働できるだろうことを希望している。
       これは、今まで経験してきた「最大の脅威」としての身代金要求型マルウェアであり、更に、セキュリティ専門家にとっても未知であったことを意味する「0-Dayマルウェア」であったと説明されている。
       当局は、「残念なことに最初の犠牲者になった」と、適切なセキュリティ機能を配備していると確信していたと発言している。
       Lincolnshire警察は、この攻撃を調査中であることを認めている。
       Information Commissioner's Office(プライバシー監視機関、The Data Protection Act 1998の執行責任当局)は、インシデント(重大事案)と認識していると発言している。

      Oracle: Javaブラウザ プラグインを撤退させると発言
      BBC : News>Technology (2016/01/28)
       テクノロジ企業Oracleは、Javaブラウザ プラグインを撤退させることを決定した。
       このソフトウェアは、Webブラウザで実行させるプログラムを記述するために広汎に使用されている。しかし、Oracleは、現代の最先端のブラウザは、Javaとの互換性を取っていないものが増加していると、発言している。
       Oracleは、彼らの最新の開発キット ソフトウェアのリリースで、Javaに関しては段階的に縮小するが、その終焉の時は直ぐということではないと発言している。
       Javaは、ハッカーに対して脆弱性があるとする多くのオンライン セキュリティ専門家によって非難されてきた。

      代替オプション

       「2015年後半までに、多くのブラウザベンダーは、埋め込み型のフラッシュ、Silverlight、Java、他のプラグインベースのテクノロジを排除するために、削除もしくは、標準ベースのプラグイン サポートの削除に関するタイムラインのアナウンスかの、何れかを実行した」と、Oracleは発言し、水曜日に決定をアナウンスした。
       「現在の最先端のブラウザのベンダは、彼らの製品中でのプラグイン サポートを制限もしくは、減少させるように仕事しているので、Javaブラウザ プラグインに依存しているアプリケーションの開発者達は、Javaアップレット(これはブラウザ プラグインに依存している)からJava Web Startテクノロジへの移動のような代替オプションを考慮する必要がある。」
       Java Development Kit, JDK 9の次のリリースで、「Oracleは、Javaブラウザ プラグインを非推奨にすることを計画している」と、発言している。このテクノロジは、今後のソフトウェア リリースから削除されるだろうとも追加している。
       「『非推奨』とは、Oracleが、Javaプラグインを完全に殺してしまうことを意味していない。代わりに、彼らはますます、Javaを隠し、ユーザがJavaをインストールすることを奨励しないようにするだろう。そのうちに、このソフトウェアは完全に削除されるだろう」と、セキュリティ コンサルタントGraham Cluleyは発言している。

      不人気

       オンライン セキュリティ企業Tripwireのブログへの投稿において、Graham Cluleyは、「もちろん、Oracleが、Javaのサポートを完全に打ち切る分けではないが、このブラウザ プラグインは不人気なので、彼らはユーザが代替物に切り替わることを願っている」と発言している。
       Graham Cluleyは、報告された問題の数は、ここ数年減少傾向にあるが、Javaは、その脆弱性故に悪名高いままであると、発言している。
       「多くのユーザは、Javaをマスターすることが、Javaを愛することが困難であったことを発見してきた」とGraham Cluleyは、発言している。
       「それでも未だ、企業が依存している古ぼけたWebサイトと特注のアプリケーションのために、Javaブラウザ プラグインは、とぼとぼと歩き、煉瓦の断片(【訳注】 武器としての使用)や不正使用を一笑に付し、中途半端なサポートを頑なに提供してきた。」
       Graham Cluleyは、ブラウザメーカーが、Javaプラグインを意味の無いものにしたと、発言している。
       彼は更に、「Oracleは、世界を変えていると認識される必要のある唯一の企業ではない。Adobe(頻繁に攻撃されているFlashプラグインの開発者)は、最近、このプラットフォームからHTML5準拠に将来移動することを明らかにしている」と述べている。

      Malwarebytes: アンチ-身代金要求型マルウェア(ランサムウェア)のベータ版をリリース
      BleepingComputer : News>Security (2016/01/25)
       本日、Malwarebytesは、Malwarebytes Anti-Ransomwareと呼ばれる最新のセキュリティ製品をアナウンスした。Malwarebytes Anti-Ransomware(簡略名 MBARW)は、現在ベータであり、ファイルを暗号化する身代金要求型マルウェアに関連する挙動に関して、コンピュータを静かに監視するためにバックグラウンドで実行される小さなユーティリティである。このユーティリティが、身代金要求型マルウェアに関連する挙動を検出すると、あなたのデータを暗号化する脅威を自動的にブロックし、実行ファイルを隔離し、何かが検出されたことを、あなたに警告してくる。

      Malwarebytes Anti-Ransomwareを覗き見る(YouTubeビデオ)

      Malwarebytes Anti-Ransomwareは、誰もが自身のコンピュータを保護するために使用できる、無料のスタンドアロン製品として現在リリースされている。現在ユーザに影響を与えている最大のコンピュータ セキュリティ上の脅威の一つになっている身代金要求型マルウェアに対して、それを妨げるための専用のツールは歓迎されるものである。
       「私は、我々の共通の目的(犠牲者を身代金要求型マルウェアによる感染から停止する)に向かった一流の開発者のアイデアの全てを最終的にまとめた、このアプリケーションのリリースにワクワクしている。我々は身代金要求型マルウェアを過去の遺物にしたい、そして、このアプリケーションは、その日を、より近づけることになるだろう」とする、Nathan Scott(MalwarebytesのAnti-Ransomwareの技術開発リーダー)に、Malwarebytesも同感している。
       リリースされて、私は、この製品を身代金要求型マルウェアのサンプル(TeslaCryptやCryptoWallのような大きな物、並びに、Magic RansomwareやLeChiffreのような小さな物)でテストした。これがベータであることを知っており、バグを予期していたが、Malwarebytes Anti-Ransomwareは、私のテストコンピュータ上のファイルを暗号化しようとした脅威をストップする素晴らしい仕事を実行したことは、心地よい驚きであった。各テストに関して、このユーティリティは脅威とプロセスを終了させ、関連する実行ファイルを隔離した、そして、脅威に関する検出警告通知を私に発行した。


      身代金要求型マルウェア検出警告

       Malwarebytes Anti-Ransomwareは、テストコンピュータを保護する大変素晴らしい仕事を実行したが、私は、小さ目の身代金要求型マルウェアに関して、LeChiffreやMagicのような感染は、MBARWが作動し、暗号化をブロックする前に、一つもしくは二つのファイルを暗号化していることに気がついた。MBARWは、現在、シャドー ボリューム コピーを削除したり、脅迫状の作成を発生するような、他の身代金要求型マルウェアの挙動は許可している。最後に、Malwarebytes Anti-Ransomwareは、その感染が属している特定の種を同定する識別名ではなく、検出された全ての身代金要求型マルウェアをMalware.Ransom.Agent.Generic として現在ラベル付けをしている。


      隔離画面

       Nathan Scottによると、「このバージョンのMalwarebytes Anti-Ransomwareは、いかなる代価を払おうとも、身代金要求型マルウェアを停止させることと、あらゆる誤検出を撲滅することに集中している。次のベータバージョンは、シャドー ボリュームの操作、脅迫状の作成、身代金要求型マルウェア ファミリーを適切に同定することのような、身代金要求型マルウェアの挙動を妨げることに、より強力に重点的に取り組むだろう。」
       偽りなく、Malwarebytes Anti-Ransomware ベータ版は、身代金要求型マルウェアが、データを暗号化することを停止するための能力で強烈なデビューをした。Emsisoft Anti-MalwareのBehavior BlockerやSurfRightのHitmanPro.Alertのような他の製品と連動して、Malwarebytes Anti-Ransomwareは、現在と将来の脅威に対する強力な保護を提供する。
       この製品のベータ テストを支援したい人々に関して、Malwarebytesは、この製品を議論できる、フィードバックを提供できる専用のトピックをセットアップしている。

      アップデート   Malwarebytes Anti-Ransomware beta版のダウンロードは以下から。 https://malwarebytes...cvnqwi5r1x2urgb

      オープンソースEDA2身代金要求型マルウェアから開発された、新しいMagic身代金要求型マルウェア
      BleepingComputer : News>Security (2016/01/23)
       Magicと名付けられた新しい身代金要求型マルウェアが開発された。この身代金要求型マルウェアは、AES暗号化を使用して、あなたのデータを暗号化し、暗号化したファイルに .magic 拡張子を追加する。次に、データを復元するために、1ビットコインを要求する。この身代金要求型マルウェアは、C#で作成されており、逆コンパイルすると、それが殆ど、eda2と呼ばれるオープンソースの身代金要求型マルウェアの正確なコピーであることが簡単に明かになる。Hidden Tear身代金要求型マルウェアに加えて、eda2身代金要求型マルウェアは、教育目的でこれを実行したとする人達によって公に公開された。教育目的であろうが、そうでなかろうが、このコードは積極的にマルウェア開発者によって使用されており、影響を受けた人々にとって大きな問題を発生させている。


      法的警告: これは一部の人々にとっては役に立つものであるが、重要なリスクが存在する。eda2は、教育目的のためだけに使用しなさい。これを身代金要求型マルウェアとして使用しないようにしなさい! あなたは、eda2を実行すると司法妨害で収監される可能性がある。(オープンソースeda2プロジェクトに関して投稿された免責条項)

      オープンソース身代金要求型マルウェアに教育目的など何もない

       CryptoWall, TeslaCrypt, CTB-Lockerのような、より悪名の高い身代金要求型マルウェアを操作しているマルウェア開発者は、 多くのセキュリティ研究者と法執行機関の監視の下で、彼らのサーバを維持し稼働し続けるための明らかに多くの技術的な知識を身につけている。eda2身代金要求型マルウェア キットを使用している悪漢共は、大変レベルの低い人材の集まりであることは明らかである。
       これは、犯罪者が独自の身代金要求型マルウェアを作成するために必要とするであろう全てのものを、eda2身代金要求型マルウェア キットが、含んでいることが理由である。このキットは、身代金要求型マルウェア実行ファイルと暗号化アルゴリズムだけでなく、犠牲者の暗号化キーを格納するためのコマンド&コントロール サーバとして挙動するPHP Webパネルもまた含んでいる。残念ながら、この自由に利用できるコードを使用しているだけの人々は、それを適切に使用するための十分高度な知識を持っていない人々である。
       これは、強力で隠蔽されたコマンド&コントロール サーバを使用する代わりに、これら配布者は、無料のWebサイト サービスにホストされているコマンド&コントロール サーバを使用していることを意味している。これは、彼らを簡単に引きずり倒せることを意味しているが、この無料Webホスティング プロバイダがセキュリティ研究者や当局が、それにアクセスする前に、復号キーのデータベースを削除するかもしれないことを意味している。そうなると、犠牲者は、彼らの復号キーを取得できなくなる。


      コマンド&コントロール サーバを示すソースコード

       この時点で、この身代金要求型マルウェアが使用しているコマンド&コントロール サーバは、無料のWebホスティング サービス プロバイダによって削除されている。我々がデータベースのコピーを得ることができるのなら、復号プログラムを犠牲者のために構築することができるので、それを確認するために、私は彼らに接触している。

      Magic身代金要求型マルウェアは、どのように動作しているのか

       この身代金要求型マルウェアが、どのように拡散しているのか現在のところ不明であるが、ユーザがコンピュータに戻ってきたとき突然、彼らのデータが暗号化されていることを発見したと報告されている。それ故、この開発者が、ハックしたターミナル サービス、あるいは、リモートデスクトップを介して手動で拡散させていた可能性がある。
       この身代金要求型マルウェアのインストーラは、magic.exeと呼ばれる実行ファイルであり、インストールされると、コマンド&コントロール サーバにRSA公開鍵を要求し、犠牲者のコンピュータのファイルを暗号化するために使用されるAESキーを暗号化するために、その鍵を使用する。この暗号化されたAESキーは次に、これを格納するためにコマンド&コントロール サーバに送り返される。コンピュータを暗号化するにあたり、この身代金要求型マルウェアは、特定のファイル拡張子に一致するファイルに関して、そのコンピュータ上の全てのドライブをスキャンする。一致するファイルを発見すると、AES暗号化を使用して、そのファイルを暗号化し、そのファイルに .magic 拡張子を付け加える。暗号化している間、このMagic身代金要求型マルウェアは、文字列 $, C:\Windows, c:\program を含むディレクトリに配置されているファイルを暗号化することはない。

       この身代金要求型マルウェアが暗号化するファイル拡張子のリストは以下である.

        .asf, .pdf, .xls, .docx, .xlsx, .mp3, .waw, .jpg, .jpeg, .txt, .rtf, .doc,
        .rar, .zip, .psd, .tif, .wma, .gif, .bmp, .ppt, .pptx, .docm, .xlsm, .pps,
        .ppsx, .ppd, .eps, .png, .ace, .djvu, .tar, .cdr, .max, .wmv, .avi, .wav,
        .mp4, .pdd, .php, .aac, .ac3, .amf, .amr, .dwg, .dxf, .accdb, .mod, .tax2013,
        .tax2014, .oga, .ogg, .pbf, .ra, .raw, .saf, .val, .wave, .wow, .wpk, .3g2,
        .3gp, .3gp2, .3mm, .amx, .avs, .bik, .dir, .divx, .dvx, .evo, .flv, .qtq,
        .tch, .rts, .rum, .rv, .scn, .srt, .stx, .svi, .swf, .trp, .vdo, .wm, .wmd,
        .wmmp, .wmx, .wvx, .xvid, .3d, .3d4, .3df8, .pbs, .adi, .ais, .amu, .arr,
        .bmc, .bmf, .cag, .cam, .dng, .ink, .jif, .jiff, .jpc, .jpf, .jpw, .mag, .mic,
        .mip, .msp, .nav, .ncd, .odc, .odi, .opf, .qif, .xwd, .abw, .act, .adt, .aim,
        .ans, .asc, .ase, .bdp, .bdr, .bib, .boc, .crd, .diz, .dot, .dotm, .dotx, .dvi,
        .dxe, .mlx, .err, .euc, .faq, .fdr, .fds, .gthr, .idx, .kwd, .lp2, .ltr, .man,
        .mbox, .msg, .nfo, .now, .odm, .oft, .pwi, .rng, .rtx, .run, .ssa, .text, .unx,
        .wbk, .wsh, .7z, .arc, .ari, .arj, .car, .cbr, .cbz, .gz, .gzig, .jgz, .pak,
        .pcv, .puz, .rev, .sdn, .sen, .sfs, .sfx, .sh, .shar, .shr, .sqx, .tbz2, .tg,
        .tlz, .vsi, .wad, .war, .xpi, .z02, .z04, .zap, .zipx, .zoo, .ipa, .isu, .jar,
        .js, .udf, .adr, .ap, .aro, .asa, .ascx, .ashx, .asmx, .asp, .indd, .asr, .qbb,
        .bml, .cer, .cms, .crt, .dap, .htm, .moz, .svr, .url, .wdgt, .abk, .bic, .big,
        .blp, .bsp, .cgf, .chk, .col, .cty, .dem, .elf, .ff, .gam, .grf, .h3m, .h4r,
        .iwd, .ldb, .lgp, .lvl, .map, .md3, .mdl, .nds, .pbp, .ppf, .pwf, .pxp, .sad,
        .sav, .scm, .scx, .sdt, .spr, .sud, .uax, .umx, .unr, .uop, .usa, .usx, .ut2,
        .ut3, .utc, .utx, .uvx, .uxx, .vmf, .vtf, .w3g, .w3x, .wtd, .wtf, .ccd, .cd,
        .cso, .disk, .dmg, .dvd, .fcd, .flp, .img, .isz, .mdf, .mds, .nrg, .nri, .vcd,
        .vhd, .snp, .bkf, .ade, .adpb, .dic, .cch, .ctt, .dal, .ddc, .ddcx, .dex, .dif,
        .dii, .itdb, .itl, .kmz, .lcd, .lcf, .mbx, .mdn, .odf, .odp, .ods, .pab, .pkb,
        .pkh, .pot, .potx, .pptm, .psa, .qdf, .qel, .rgn, .rrt, .rsw, .rte, .sdb, .sdc,
        .sds, .sql, .stt, .tcx, .thmx, .txd, .txf, .upoi, .vmt, .wks, .wmdb, .xl, .xlc,
        .xlr, .xlsb, .xltx, .ltm, .xlwx, .mcd, .cap, .cc, .cod, .cp, .cpp, .cs, .csi,
        .dcp, .dcu, .dev, .dob, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .eql, .ex, .f90,
        .fla, .for, .fpp, .jav, .java, .lbi, .owl, .pl, .plc, .pli, .pm, .res, .rsrc,
        .so, .swd, .tpu, .tpx, .tu, .tur, .vc, .yab, .aip, .amxx, .ape, .api, .mxp,
        .oxt, .qpx, .qtr, .xla, .xlam, .xll, .xlv, .xpt, .cfg, .cwf, .dbb, .slt, .bp2,
        .bp3, .bpl, .clr, .dbx, .jc, .potm, .ppsm, .prc, .prt, .shw, .std, .ver, .wpl,
        .xlm, .yps, .1cd, .bck, .html, .bak, .odt, .pst, .log, .mpg, .mpeg, .odb, .wps,
        .xlk, .mdb, .dxg, .wpd, .wb2, .dbf, .ai, .3fr, .arw, .srf, .sr2, .bay, .crw,
        .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .rwl, .rw2, .r3d,
        .ptx, .pef, .srw, .x3f, .der, .pem, .pfx, .p12, .p7b, .p7c, .jfif, .exif

       この身代金要求型マルウェアは、ドライブの暗号化を終了したのち、deleteMyProgram.batと呼ばれるバッチファイルを作成し、それを実行する。このバッチファイルは、犠牲者のシャドー ボリューム コピーを消し去る。これは、 vssadmin.exe を使用し、次に、このマルウェアの実行ファイルを削除する。


      deleteMyProgram.batバッチファイルの作成

       最終的に、DECRYPT.TXTと呼ばれる脅迫状と、何が発生したのかを説明するDECRYPT_ReadMe.TXT.ReadMeがデスクトップに残る。この脅迫状は、静的に割り当てられた1LXFUhLtEnJYTo2YyMhdUCBaHcgc6LaLfRビットコイン アドレスを使用している。今のところ、ここに支払いが送信された形跡はない。この脅迫状は、犠牲者が公開されているビットコイン アドレスに 1 ビットコイン支払い、次に、ファイルを復号するための指示を受けとるために myqjs01@gmail.com, wowaanne@mail.ru, viper1990@safe-mail.net メールを送信しなければならないと述べている。

      TeslaCrypt中のフローで、暗号化されたファイルは復号することができる(但し、TeslaCryptの最新版、v3.0は非対応)
      BleepingComputer : News>Security (2016/01/20)
      一ヶ月強の間に、研究者と今までの犠牲者たちは、TeslaCryptの暗号化キー ストレージ アルゴリズム中のフローを使用して、TeslaCrypt犠牲者達が、彼らのファイルを取り戻す支援を静に実行してきた。この身代金要求型マルウェアが復号できるとする情報は秘密裏に保持されてきたので、TeslaCryptの製作者は、これについて学習していないし、このフローを修正もしていなかった。最近リリースされたTeslaCrypt 3.0は、このフローを修正したので、我々は、.ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABX, .CCC, .VVV拡張子の復号キーを生成する方法に関する情報を公開することにした。残念ながら、.TTT, .XXX, .MICRO拡張子を利用しているTeslaCryptの新しいバージョンの復号は現在可能ではない。

      TeslaCrypt中のフロー

       TeslaCryptのフローは、暗号化アルゴリズム自体にあるわけではなく、暗号化キーを犠牲者のコンピュータに格納する方法にある。TeslaCryptが犠牲者のファイルを暗号化するとき、AES暗号化アルゴリズムを使用する。これはファイルの暗号化と復号化に同じキーを使用する。TeslaCryptの開発者達は、全ての暗号化されたファイル中に、このキーを格納したかったので、彼らは、犠牲者が彼らのキーを簡単に抽出できないように、犠牲者がファイルを復号できないように、そのキーを安全にする方法を必要とした。このキーを保護するために、TeslaCryptの開発者達は、まず、このキーを暗号化するために、次に、各暗号化されたファイル中にこの暗号化されたキーに関する情報を暗号化するために、別のアルゴリズムを使用した。各暗号化されたファイル中に格納された情報を、以下の画像で示す。


      TeslaCryptのファイル ヘッダ(Kasperskyより)

       このマルウェア開発者にとって残念だったのは、このキーを格納するために使用された数は、現代の最先端のコンピュータの計算能力に耐えられる程十分なものではなかった。即ち、それらの素数を取得するために、このような大きな数を素因数分解するための特別なプログラムを使用することが可能であった。素数が取得されると、復号キーを再構成するするために特別なツールを使用することが可能になる。一部の犠牲者にとって、このプロセスは、完了するまで僅か5分程度しか掛からなかったが、より強力な数を持つ他の犠牲者は数日掛かっている。素数に関する詳細情報と、それらを暗号文に関連付ける方法に関しては、このビデオが適切な概要を提供している。

      レスキューのための志願者

       これは、Kasperskyが、ユーザが身代金を支払うこと無く暗号化されたファイルを復号することが可能であるとするレポートを発行した時に全て始まった。我々は、このマルウェアのプログラム中のフローを開発者に警告したくないので、秘密にしておく方が良いと決定した。次に、Googulatorという名のメンバーが、TeslaDecoderトピック中に、暗号化ファイル中に格納されるデータを素因数分解することによって犠牲者の暗号化キーを生成する方法を見つけたとする投稿を行った。彼は、Pythonスクリプトとして、この方法を公開し、全ての者が使用できるTeslaCrackと呼ばれるGithubプロジェクト中に、そのスクリプトを保存した。この方法は素晴らしいものであったが、我々は、TeslaCryptの開発者が気付かないように、これを隠した。そして、我々は、この方法を我々のフォーラムやニュース記事で使用できるようにした。この方法は離陸した。そして、我々は、ボランティア(今までの、多くのTexlaCryptの犠牲者)を持った、そして、彼らは、彼らのコンピュータの計算能力と、他の犠牲者が、TeslaCrypt (.VVV, .CCC等のファイル) Decryption Support Requestsトピック中で無料で復号キーを取得する支援サービスを提供してくれた。


      犠牲者への支援を提供しているボランティア

       Googulatorの方法での一つの問題は、彼らのコンピュータにPythonをインストールすることをユーザに要求し、彼のスクリプトを実行するためにPythonを使用することだった。残念なことに、多くのユーザにとって、これは紛らわしいプロセスであり、犠牲者自身で、この操作を実行することが難しかった。このプロセスをより簡単にするために、TeslaDecoderの作成者BloodDollyは、Googulatorのスクリプトと同じ機能を提供する幾つかの追加ツールを作成した(但し、Windows用の実行可能ファイルで)。これらのツールと特別に機能化されたツール(MsieveYafuのような)を使用することで、犠牲者は、現在彼らのファイルを無料で復元可能である。


      Teslacryptで暗号化された .ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABX, .CCC, .VVV拡張子を持つファイルを復号する方法

       あなたがTeslaCryptの犠牲者であり、現在あなたのファイルが、.EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABX, .CCC, .VVV拡張子を持っているのであれば、あなたの復号キーを取得するためにBloodDollyやGoogulatorのスクリプトを使用することができる。あなたがコマンドライン環境に親しんでいるのであれば、どちらのツールも問題なく実行できる。個人的に、殆どのユーザにとっては、BloodDollyのTeslaDecoderパッケージを使用するように提案する。これはWindows環境により親しんでいる人にとって簡単に使えることが理由である。
       あなたのファイルを復号するには、単純にTeslaDecoderをダウンロードし、それに含まれている指示書を読みなさい。私は大変詳細に、この指示書を作成した。そして、あなたの暗号化キーを取得するために必要な情報とツールを提供している。あなたが、この情報を紛らわしく感じるのであれば、TeslaDecoder Support Topicで気楽に支援を求めなさい。
       あなたが、自身でこのプロセスを実行することに不安があるのであれば、あなたに代わって復号キーを取得してくれるボランティアに依頼することもできる。これを実行するには、TeslaCrypt (.VVV, .CCC等のファイル) Decryption Support Requestsトピックの最初の投稿に単純に従いなさい。誰かが、あなたのキーを戻してくれるだろう。このボランティア達は、一日に多くのリクエストを持っているので、支援を取得するまでに、それなりの時間が掛かることに注意しなさい。
       あなたのキーを取り戻したら、あなたのドライブ上の全てのファイルを復号するためにTeslaDecoderを使用しなさい。

      支援者とボランティアへの謝意

       私は、TeslaCryptの犠牲者を支援するために貴重な時間を犠牲にしてくれたボランティアの人々に謝意を表明したい。BloodDolly, Googulator, VirusD, Demonslay335, NightbirD, vilhavekktesla, al1963Goosea, Kasperskyの暗号化専門家, Quietman7,そして、BleepingComputer.comでTeslaCryptの犠牲者を支援するために多大な時間を費やした幾多のボランティアに特別な謝意を表明する。あなた方の支援なくして、データを失った多くの人々を助けることはできなかっただろう。

      AppleがQuickTimeのパッチをリリース
      The Register : Security (2016/01/09)
       AppleがQuickTimeメディア プラグインのアップデートをポストした。このアップデートは、Windows 7とWindows Vistaユーザ用のリモートコード実行のフローを解決するものである。
       Apple(カリフォルニア州クパチーノに本拠を置く)は、QuickTime 7.7.9のパッチが、CVEにリストされている9つのQuickTime中のメモリ損壊の脆弱性を解決すると述べている。各脆弱性は、悪意あるムービーファイルをロードすることによって、リモートコード実行もしくは、アプリケーションのクラッシュを導くターゲットにされる可能性がある。
       この脆弱性のうちの二つ(CVE-2015-7086, CVE-2015-7085)は、匿名のセキュリティ研究者の功績である。他の五つ(CVE-2015-7087, CVE-2015-7088, CVE-2015-7089, CVE-2015-7090, CVE-2015-7117)は、Cisco TalosのRyan PentneyとRichard JohnsonによってAppleに通知された。
       Agile Information SecurityのPedro Ribeiroは、CVE-2015-7091バグを発見し、Clarified SecurityのJaanus Kpは、HP Zero Day Initiativeを通じてCVE-2015-7092をレポートした。  Appleは、このフローのどれもが、オンライン上で現在ターゲットにされていることを報道していなかった。
       ユーザは、Windows用のApple Software Updateツールを介して、もしくはAppleから直接ダウンロードすることでQuickTime 7.7.9を取得できる。
       このアップデートは、今年最初のAppleからのアップデートであり、昨年11月のiTune 12.3.2以来のWindowsシステム用Appleソフトウェアに関する最初のものである。

      VMwareが、共有フォルダ機能に関するセキュリティ アドバイザリをリリース
      BleepingComputer : News>Security (2016/01/07)
       VMwareは、VMware ESXi, Fusion, Player, Workstationが影響を受ける、Windowsベースのゲストの特権昇格の脆弱性に関するセキュリティ アドバイザリを発行した。VMwareのセキュリティ アドバイザリVMSA-2016-0001は、共有フォルダ機能中の脆弱性(CVE-2015-6933)が特権の昇格を攻撃者に許すので、攻撃者は通常以上にOSへのアクセスができるだろうと説明している。VMwareによるパッチは、この問題を解決するためにリリースされた。VMwareは、この脆弱性がホスト オペレーティングシステムには影響を与えず、ゲスト オペレーティングシステムだけに影響を与えると述べている。
       このパッチは、11.1.2以前のVMwareのWindows Workstation、Player、7.1.2より前のFusionバージョン、ユーザのパッチレベルに応じた様々なESXiバージョンに対して適用される。

        ・ パッチESXi600-201512102-SGをあてていないVMware ESXi 6.0
        ・ パッチESXi550-201512102-SGをあてていないVMware ESXi 5.5
        ・ パッチESXi510-201510102-SGをあてていないVMware ESXi 5.1
        ・ パッチESXi500-201510102-SGをあてていないVMware ESXi 5.0

       あなたが影響を受けるVMware製品のユーザであるなら、あなたは以下にリストされている関連するパッチで即座にアップデートするようアドバイスされている。

      VMware製品 製品バージョン 動作中 置き換え / 適用パッチ*
             
      VMware ESXi 6.0 ESXi ESXi600-201512102-SG**
      VMware ESXi 5.5 ESXi ESXi550-201512102-SG**
      VMware ESXi 5.1 ESXi ESXi510-201510102-SG**
      VMware ESXi 5.0 ESXi ESXi500-201510102-SG**
      VMware Workstation 12.x.x Any not affected
      VMware Workstation 11.x.x Any 11.1.2
      VMware Player 12.x.x Any not affected
      VMware Player 7.x.x Any 7.1.2
      VMware Fusion 8.x.x OSX not affected
      VMware Fusion 7.x.x OSX 7.1.2

      *) アップデートやパッチを適用した後、VMwareツールは、CVE-2015-6933を解決するために"Shared Folders" (HGFS、共有フォルダ)機能を含んでいる全てのWindowsベースのゲストにおいてアップデートされなければならない。詳細に関してはhttp://www.vmware.com/security/advisories/VMSA-2016-0001.html#sthash.2rpN8XTR.dpを参照。

      狡猾にブービートラップされた請求書マルウェアが、日本の銀行口座を空にしている
      The Register : Security (2016/01/08)
       IBMのX-Forceセキュリティ チームは、日本の銀行顧客を餌食にしている新しいマルウェアについて警告している。この汚らわしいソフトウェアは、十分にステルスなので、大変多くのアンチウィルスソフトを回避すると、The Registerは告げられた。
       日本の銀行は、大多数のサイバー犯罪者にとって相容れない言語を使用しているために、ソーシャル エンジニアリング トリックを実行することが困難なため、犯罪者にとって優先度は低い。そうは言っても、この日出づる国は、攻撃増加の渦中にあり、そして、この最新のマルウェアは、とりわけ巧妙である。
       このスカムは、注意深く狡猾な日本語eMailを使用している。このメールは、表面上はロシアの .ru ドメインから発生しており、ZIPファイルを含んでいる。このインチキの請求書を含むフォルダはまた、Rovnix malware kit(暗黒のフォーラムで循環し始めた複雑なアプリケーション パッケージ)も含んでいる。
       Windows PCが感染すると(通常、不運なユーザがブービートラップされた請求書を開くことが、このマルウェア実行の引き金となる)、この汚らわしいソフトウェアは、14の日本の銀行のログインWebページにJavaScriptを挿入する。感染した顧客が、この堕落させられたページを介して彼らの口座にアクセスしようとすると、この悪質なスクリプトは、二要素認証を破ることのできる中間者攻撃を実行する。そして、最終的には、犠牲者の蓄えへのアクセスを取得する。
       ある場合では、IBMの研究者は、このマルウェアが特定のAndroidアプリケーションをダウンロードするように犠牲者に要求することを発見している。このアプリケーションは、スマートフォンに送信される二要素認証のテキストを掻っ攫う。
       Rovnixは、広範に拡散しているわけではない。IBMによれば、このマルウェアの特別な設定は、54のアンチウィルス製品中僅か4つにしか検出させないでいる。但し、シグネチャ ファイルは現在追加されている。
       「日本の金融部門が、攻撃下にあることは明らかである。これは、現在、日本と東ヨーロッパのサイバー犯罪者にとって儲けになるターゲットとして認識されている」と、Big Blueは発言している。
       「IBM X-Forceの研究者は、Rovnixが日本で攻撃を継続し、このキャンペーンを強化すると予想している。我々はまた、日本と東ヨーロッパ内から別の隠密裏のマルウェア ギャングが、日本において財政的実体を目標とするのを見ると思っている。」

      来週の水曜日(【訳注】 日本は木曜日)以降Internet Explorerの使用を停止しよう
      Bitdefender : HOTforSecurity (2016/01/07)
       IE 11採用者には、晒されている特定の脆弱性を放置したまま、Internet Explorerのバージョン 8, 9, 10のサポートが終了するまで、あと5日を残すのみ。控えめな話ではなく、Internet Explorerは、長年に渡り多くの緊急の脆弱性(リモートコード実行、特権の昇格、情報漏洩、セキュリティ機能のバイパス)で苦しんできたという、かなりの評判を持っている。

      サポートされなくなったIEを使用するセキュリティ リスク

       Microsoftは、およそ一年前にサポート終了日をアナウンスしたが、使用統計に基づくと、数百万の人々が依然としてサポート対象外のブラウザでインターネットをブラウズしている。W3Schoolによると、2015年12月時点で、Internet Explorerは、世界で使用されているブラウザの第4位であり、市場占有率12.5%である。

       より具体的には、過去12ヶ月で、IE 9の市場占有率は、0.88%、IE 10は、0.85%であるが、IE8の市場占有率は 1.13%あると、StatCounterはレポートしている。

       もう直、機能しなくなるブラウザに関する詳細についてもう少し:

      Internet Explorer 8 - 2009年にリリースされた。当時、Windows XP上で稼働するIEの最新バージョンであり、Vista, Windows 7, Windows Server 2003, 2008, 2008 R2でサポートされた。

      Internet Explorer 9 - 従前とは異なるメジャーなバージョン(Windowsの如何なる特定のバージョンのリリース スケジュールに拘束されない)として、2011年03月14日に一般にリリースされた。

      Internet Explorer 10 - Windows 10のDefaultブラウザ。2011年に始めてアナウンスされた。

       2015年では、Internet Explorer 9から11までは、使用されているセキュリティ上最も脆弱なソフトウェア プログラムの中の第7位にランクされた。Mac OS X, iPhone OS, Flash Playerが、このランクのTOP3であることを考えれば、最悪のポジションというわけではない。
       IE中に発見された231の脆弱性の25%以上が、リモートコード実行(攻撃者が特権で任意のコードを実行したり、あるいは、DoS攻撃を発生する脆弱性)である。
       これが、Microsoftが、新しいInternet Explorer 11にアップデートすることを推奨している理由の一つである。

        Internet Explorer 11は、今までのバージョンより安全であると、Microsftは発言している。「例えば、独立系セキュリティ企業NSS Labは、2010年に、Internet Explorer 8が、ソーシャルエンジニア マルウェアのおよそ85%をブロックしていることを発見した。より最近のレポートでは、Internet Explorer 11は、99%ブロックしているとレポートしている。SmartScreenと拡張保護モード(Enhanced Protected Mode)で、Internet Explorer 11は、明らかにリスクを減少している。」

       しかし、我々は、IE11が100%安全ではないことを見てきている。2015年07月、Hacking Teamが攻撃を受け、大量の機密情報が漏洩した(CVE-2015-2425)。これは、IE 11の0-Dayの脆弱性であり、この脆弱性の悪用は、IE 11をロードの度にクラッシュさせることができ、特定の特権で、システム上で任意のコードを実行することができた。

      ホームユーザ対企業顧客

       ホームユーザに関しては、大変簡単である。自動アップデートをONにして、実行されることを待っているだけでいい。自動アップデートをONにするには、コントロールパネルのWindows Updateで自動アップデートをONにする。
       小規模の企業と大企業に関しては、アップグレードする費用(必要なら、Webアプリケーションのテストと修復が必要なために)が発生する。支援のために、Microsoftは、Internet Explorerの互換性管理に関するヒントのような幾つかのリソースを追加している。しかし、これらの多くは、彼らの宿題であることを示しており、100%統合のための準備であることは、時が経てば分かることである。

      【訳注】 Sophos NakedSecurityより

       Windowsのデスクトップバージョンに関しては、あなたのIEのバージョンは以下の何れかのはずである。

      Windowsのバージョン: 現在、公式のIEのバージョン:
      Windows 10 Internet Explorer 11
      Windows 8.1 Internet Explorer 11
      Windows 7 Internet Explorer 9, 10, 11


      FirefoxのSHA-1締め出しの影響について
      The Register : Security (2016/01/07)
       Mozillaは、Firefoxユーザが思っている以上にWebから疎外されるだろうと警告した(現在、Firefoxは弱体なSHA-1を使用する新しいHTTPS証明書を拒否している)。
       あなたが幾つかのアンチウィルス製品と共にFirefoxを使用したり、悪質な物に関するトラフィックを調査する製品を取り付けているネットワーク上でFirefoxを使用したり、古くて質の悪いSHA-1で署名されたSSL認証を使用しているサイトをFirefoxで訪問したりすると、このブラウザは、そのWebサイトへのアクセスを拒否するだろう。
       このハッシング アルゴリズムが問題を含んでいるために(例えば、盗聴者は、あなたに全く分からない形で、あなたをスパイするためにこの認証に手をつけることができる)、Firefoxは、2015年の年末以降に発行されたSHA-1で署名されたSSL証明書を拒否している。
       誤解の無いように言うと、Firefoxは、新しいSHA-1証明書を潰すことだけをサポートしているだけだが、これは結果的に、古いSHA-1認証もまた拒否すること可能性がある。そして、新しい認証の全ては、SHA-256もしくは、それ以上のものを使用することが想定されている。
       「特定の中間者デバイス(セキュリティ スキャナやアンチウィルス製品を含む)の背後にいるFirefoxユーザに関しては、この変更は、HTTPS Webサイトへのアクセス能力を削除した」と、セキュリティ エンジニアRichard Barnesは説明している。
       「ユーザがHTTPSサイトに接続しようとしたとき、この中間者デバイスはFirefoxに、サーバの実際の証明書の代わりに、新しいSHA-1証明書を送信する。FirefoxはSHA-1証明書を拒否するので、これは、サーバに接続することはできない。」
       これが問題になっても、パニックになるなくていい。URLバーに about:config をカット&ペーストして[Enter]キーを押しなさい。次に、“security.pki.sha1_enforcement_level”の値を 0 に変更しなさい。これで、SHA-1アクセスが再び実行されるようになる。けれども、一つのセキュリティ上の問題(悪意あるトラフィックをフィルターすることを不可能にした)と他のこと(確実に、HTTPS接続の完全性を検証することができないこと)をトレードしていることに気をつけなさい。
       あなたのセキュリティ デバイスが問題を発生している場合、Barnesは、このソフトを最新のバージョンにアップデートするように示唆している。これは、多くのベンダがSHA-1を放棄しているためである。Microsoft, Google, Facebookは全て、SHA-1を見捨てたし、他の技術チームなどは、サッサと先例に従っている。  SHA-1ハッシュが、理論的には攻撃に対して開かれていることは、以前から分かっていた。10月に、このことは、$75,000(約 900万円)のクラウドコンピュータ資金というドラマティックな形で証明された。今、これは、ピニャータ(【訳注】 メキシコや他の中・南米の国の子供のお祭り(誕生日など)に使われる、中にお菓子やおもちゃなどを詰めた紙製のくす玉人形(Weblioより))の中のガラガラヘビ同様の人気者として流行っている。

      笑い事では無いCryptoJoker身代金要求型マルウェア
      BleepingComputer : News>Security (2016/01/03)
       新しい身代金要求型マルウェアが発見された。このマルウェアは、CryptoJokerと呼ばれAES-256暗号化を使用してデータを暗号化し、犠牲者のファイルの復号にBitcoinで身代金を要求する。この身代金要求型マルウェアは、MalwareHunterTeamと呼ばれるセキュリティ研究者のグループによって発見された。このチームは、新しいセキュリティ上の脅威を発見し、その脅威に関する情報をリリースするミッションを所有している。CryptoJokerは、現時点で広範に配布されているわけではないが、将来、大拡散する可能性のある完全に機能的な身代金要求型マルウェアである。
       CryptoJokerのインストーラは、PDFファイルに偽装している。これは、おそらくeMailフィッシング キャンペーンを介して拡散することを意味していると思われる。このインストーラが実行されると、このインストーラは、%Temp%フォルダ中に沢山の実行ファイルを生成し、%AppData%フォルダ中に一つの実行可能ファイルを生成する。これらのファイルは夫々、コマンド&コントロールセンターへの情報の送信、アクティブなRegedit(レジストリエディタ)とTaskmgr(タスクマネージャ)プロセスを調査し、それらを終了する、ロックスクリーンを可視にし、他のアクティブ ウィンドウの上に配置するような様々なタスクを実行する。以下にRegeditとTaskmgrを調査し終了させるために使用されているコードの断片を掲げる。

      CryptoJokerは犠牲者のデータを暗号化する時、特定の拡張子の付いたファイルに関して犠牲者のコンピュータの全ドライブ(マップされているネットワークドライブを含む)をスキャンする。ターゲットにしている拡張子を発見すると、そのファイルを暗号化し、そのファイル名を変更し、ファイル名に .crjoker 拡張子を追加する。例えば、Dog.jpgは、Dog.jpg.crjoker になる。CryptoJokerがターゲットにしている拡張子のリストは以下である。

        .txt, , .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .db, .docm, .sql, .pdf

       犠牲者のデータを暗号化している間に、CryptoJokerはまた、server6.thcservers.com に配置されている、コマンド&コントロールサーバに情報を送信する。CryptoJokerによって送信される情報は、日付、犠牲者のホスト名、ユーザ名、マシン名が含まれている。この情報を送信するために使用されているコードを以下に示す。

       インストレーションプロセスの一部として、CryptoJokerは、net.bat と呼ばれるバッチファイルを%Temp%フォルダに作成する。このバッチファイルはシャドー ボリューム コピーを削除したり、Windowsの自動スタートアップ修復を無効にするマンドを実行する。これは、犠牲者がファイルを回復するためにシャドー ボリュームを使用することを不可能にする。このバッチファイルを介して実行されるコマンドは以下である。

        vssadmin.exe Delete Shadows /All /Quiet
        bcdedit.exe /set {default} recoveryenabled No
        bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
        vssadmin.exe delete shadows /all /quiet

       最後に、この身代金要求型マルウェアは、英語とロシア語の両方で指示を表示する小さなウィンドウを表示する。この指示は、犠牲者が、支払い指示を受け取るために file987@sigaint.org, file9876@openmail.cc, file987@tutanota.com にeMailしなければならないと述べている。eMailを送信する時、あなたは、このウィンドウ中に表示されている、RSAで暗号化されたテキスト文字列を含める必要がある。この文字列は、%Temp%\README!!!.txt から読み込まれている。このマルウェア開発者は、次に、身代金額と他の指示で対応してくる。

       この脅迫状は、あなたが %Temp%\WinDefrag.exe プロセスを終了した場合を除いて、犠牲者が開いているアプリケーション ウィンドウの最前面に居座る。
       この時点で、CryptoJokerによって暗号化されたファイルを無料で復号する方法は知られていない。このマルウェアがオンライン上で大循環でリリースされ始めたなら、この実行ファイルは、犠牲者のファイルを修復すための可能な方法に関して、より詳細に検証されることになるだろう。

      CryptoJoker関連ファイル

        ・ %Temp%\crjoker.html
        ・ %Temp%\drvpci.exe
        ・ %Temp%\GetYouFiles.txt
        ・ %Temp%\imgdesktop.exe
        ・ %Temp%\new.bat
        ・ %Temp%\README!!!.txt
        ・ %Temp%\sdajfhdfkj
        ・ %Temp%\windefrag.exe
        ・ %Temp%\windrv.exe
        ・ %Temp%\winpnp.exe
        ・ %AppData%\dbddbccdf.exe
        ・ %AppData%\README!!!.txt22

      CryptoJoker関連レジストリ エントリ

        ・ HKCU\Software\Microsoft\Windows\CurrentVersion\Run\winpnp      %Temp%\winpnp.exe
        ・ HKCU\Software\Microsoft\Windows\CurrentVersion\Run\drvpci      %Temp%\drvpci.exe
        ・ HKCU\Software\Microsoft\Windows\CurrentVersion\Run\windefrag      %Temp%\windefrag.exe


      Ransom32 : 最初のJavaScript身代金要求型マルウェア
      Emsisoft : Blog (2016/01/01)
       SaaS(Software as a service、【訳注】 ソフトウェアを通信ネットワークなどを通じて提供し、利用者が必要なものを必要なときに呼び出して使うような利用形態のこと。サービス型ソフトウェアとも呼ばれる(e-Words))は、多くのソフトウェア企業が、彼らの今日のビジネスを処理する方法の比較的新しいモデルであり、しばしば大成功している。それ故、マルウェア開発者やサイバー犯罪者が、彼らの極悪な目的に、このモデルを採用しようとすることは驚くことではない。ここ数年、非常に沢山のこれら「サービス型の身代金要求型マルウェア」(“Ransomware as a Service”)キャンペーンが現れている。例えば、Tox, Fakben, Radamantである。今日、我々は、これらキャンペーンの最新のものにスポットライトをあてる。

      Ransom32

       一瞥して、Ransom32は、多くの類似のマルウェア キャンペーンの中でも、ありふれたものの様に見える。サインアップは、Torネットワーク中の非表示のサーバを介して取り扱われている。サインアップは、身代金要求型マルウェアによって定められた資金を送るためのBitcoinアドレスだけである。


        あなた用にカスタマイズされた身代金要求型マルウェアを取得するために必要な唯一のことは、身代金を送るためのBitcoinアドレスである

       あなたのBitcoinアドレスを入力すると、あなたは味気ない管理パネルへのアクセスを取得することになる。この管理パネルにおいて、あなたは様々な統計(例えば、既にどのくらいの人々が身代金を支払ったのか、あるいは、どのくらい多くのシステムが感染しているのか)を得る。あなたはまた、あなたの「クライアント」(現実のマルウェアを指す彼らの隠語)を設定することもできる。ここで、あなたはマルウェアが要求するであろうBitcoinの量、並びに、このマルウェアがインストールの間に表示すると思われるインチキのメッセージボックスのような設定パラメータを変更することが可能である。


        Webインターフェースは、どのくらい多くのシステムが、このマルウェアに感染させられているのか、このマルウェアが如何ほどのBitcoinを得たのかを確認することが可能であり、そして、このマルウェアを更にカスタマイズすることが可能である。

       “Download client.scr”をクリックすると、指定に応じたマルウェアが生成され、22MBを超えるマルウェア ファイルのダウンロードが始まるだろう。この時点で、Ransom32は、他のマルウェアと大きく異なるものであることが明白である、そして、これは、サイズで1MBを超えることはない。事実、殆どの身代金要求型マルウェアの製作者は、小さなサイズの悪意あるファイルを使用しており、これをアンダーグラウンドのハッカー コミュニティで彼らのキャンペーンを広告するときのある種の特徴あるセールスポイントとしている。Ransom32は、明らかに我々の興味を惹いた。

      この巨大なものの皮を剥ぐ

       更に検証したところ、このダウンロード ファイルは、WinRAR自己解凍アーカイブであることが判明した。


        Ransom32 SFXアーカイブの内容

       このマルウェアは、WinRAR中に実装しているスクリプト言語を使用している、これは、自動的にアーカイブの内容をユーザの一時ファイル ディレクトリに解凍し、アーカイブに含まれる“chrome.exe”ファイルを実行するためのものである。このアーカイブ中のファイルは、以下の目的を持っている。

        ・ "chrome"は、GPLライセンス契約のコピーを含んでいる。
        ・ “chrome.exe”は、パッケージ化されたNW.jsアプリケーションであり、実際のマルウェアコード並びに、このマルウェアを実行するために要求されるフレームワークを含んでいる。
        ・ “ffmpegsumo.dll”, “nw.pak”, “icudtl.dat”, “locales”は、適切に機能するためにNW.jsフレームワークによって要求されるデータを含んでいる。
        ・ “rundll32.exe”は、Torクライアントの名前を変えたコピーである。
        ・ “s.exe”は、Optimum X Shortcut(デスクトップとスタートメニュー ショートカットを作成し取り扱うためのユーティリリティ)の名前を変更したコピーである。
        ・ “g”は、このマルウェアのWebインターフェースで設定された、このマルウェアの設定情報である。
        ・ “msgbox.vbs”は、カスタマイズ可能なポップアップメッセージを表示する小さなスクリプトであり、設定されたメッセージボックスを表示するために使用される。
        ・ “u.vbs”は、与えられているディレクトリ中の全てのファイルとフォルダを列挙し、そして、削除する小さなスクリプトである。


        この"g"ファイルは、JSONフォーマットによる、このマルウェアの設定を含んでいる

       このパッケージ中で今迄に最も興味ある部分は“chrome.exe”である。最初の調査時に、“chrome.exe”は、実際のChromeブラウザのコピーとしては疑わしく見えた。適切なデジタル署名とバージョン情報の欠けていたことが、このファイルが、実際のChromeブラウザではないことを仄めかしていた。更なる調査で、このファイルが、パッケージ化されたNW.jsアプリケーションであることが判明した。

      身代金要求型マルエアには最先端のWebベース テクノロジが使用されている

       ところで、厳密にはNW.jsとは何なのか? NW.jsは、あなたがJavaScriptを使用して、Windows、Linux、MacOS X用の通常のデスクトップ アプリケーションを開発することを可能にする必須のフレームワークである。これは、人気のあるNode.jsとChromiumプロジェクトに基づいている。JavaScriptは、通常あなたのブラウザ中でシッカリとSandbox化されており、稼働中のシステムに実際に接触することはできないが、JavaScriptは、C++やDelphiのような「通常」のプログラミング言語が実行できる殆ど全てのことを実行可能なので、NW.jsは、多くのことを制御可能であり、基盤となるオペレーティング システムと対話的であることが可能である。開発者の便益は、それらが、彼らのWebアプリケーションを比較的に簡単に通常のデスクトップアプリケーションに変換できることである。通常のデスクトップ アプリケーション開発者に関しては、NW.jsが異なるプラットフォーム上で同一のJavaScriptを実行できることに便益がある。NW.jsアプリケーションは、(【訳注】 OS別に記述することなく)一回記述するだけで、即座にWindows、Linux、MacOS Xで使用可能になる。
       これはまた、少なくとも理論的には、Ransom32が、LinuxやMacOS X用に簡単にパッケージ化されることができることを意味している。この時点で、そのような如何なるパッケージも確認していない、このことは、少なくともこの時点では、Ransom32は、ほぼ間違いなくWindows用だけである。このマルウェア作者にとっての別の便益は、NM.jsが正当なフレームワークでありアプリケーションであることである。このマルウェアが作成されて凡そ2週間経って、シグネチャによる検出率は依然として恐ろしく悪い(【訳注】 VirusTotalの、Ransom32の"chrome.exe"検出率は、12月31日時点で、3/54と大変悪い)。
       Ransom32がシステムに到着し実行されると、まず、その全てのファイルは一時ファイルフォルダに解凍される。そこから、Ransom32は、%AppData%\Chrome Browser”ディレクトリ中に自分自身をコピーする。Ransom32は、“s.exe”ファイルを使用して、間違いなく、このマルウェアがブート毎に実行されるように“ChromeService”と名付けられたショートカットを、ユーザのスタートアップ フォルダ中に作成する。このマルウェアは、次に、ポート85上のTorネットワークの内部に隠されているコマンド&コントロール サーバ(C2サーバ)への接続を確立するために、バンドルされているTorクライントを実行する。感染させられたユーザが身代金を送ることになっているBitcoinアドレスと、暗号化のために使用されている暗号鍵との交換について交渉するために、C2サーバへの接続が成功した後、このマルウェアは最終的に脅迫状を表示するだろう。


        このマルウェアによって表示される脅迫状

       次に、犠牲者のファイルの暗号化を開始する。以下の拡張子の付いた全てのファイルがターゲットにされている。

        *.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat

       このマルウェアは、ファイルが、以下の文字列を含むディレクトリ中に配置されている場合、これらのファイルを暗号化しようとしない。

        ・ :\windows\
        ・ :\winnt\
        ・ programdata\
        ・ boot\
        ・ temp\
        ・ tmp\
        ・ $recycle.bin\

       ファイルは、ブロックモードとしてCTRを使用し、128 bitキーでのAESを使用して暗号化される。新しいキーは各ファイル用に生成され、このキーは、RSAアルゴリズムと、最初の通信の間にC2サーバから取得される公開鍵を使用して暗号化される。


        Bitcoinアドレス(紫)と公開鍵(長さ、黄色。鍵、緑)を交換するためにRansom32と、そのコマンド&コントロールサーバ間でのカスタム プロトコル エクスチェンジの一部

       暗号化されたAESキーは、今暗号化されたファイルの内部にAES暗合されたデータと一緒に格納される。
       このマルウェアは、このマルウェアの作者が復号する能力を持っていることを証明するために、一つのファイルを復号する機能を提供している。このプロセスの間に、このマルウェアは、暗号化されたAESキーを、選択されているファイルから、C2サーバに送信し、戻されてきた、復号されたそのファイル用のAESキーを取得する。

      Ransom32から、どのようにして身を護るのか?

       我々の最近の身代金要求型マルウェアの記事中の説明として、最高の防御は、実績ある強力なバックアップ戦略である。何度も繰り返すが、Emsisoft Anti-MalwareとEmsisoft Internet Securityによって使用されているbehavior blocker(挙動ブロック)テクノロジは、事前の防御であることを証明している。我々の全てのユーザは、シグネチャの必要なくRansom32や他の数百の別の身代金要求マルウェアの変種から保護されている。


        Emsisoft Anti-MalwareとEmsisoft Internet Securityのユーザは、behavior blockerによって、Ransom32や他の身代金要求型マルウェア ファミリーから保護されている

       我々は、身代金要求型マルエアを、過去数年における最大の脅威の一つと考え、我々のユーザを可能な限り保護するために、今年、我々の優秀な実績を継続するためにベストを尽くすことを計画している。
       それに関連して、EmsisoftのRansom32マルウェア研究チームは、全ての者が幸せであり、新年がマルウェア フリーであることを希望している。
       大事なことを言い残したが、我々は、この脅威に対して、最初に我々の注意を向けさせたBleepingComputerの友人に感謝する。我々はまた、特に、BleepingComputerのxXToffeeXxに(Ransom32を研究し、リバースエンジニアリングをしている間の、彼女のかけがえのない助力に関して)感謝を表明する。

      rtble>