wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

2016-03-01から1ヶ月間の記事一覧

基本は「普通のセキュリティ対策」+「こまめなバックアップ」と「バックアップされたデータのオフライン保存」

Security

「カネさえ払えば復元できるならば」と思う人はいいけど、何度も何度も引っかかるようなケースも想定できるので、その度にカネ払うのはちょっとどうかと…なので、そんな(Ransomware被害から復旧するために攻撃者に支払う)カネがあるならば、そのカネを使っ…

額にもよるが、「身代金支払い」も視野に入れることで、対処の選択肢は広がるのではないか

Security

トレンドマイクロさんの記事では、身代金を支払うべきでは「ない」理由として以下の3つを挙げている。 「身代金」を払ってもサイバー犯罪者が約束を守る保証はどこにもない 身代金の支払いはサイバー犯罪者に資金を与えることになる 身代金を支払ったことが…

流行(普及?)しているランサムウェアは、実はカネさえ払えば確実に復元できるのではないか?という仮説

Security

上記のことより、広域に流通している/よく発見されるランサムウェアは、実はカネさえ払えば(自身のサービスの信用を維持するために)確実に復号できるのではないか?という仮説が成り立つ。 致命的なバグ(本来意図した復号機能を提供できない/暗号化や復…

「カネを払っても元に戻らない」のがRaaSプロバイダに起因する場合

Security

このような場合はもはや論外でw、RaaSユーザはまずそのプロバイダは使わない。 自分に非がないのに自分が儲けられないってのは普通に嫌だろうから。

「カネを払っても元に戻らない」のがRaaSユーザに起因する場合

Security

RaaSユーザの意図的な行動により、Ransomware被害者が「カネを払ってもデータが元に戻らない」となった場合、最たる被害者は Ransomware被害者よりもRaaS提供者になる可能性が高い。 これは、復号できないがため、カネを払わずバックアップから戻すという(…

ケーススタディ:ランサムウェアに感染してカネを払っても元に戻らないと何が起こる?

Security

こんだけ流行ってる状況を見ると、ランサムウェアは、すでに犯罪者ネットワークでは認知されたビジネスモデルになっていると考えるのが自然だ。 そして、ランサムウェアの生成から配布までをサービスとして提供するRansomware as a Service(RaaS)も出始めて…

「身代金を支払っても元に戻る保障はない」というのは本当か?

Security

まあ、本当だと思う。ただこれは、ソフトウエアのバグなどに起因して、(攻撃者側が)戻す意図があってもできないケースなどもありうるため、どの程度「元に戻らない」のかはよくわからない。

はじめに〜オレの記事は、犯罪者に利することを目的とするものでは「ありません」

Security

いろいろと書いてるうちに、「こいつは犯罪者/攻撃者の片棒を担ぐのか?」と言われそうなことも出てくるかもしれませんが、そんなつもりは1ビットもありません。 あくまで「客観的」「中立」にものごとを考察した結果であって、そんなたいそうな意図は全く…

ランサムウェア考察

最近猛威を振るっているランサムウェアだけど、トレンドマイクロさんの記事で「身代金を支払う」ことはおすすめできないというのが書かれていたりして、ちょっと気になった…。

autorun.exe のアイコンの話

Security

これは、後日追記しました。 ただ、Ubuntuで見たプロパティレベルでの確認に留まっており、Windows上で見たらどうなるかは確認してません。

VirusTotalのスキャン日付が古すぎる理由&ファイル名がランダムっぽい理由

Security

これは、「同じ検体がすでにスキャンされていた」つうことで、あえてスキャンをしなかったためにこうなりました。 ハッシュ値で比較して「すでにあるぜ」だったので。 VirusTotalのファイル名の欄は、すでにスキャンされていたファイル名がこれだった、とい…

釣りと言われても事実だし

Security

ちうてもしょうがないので、補足などなど。

Redditで釣り呼ばわりされてたので

一応補足。

ロッキーメモリの件の続報(2)〜どう考えても出荷前の工程で感染したとしか思えない…

Security

10年以上のマルウエア入り景品騒動などでも類似の事案があり、こちらは調査中のまま(結局原因がわかったのかどうかも不明)だけど、この件で見つかったのは、WORM_QQPASS.ADHだったようだけど。マルウエアが空気感染するならばまだしも、そんなハイパーテク…

ロッキーメモリの件の続報(1)〜やっぱ相当古いこのマルウエア

Security

本格的な解析はまた後日やるとして、autorun.exeの件続報。ロッキーメモリがリリースされたのは2009年2月。 で、autorun.exeのタイムスタンプ(更新日時)は2007年。 で、このファイルがVirusTotalで解析されたのは2013年。 https://www.virustotal.com/ja/f…

Lockyメモリ買ってみた(5)〜投げ売りの理由?

Security

これ、実は2個1000円未満で売られてたモンなのだけど、メーカーも代理店もすでになかったり。 もしかして、出荷したモンがウイルスに感染しているのが発覚して取引停止にでもなったか?とか詮索したくなる…。まぁ、セキュリティなんとかしなきゃと思って使い…

Lockyメモリ買ってみた(4)〜ビンゴじゃねえか!

Security

autorun.exeをVirustotalに放り込んでみたところ。 真っ黒じゃねーか!

Lockyメモリ買ってみた(3)〜なんだこいつわ…

Security

autorun.infの中を見てみたところ。 えーと、なんかRecyclerの中のファイルautorun.exeを実行しようとしてますよ…

Lockyメモリ買ってみた(2)〜虫の知らせ

Security

なんとなく嫌な予感がしたので、Ubuntuマシンで開いてみた。 新品のはずなんだけど、autorun.infと意味ありげなRecyclerフォルダがいますよ…

Lockyメモリ買ってみた(1)〜ネタとしてw

Security

機械式4桁番号を設定してデータを守るLockyメモリというUSBメモリを買ってみた。まぁ、なんかおもしろそうだったしw。まぁ、ネタとして買ってみたわけだけど、まさかそれ以上のネタ拾っちゃうとは… あくまでリンク先は「Lockyメモリ関連で最近見た記事」で…

大当たり!

やってもうたw2016年3月21日追記:記述が足りないなぁというところもあった&Redditで「釣りか?」と書かれてしまってたのもあり、少しautorun.exe関連の追加情報(3/18)とかなぜVirusTotalでの日付が古いのか(あたりを中心に補足してます。