…近いうちに「作ってみた」でも書いてみるか…。
トレンドマイクロさんのblogでは、対策も書かれている。考え方は悪くないけど、例がまずい。以下、対策の引用。強調と着色部分は筆者による。 定期的なバックアップと「3-2-1のルール」の実践 ファイルを定期的に取ることで重要な情報を保護することができま…
Windowsで脆弱性というと、よく「MS16-0xx」とか「CVE2016-xxxx」という感じで管理されているものを想定する人もいる「かもしれない」。 でも、記事を読むと「psexec」という文字列が出て来たり、「ログイン情報窃取」とあるので、地産地消*1が可能な設定(…
記事をざっと読んで「うわこれヒドイ」と思った点は大きく2つ。 標的型攻撃の手法に類似した方法で感染拡大を試みる 通常のデータファイルだけではなく、バックアップファイルの破壊も試みる で…記事をもとに、ざっと図を書き起こしてみた。 図中(1)で感染し…
トレンドマイクロさんのblogや、MicrosoftさんのThreat Research & Response Blogに、またも頭を抱える事例が…。 その名もSamas。
4月1日は、全く余裕がなかった…
「カネさえ払えば復元できるならば」と思う人はいいけど、何度も何度も引っかかるようなケースも想定できるので、その度にカネ払うのはちょっとどうかと…なので、そんな(Ransomware被害から復旧するために攻撃者に支払う)カネがあるならば、そのカネを使っ…
トレンドマイクロさんの記事では、身代金を支払うべきでは「ない」理由として以下の3つを挙げている。 「身代金」を払ってもサイバー犯罪者が約束を守る保証はどこにもない 身代金の支払いはサイバー犯罪者に資金を与えることになる 身代金を支払ったことが…
上記のことより、広域に流通している/よく発見されるランサムウェアは、実はカネさえ払えば(自身のサービスの信用を維持するために)確実に復号できるのではないか?という仮説が成り立つ。 致命的なバグ(本来意図した復号機能を提供できない/暗号化や復…
このような場合はもはや論外でw、RaaSユーザはまずそのプロバイダは使わない。 自分に非がないのに自分が儲けられないってのは普通に嫌だろうから。
RaaSユーザの意図的な行動により、Ransomware被害者が「カネを払ってもデータが元に戻らない」となった場合、最たる被害者は Ransomware被害者よりもRaaS提供者になる可能性が高い。 これは、復号できないがため、カネを払わずバックアップから戻すという(…
こんだけ流行ってる状況を見ると、ランサムウェアは、すでに犯罪者ネットワークでは認知されたビジネスモデルになっていると考えるのが自然だ。 そして、ランサムウェアの生成から配布までをサービスとして提供するRansomware as a Service(RaaS)も出始めて…
まあ、本当だと思う。ただこれは、ソフトウエアのバグなどに起因して、(攻撃者側が)戻す意図があってもできないケースなどもありうるため、どの程度「元に戻らない」のかはよくわからない。
いろいろと書いてるうちに、「こいつは犯罪者/攻撃者の片棒を担ぐのか?」と言われそうなことも出てくるかもしれませんが、そんなつもりは1ビットもありません。 あくまで「客観的」「中立」にものごとを考察した結果であって、そんなたいそうな意図は全く…
最近猛威を振るっているランサムウェアだけど、トレンドマイクロさんの記事で「身代金を支払う」ことはおすすめできないというのが書かれていたりして、ちょっと気になった…。
これは、後日追記しました。 ただ、Ubuntuで見たプロパティレベルでの確認に留まっており、Windows上で見たらどうなるかは確認してません。
これは、「同じ検体がすでにスキャンされていた」つうことで、あえてスキャンをしなかったためにこうなりました。 ハッシュ値で比較して「すでにあるぜ」だったので。 VirusTotalのファイル名の欄は、すでにスキャンされていたファイル名がこれだった、とい…
ちうてもしょうがないので、補足などなど。
一応補足。
10年以上のマルウエア入り景品騒動などでも類似の事案があり、こちらは調査中のまま(結局原因がわかったのかどうかも不明)だけど、この件で見つかったのは、WORM_QQPASS.ADHだったようだけど。マルウエアが空気感染するならばまだしも、そんなハイパーテク…
本格的な解析はまた後日やるとして、autorun.exeの件続報。ロッキーメモリがリリースされたのは2009年2月。 で、autorun.exeのタイムスタンプ(更新日時)は2007年。 で、このファイルがVirusTotalで解析されたのは2013年。 https://www.virustotal.com/ja/f…
これ、実は2個1000円未満で売られてたモンなのだけど、メーカーも代理店もすでになかったり。 もしかして、出荷したモンがウイルスに感染しているのが発覚して取引停止にでもなったか?とか詮索したくなる…。まぁ、セキュリティなんとかしなきゃと思って使い…
autorun.exeをVirustotalに放り込んでみたところ。 真っ黒じゃねーか!
autorun.infの中を見てみたところ。 えーと、なんかRecyclerの中のファイルautorun.exeを実行しようとしてますよ…
なんとなく嫌な予感がしたので、Ubuntuマシンで開いてみた。 新品のはずなんだけど、autorun.infと意味ありげなRecyclerフォルダがいますよ…
機械式4桁番号を設定してデータを守るLockyメモリというUSBメモリを買ってみた。まぁ、なんかおもしろそうだったしw。まぁ、ネタとして買ってみたわけだけど、まさかそれ以上のネタ拾っちゃうとは… あくまでリンク先は「Lockyメモリ関連で最近見た記事」で…
やってもうたw2016年3月21日追記:記述が足りないなぁというところもあった&Redditで「釣りか?」と書かれてしまってたのもあり、少しautorun.exe関連の追加情報(3/18)とかなぜVirusTotalでの日付が古いのか(あたりを中心に補足してます。
人数投入を否定するわけではないけど、それは工程の見直しが前提にあってのこと。 その前提を満たすにも、ある程度の時間を見込む必要があるし、そもそも開発には期間が必要。 2人がかりで5日のものを、5人がかりで2日でやるとかいう無茶はそもそもないし、…
「設計および工程の最適化によって工数は最小化されるが、限度もある」でも書いたが、最初の時点である程度勝敗が決している部分がある。ここで主に期間に係るところを見直す必要があるとなると、工程全体の見直しが必要というのが今のところの持論。「人数…
Day2の期間3年のうち10ヶ月が試験だったとして、多分この期間は短縮はできない。 おそらくは各工程を最適化し、かつ各工程で発生しうるリスクも織り込んだ結果だろうからだ。システム統合の「正攻法」という書籍の目次には、「成否のポイントは開始前にあっ…