ランサムウェア総合スレ Part6 [無断転載禁止] (901レス)
上下前次1-新
843: (ワッチョイ cd2c-wUNw) 07/30(火)19:34 ID:ZeFCabgZ0(2/3) AAS
BD-Rでも使えば良いよ
autorun.infの書き換え出来ないからランサム本体実行しないと動かない
844: (オッペケ Sr05-a5Jo) 07/30(火)20:12 ID:OGW/B9+Fr(1) AAS
ふと思ったけどランサムウェア感染潜伏期間にバックアップとったらバックアップも感染する?それともランサムウェア実行されてないからバックアップとってから感染元を初期化してマルウェア消してから接続でなんとかなる?
845: (ワッチョイ cd2c-wUNw) 07/30(火)22:30 ID:ZeFCabgZ0(3/3) AAS
ランサム次第だけど一般にばら蒔くようなのは潜伏期間自体無いよ
846(1): (ワッチョイ fa0f-a5Jo) 07/31(水)21:21 ID:gNUfCHWj0(1) AAS
そうなん?ランサムウェアは潜伏期間あるのがデフォだと思ってた
847: (ワッチョイ a5a8-lpDC) 07/31(水)22:28 ID:IxcYpvTc0(1) AAS
今時バックアップにDVD使えとか言ってる時点で、十数年前でそいつの知識止まってる老害やろ
相手にしたらあかんわ
848(1): (ワッチョイ cd2c-wUNw) 08/01(木)00:08 ID:0XdRLCWh0(1/3) AAS
>>846
実際には気付かれないように時間かけてバックグラウンドで暗号化してるだけ
まぁ、バックグラウンドでウイルス動いてることなんて当たり前のことだからそれを潜伏期間と言うかは微妙
一般と企業ではランサム感染の手順が違うしな
849(1): (ワッチョイ fa0f-a5Jo) 08/01(木)02:02 ID:tXNb8BdF0(1/3) AAS
>>848
裏で暗号化かーどっかでみたサイトだと潜伏期間がありネットワークやメールで広がりある程度掌握したらランサムウェア活動開始して暗号化みたいに載ってた
一般だとメールか脆弱性抱えたまま偽サイトなどのウェブにアクセス、怪しいファイル実行みたいなイメージあるけどあってる?
850: (ワッチョイ fabc-st/M) 08/01(木)10:22 ID:4A+W4i9J0(1) AAS
マルウェアの潜伏期間ってなんだ?
感染症のイメージで症状が出ると思ってるんだろうな
851: (ワッチョイ 6582-OJQJ) 08/01(木)13:10 ID:y2oIOVcF0(1) AAS
書き換え不能のBD-Rや書き換えに時間がかかるテープメディアにバックアップするのは
感染後にファイルが無事だろうからバックアップ先には適しているかも。
852(1): (ワッチョイ cd2c-wUNw) 08/01(木)14:48 ID:0XdRLCWh0(2/3) AAS
>>849
そういうのはほぼ企業向けのランサム仕込む時だな
企業の社員が使ってるPCのメールとかにウイルス送ったり内部感染させるやつ
大体イメージはあってる
一般だとブラウザの更新頻度が多くて脆弱性も突きにくいからユーザー誘導して実行させるのが多い
あとは話が戻るが古いルーターとかあんまり素人が気にしない部分掌握してからアタックかけるとか
PCじゃなくクラウドのIDとパスワード調べて中身だけ暗号化するとかもある
853(1): (ワッチョイ fa0f-a5Jo) 08/01(木)16:14 ID:tXNb8BdF0(2/3) AAS
>>852
なるほど企業系か。ちなみに2つ聞きたいんだけど、
そういう実行させる感じのも見えないとこ暗号化してから15日~25日くらいしてから全部暗号化みたいな動きする感じ?
もう一つは自分ごとなんだけど第三者が◯◯.netみたいなマルウェア(?)にずっと反応されててこれなに?みたいな質問あったからスマホでキーワードで調べようとしたら間違ってアクセスしてしまって(サイトは404エラー表記なんだけどスマホのセキュリティアプリが反応していた)
あとからVirusTotalで調べたら94あるうちの2つが悪意ある、1つがフィッシングってなってた。
で、本題なんだけどフィッシング系のサイトでランサムウェア仕込むとかある?
アクセスしてから1週間たったけど今のところ何も無いけどなんか踏んでたら嫌だから初期化しようか迷ってる
854(1): (ワッチョイ cd2c-wUNw) 08/01(木)18:45 ID:0XdRLCWh0(3/3) AAS
>>853
一般のPCはUsersフォルダ以下を暗号化するからそもそも時間がかからないことが多い
ディスク全体じゃなく画像や文書の入ってそうな部分を暗号化してる感じ
多分ユーザーディレクトリの合計サイズとか測って即全体暗号化とか部分的とか動作変わると思うけど
情報収集のスクリプト入ってるならアイドル時や使用頻度の低いファイルから暗号化してるだろうな
即暗号化かどうかはランサムの性能次第としか言いようがないな
404なのはセキュリティが通信遮断したからじゃね?
ウイルス仕込むかどうかはフィッシングサイトの目的次第だな
セキュリティソフトが反応するからウイルス仕込むんじゃなくユーザーに情報入力させるのが殆どだし
ある程度すり抜けさせるならドロッパーに他のソフトと一緒に入れて誤魔化したりするけど
省3
855: (ワッチョイ fa0f-a5Jo) 08/01(木)20:29 ID:tXNb8BdF0(3/3) AAS
>>854
なるほど。一般は暗号化したら早いんだね。まあ言われてみたら企業と比べてファイルも少ないし当たり前か⋯とはいえ結局即暗号化か潜伏してから暗号化かはランサムウェア次第か。ありがとう
一応不明なアプリインストールはブラウザ側でブロックしていたけど古いAndroid10でアクセスしててそこが不安要素かな。ダウンロードフォルダみたけど変なAPKは入ってなかった
856: (ワッチョイ 7f19-ZHT7) 08/19(月)17:35 ID:wF5l4xnw0(1/2) AAS
また角川にサイバー攻撃するみたいな犯行声明出てるってポストをxでみたけど
ああいうポストにある画像って大丈夫なん?5ちゃんにもはられてたけどハッカーのサイトの画像だよね?ランサム仕込まれてたりしない?それともあれってそのまま画像保存したんじゃなくてスクショ?
857(1): (ワッチョイ 9f2c-2KWe) 08/19(月)18:40 ID:jH/YPicz0(1/4) AAS
スクショだろうけどビュアーに脆弱性が無いと画像からウイルス仕込むのは難しい
脆弱性があるのはほぼpng形式の画像処理だし
スクショとかだと大体はjpeg形式だから脆弱性突かれることは滅多にない
ウイルス添付させる方法でよくあるのはcopy /bコマンドで画像と圧縮ファイルを結合させてるやつかな
普通のウイルス対策ソフトなら手法が知れ渡ってるから検出されるけど
858: (ワッチョイ 7f19-ZHT7) 08/19(月)19:05 ID:wF5l4xnw0(2/2) AAS
なるほどちなみにスマホでみた場合ってどうなるん?ビューア次第?
859(1): (オッペケ Sr73-ZHT7) 08/19(月)19:37 ID:+xmGbZq8r(1) AAS
>>857
あれってサムネイル表示もみたことになるん?ブラウザだと強制的に小さくサムネ表示されるよね?仮にサムネでもランサム付きpng画像表示されたらアウトなん?
それとも開かなければセーフ?教えて偉い人
860: (ワッチョイ 9f2c-2KWe) 08/19(月)19:38 ID:jH/YPicz0(2/4) AAS
ビュアーかAPI辺りだな
861(1): (ワッチョイ 9f2c-2KWe) 08/19(月)20:03 ID:jH/YPicz0(3/4) AAS
>>859
殆どは画像元サイトがサムネ生成してないと元画像取得してる
サムネ生成してるサイトなら画像クリックするまでサムネだけだけど
専ブラとかは元画像取得してからサムネ生成してるパターンもあるから脆弱性あれば感染する
ツイッターとかはpng形式はそのままだけどjpeg形式ならURLにパラメーター付けないと大きい画像はオリジナルじゃなく生成された縮小版が表示されるからウイルスは含まないこともある
まあ、先読み機能やらサイトやソフト次第でサムネ仕様が違うから何とも言えん
862(2): (オッペケ Sr73-ZHT7) 08/19(月)20:08 ID:M+R2FeO6r(1) AAS
>>861
教えてくれてありがとう。ちなみに5ちゃんねるをChromeでみた場合だとどうなります?超開示スレで何個かpngサムネ表示されたけど今のとこはなんともないんだが心配…単純にクレカ情報や一般会員の情報追ってたら画像貼ってるやつがいてpngだった。もちろん開いてはいないけど下に小さくサムネは生成されていたんだよね
上下前次1-新書関写板覧索設栞歴
あと 39 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.010s