トップ 最新 追記

ランサムウェア データ復号 日記


2016-07-01 Lockyがまた広がってます。

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


ランサムウェアのいろいろなタイプの
感染が広がっております。
良く問い合わせの多いのがLockyですね。
忙しい時期になりつつあります。
良いのか悪いのか
困った物です。
毎日、復元、データ復号します。

2016-07-03 locky、zcrypt、cryp1、cerber、crypzなどの拡張子のウイルス。

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


ランサムウェアには色々な種類が出てきた。
研究を始めた頃とは格段に増えて居る。
4年前はランサムウェアだけでなく、マルウェア全般を
見ていたのだ。何故、感染するのか、検体を
手に入れるだけでも苦労したものだ。
時代は進み、ワンクリック詐欺は殆どみない。
もの凄い悪質なマルウェアもいない。
皆、ランサムウェア側に流れたのだろうか。

2016-07-04 zcrypoを処理中です。

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


このウイルスはより進んだ技術を投入して
あります。解析も大変です。では、具体的には?
それは企業内の秘密ですが、今後もっと酷くなる予感が
します。vvvは2次感染、3次感染、4次感染まで引き起こし
大変な事になってました。これと同じように、
ワーム化し、感染を広げて行く事でしょう。
恐いはなしですが。

2016-07-05 ランサムウェアのメール量が多いです。

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


メールを監視していたら結構アラート出てました。
これは明日の感染も多いかもしれません。
皆さん気を付けてくださいね。
メールも巧妙になってますので、
つい開かぬように注視して下さい。

2016-07-06 zeptoはlocky

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


zeptoはlockyの亜種かと思いしらべたのですが、
どうも中身はlockyの様子です。
今後はlockyからzeptoに名前の変更になるのか。
この時期に何故?よく分かりません。

2016-07-10 ウイルスメールを送るのは土日はお休み?

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


ランサムウェアの元になるメールなのですが、
土日はお休みなんです。バラマキは非常にすくない。
月曜の夕方から金曜の夜中までが多いのです。
会社員みたいな役割です。
と考えますと、日本時間の夕方はEUの9時頃になります。
と言う事は犯人はEU方面?となりますが、
恐らく違うと思います。
あんまり書くとまた脅迫文くるから止めておこう。
Kill youはマジで勘弁してください。

2016-07-12 CryptXXX5.0

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


CryptXXXの新しいバージョンが出てきている。
[ファイル名の法則]32桁の英数字.7を含む5桁の英数字
これが最新のCryptXXXの拡張子です。
色々出てきますな。

2016-07-14 CryptXXX5.0の拡張子

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


CryptXXX5.0は拡張子に7が必ず含まれると
昨日書きましたが、どうも16進数のどの
数字でも当てはまるみたいです。
7が無いのが本日送られて来てあれ?
7はたまたまなの?
orz

2016-07-16 CERBER

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


CERBER(サーバーorセーバー)の新しいバージョンが
多く目立つようになりました。
zeptoとcerber、cryptzと並んでますね。
2年くらい前は1ウイルスが交代で
月に1度流行ると言う感じでした。
たったココ半年でしょうか。
こんなになったのは。
この先が恐いですね。
皆さんもバックアップはしっかり

2016-07-18 「Office文書のマクロは無効にしたままにし」

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


連休中もランサムウェアの事ばかり。
トレンドマクロの文章をあさっていたら、
「Office文書のマクロは無効にしたままにし」と
なんの為のマクロ機能なんだかですよね。
ソース
http://blog.trendmicro.co.jp/archives/13606
そのうち「エクセルのVBAを無効にして」と
始まりそうですね。
私どもが使用しているウイルス対策ソフトは
まぁ又今度の機会に。

2016-07-19 ランサムウェアの問い合わせ

_ こんばんは、ランサムウェアのデータ復旧中の岡田です。


かなり問い合わせは多いですね。
送られてくる荷物も多い。
全てナンバリングして写真を撮影し、
そして中身も撮影し管理します。
あまりにも大量なので、入庫と出庫管理を
きっちおこなっておりますので、
間違う事はありません。
保管庫にもALSOKに警備をお願いしてます。
倉庫単独の建物ではないので、
ラボ全体がALSOKですね。
事務所も自宅もALSOKです。
このALSOKは異常を感知すると速攻(5秒くらい)で、
各管理者に電話が来ます。頼もしいやら
恐いやら。凄いですよね。
ランサムウェアと関係ないお話でした。

2016-07-20 新種?

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


本日の見積の中に見たことのない拡張子の
ランサムウェアを見ました。
いろいろな解析をしましたが、何か変な感じが。
全てのストーリーは解明出来ておりませんが、
ブログに書けませんが、もしかしたらと言う物もあります。
さて、新種か!
詳しく分かったら報告します。

2016-07-22 新種ランサムウェアの件

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


昨日お伝えした新種ですが、なんと!
お客様が拡張子を変更された様子でした。
確かに暗号化されていたので、詳しく見たら
cerberの拡張子を無くした状態の物でした。
お客様が弄られた様子です。
新種ではありませんでした。

2016-07-23 CryptXXXの新種

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


CryptXXXが新しいアルゴリズムで出てきている。
ファイル名も拡張子もランダムな英数字になる。
8ヶ月位前にCryptoWallの最終版もこの様な感じでしたね。
え?作者が一緒?違いますね~プログラムの作り方が
CryptoWallとCryptXXXとでは違いますから、
別の組織でしょうね。

2016-07-24 Ranscam

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


Ranscamと言うランサムウェアが発見された。
身代金の要求はかわらないのだけど、この
ランサムウェアはなんと!感染したらデータを
削除してしまう様子。
いくら暗号と戦ってもファイルの消去は。。。
運ばれてきたら詳細を書きます。
Ranscamは恐い。
ランサムウェアになんかまけない。
何か復元方法があっても良いと思うのだけど、
この頃のランサムウェアはいろいろやってくるだろうな。

そうですよ!。
私に脅迫文送ってくるの止めません?
ロシア語なので、翻訳するとубитьが殺すって
意味らしい。止めて~恐いですよ。しかも
執拗に何度も。ランサムウェアの組織からなのでしょうか
ラボは矢っ張り秘密の場所にしておきます。
ソロソロ、ランサムウェア解析ラボは引っ越しかな。

2016-07-25 cerber復号ツール

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


cerberの復号化ツールが出ておりますね。
これ使わないでください。期待に添えないようです。
また、何やってるか結構な時間カリカリやってますね。
これは恐いです。
私のテスト環境では1300ファイルの内の
56ファイルが復号した。
これでは使い物にならない。
同ツールは「昔のlocky」にも対応。
現在のlockyには不対応。
感染しましたら、触らず連絡くださいね。

2016-07-26 ランサムウェア XTBL

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


前々から少量あったのですが、xtbl拡張子の
ランサムウェアがある。このところ、このランサムウェアの復元の
依頼が重なっている。結構ややこしいランサムウェアで
対応しているのは弊社くらいかも知れません。
このところは他のランサムウェアの復旧の問い合わせも多く
頑張っていかないと行けませんね。
TT休みが欲しいですね。
社長だから仕方ない?軌道に乗るまで頑張れ?
でも、電話問い合わせでランサムウェアの事を
詳しくサラサラ答えられたら話が早いですよね?
信頼出来ますよね?だから、なるべく私か副理事が
対応させて頂いております。
今年の正月はハワイに行きたいな~
もう、こんな夢を言い過ぎて妻は「また妄想?」と
呆れられる始末ですTT
話が取り留めなくて済みません。
乱筆、乱文にお付き合い頂いている方
有り難う御座います。

2016-07-27 CryptXXX6.0?

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


CryptXXXには何種類あるのだろうか?
今度は拡張子だけ数字になっている。
CryptXXX4.0に近い感じです。
良く解析しないと分かりませんが、
4.0の様な気がします。
亜種と言う感じでもありませんね。
今度、お知らせいたします。

2016-07-28 拡張子がcomのランサムウェア

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


こんばんは、前々からあるCryptoWallの亜種の
paycrypt@aol.comとファイルの最後にメールアドレスが
付加されるウイルスです。
私どもはペイクリプトと呼んでます。
少しですが、感染例もあります。
古いランサムウェアですね。

2016-07-29 paycrypt@aol.com

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


このランサムウェアの感染例がないので、
お見積すら手こずる。paycrypt@aol.comは本当に
難しい。ファイルも2つ生成されているし。
がんばります。

2016-07-30 ランサムウェアにお金を払った方からの電話

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


金銭要求にて金銭を払ってもデータが元に 戻らないと入電した。正直、戻りませんと
アナウンスがあると思う。
それでも支払いダメだったのである。
もう。なんていいのやら、私どもでお見積を
出しますよとお話しし、落ち着いた様子でした。
支払の先はテロリストですよね。
なぜ、信用出来るのか。
かなりの疑問があるが聞けませんでした。
ランサムウェアの進化がドンドン巧妙な詐欺が
深まって言ってる。
恐いし、困った問題です。

2016-07-31 CryptXXX6.0

_ こんばんは、ランサムウェアのデータ復元中の岡田です。


CryptXXX6.0のキーが見つからない。
何処を探してもない。このキーかなと思っても
復号しない。ファイルを全部バイナリで点検しても
分からない。これはまいった。何が原因なのだろうか?
この様な試行錯誤は日常茶飯事なんです。
本当にストレスですし大変です。
どうしても98%復号を維持したい。

2016|04|05|06|07|08|09|10|11|12|
2017|01|02|03|04|05|06|07|08|09|10|11|12|
2018|01|02|03|04|