« 2015年3月 | トップページ | 2016年1月 »

2015年5月

アカウント凍結で不安を煽る「ゆうちょ銀行」をかたるフィッシングメール


アカウント凍結で不安を煽る「ゆうちょ銀行」をかたるフィッシングメール

2015年5月15日頃から「ゆうちょ銀行」をかたるフィッシングメールが出回っているようです。
2015年5月16日時点でもフィッシングサイトが稼働していますが、Google フィルターによるブロックが行われています。
フィッシングサイトにアクセスすると、偽の「ゆうちょダイレクト」のログイン画面が表示され、「お客様番号」を入力、「合言葉」の入力、「ログインパスワード」の入力の順に進み、最後に本物の「ゆうちょダイレクト」のサイトのエラー画面が表示されるようになっていました。偽の「ゆうちょダイレクト」のログイン画面で情報を入力すると、「合言葉」や「ログインパスワード」などの情報が攻撃者に送られるようになっているようです。

「ゆうちょ銀行」をかたるフィッシングメールの内容

差出人:direct@japanpost.jp
件名:【ゆうちょ銀行】メールアドレスの確認 or 【ゆうちょ銀行】本人認証サービス

こんにちは!
最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
お客様のアカウントの安全性を保つために、「ゆうちょ銀行システム」がアップグレードされましたが、お客さまはアカウントが凍結されないように直ちにご登録おうえご確認ください。

以下のページより登録を続けてください。
https://direct.jp-bank.japanpost.jp/tp1web/U010101CSK.do
<http://***.cn/js/index.htm>

――Copyright(C) JAPAN POST BANK Co.,Ltd. All Rights Reserved.――

となっていました。


偽「ゆうちょ銀行システム」のログイン画面

phishing JapanPost


ログイン画面後の「合言葉」を入力させる画面

phishing JapanPost


偽サイト・情報の送信先(POST先)

確認した範囲では、偽サイトで入力した情報が送られるIPアドレスは「124.11.169.187」となっていました。台湾のIPアドレスのようです。

IP Address: 124.11.169.187
Hostname: 124-11-169-187.static.tfn.net.tw
Country: TW
AS: 9924
AS Name: TFN-TW Taiwan Fixed Network, Telco and Network Service Provider.,TW

関連情報

 


多数の仮想化プラットフォームに「ゲスト」から「ホスト」に攻撃可能な脆弱性が見つかる(CVE-2015-3456)

多数の仮想化プラットフォームに「ゲスト」から「ホスト」に攻撃可能な脆弱性が見つかる(CVE-2015-3456)

概要

米国のセキュリティ企業 CrowdStrike の研究者によって、QEMU の仮想フロッピードライブコントローラ(FDC)に、ゲスト側からホスト側に対して攻撃可能な深刻な脆弱性(CVE-2015-3456)が発見されました。XenやVirtualBox, RedHat, Ubuntu, KVM, Citrix, F5 Networks, FireEye など多数の仮想化プラットフォームにおいても同様の脆弱性が確認されています。この脆弱性(CVE-2015-3456)は、別名 VENOM(Virtualized Environment Neglected Operations Manipulation)と命名されています。

また、この脆弱性(CVE-2015-3456)は、仮想化プラットフォームのハイパーバイザーに存在するため、ホストOSの種類に関係なく影響を受けます。脆弱性を悪用してホストOSを攻撃するためには、ゲストOSの管理者権限を持っている必要があります。個人的に利用している場合は問題ないが、ホストOSを他人に貸し出すようなクラウドサービスなどでは対応が必要になります。

影響を受けるシステム

XenやVirtualBox, RedHat, Ubuntu, KVM, Citrix, F5 Networks, FireEye など

対策方法

RedHat や Ubuntu などのベンダーから修正パッチが提供されています。


誤って削除したファイルを簡単に復元する方法(削除データの復旧方法)

誤って削除したファイルを簡単に復元する方法(削除データの復旧方法)

1. 概要

うっかり誤ってファイルを削除してしまったことってありますよね。ファイルのサイズが大きかったり、SHIFT+DELで完全削除してしまった場合などは「ごみ箱」に残っていないので、ファイルの復元をあきらめてしまう人が多いのではないでしょうか?
実は前述のような「ごみ箱」に残っていなくても、ファイルを復元できる方法があるのです!

Windowsでファイルを削除してエクスプローラからはファイルが見えない状態になっても、実はファイルのデータは残っているのです!このデータを復元することで、ファイルを回復することが出来ます。今回はデジタルフォレンジックのソフトウェアを使って復元する方法について紹介します。市販のデータ復旧ソフトのお試し版は、復元するファイルサイズやファイル数に制限がありますが、今回紹介するソフトウェアには制限がありません!

2. 削除したファイルを復元するソフトウェア

今回削除されたファイルを復元するために使用するソフトウェアは Autopsy というソフトウェアです。ファイルシステムを詳細に調べることができるフォレンジックのソフトウェアです。犯罪調査やインシデントレスポンスなどの用途で米軍やセキュリティ企業などでも多く利用されているソフトウェアです。下記のURLからダウンロードできます。

Autopsy - The Sleuth Kit
http://www.sleuthkit.org/autopsy/download.php

3. 削除されたファイルの復元方法

この記事は作成中です。(2015/5/12)


簡単便利!おすすめ Linux バイナリエディタ - vi で手軽にバイナリ編集

更新日: 2016-01-26

おすすめ Linux バイナリエディタ - vi で手軽にバイナリ編集


キーワード: Linux、バイナリエディタ、vi

このエントリーをはてなブックマークに追加

概要

Linux のテキストエディタである vi を使ってバイナリファイルを編集する方法です。vi から外部コマンド呼び出しで、xxd を使って編集します。vi のバイナリモードである b オプションを使ってバイナリファイルを開き、外部コマンド呼び出しから xxd を使って 16進数表示に変換します(:%!xxd)。必要な個所を vi コマンドで編集したら xxd コマンドでテキストに戻します(:%!xxd -r)。vi コマンドで保存すれば編集完了です。

0. 編集に使ったバイナリファイル

# file sample.bin
sample.bin: ELF 64-bit LSB  shared object, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.24, BuildID[sha1]=0f7ff287cf26eba9a6643b1226089eea57cb7e44, stripped

1. vi でバイナリファイル sample.bin を開く

# vi -b sample.bin
^?ELF^B^A^A^@^@^@^@^@^@^@^@^@^C^@>^@^A^@^@^@2N^@^@^@^@^@^@@^@^@^@^@^@^@^@øÒ^A^@^@^@^@^@^@^@^@^@@^@8^@   ^@@^@^[^@^Z^@^F^@^@^@^E^@^@^@@^@^@^@^@^@^@^@@^@^@^@^@^@^@^@@^@^@^@^@^@^@^@ø^A^@^@^@^@^@^@ø^A^@^@^@^@^@^@^H^@^@^@^@^@^@^@^C^@^@^@^D^@^@^@8^B^@^@^@^@^@^@8^B^@^@^@^@^@^@8^B^@^@^@^@^@^@^\^@^@^@^@^@^@^@^\^@^@^@^@^@^@^@^A^@^@^@^@^@^@^@^A^@^@^@^E^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@l¸^A^@^@^@^@^@l¸^A^@^@^@^@^@^@^@ ^@^@^@^@^@^A^@^@^@^F^@^@^@¨½^A^@^@^@^@^@¨½!^@^@^@^@^@¨½!^@^@^@^@^@X^T^@^@^@^@^@^@@@^@^@^@^@^@^@^@^@ ^@^@^@^@^@^B^@^@^@^F^@^@^@<88>Ê^A^@^@^@^@^@<88>Ê!^@^@^@^@^@<88>Ê!^@^@^@^@^@ð^A^@^@^@^@^@^@ð^A^@^@^@^@^@^@^H^@^@^@^@^@^@^@^D^@^@^@^D^@^@^@T^B^@^@^@^@^@^@T^B^@^@^@^@^@^@T^B^@^@^@^@^@^@D^@^@^@^@^@^@^@D^@^@^@^@^@^@^@^D^@^@^@^@^@^@^@Påtd^D^@^@^@dy^A^@^@^@^@^@dy^A^@^@^@^@^@dy^A^@^@^@^@^@ô^G^@^@^@^@^@^@ô^G^@^@^@^@^@^@^D^@^@^@^@^@^@^@Qåtd^F^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^P^@^@^@^@^@^@^@Råtd^D^@^@^@¨½^A^@^@^@^@^@¨½!^@^@^@^@^@¨½!^@^@^@^@^@X^R^@^@^@^@^@^@X^R^@^@^@^@^@^@^A^@^@^@^@^@^@^@/lib64/ld-linux-x86-64.so.2^@^D^@^@^@^P^@^@^@^A^@^@^@GNU^@^@^@^@^@^B^@^@^@^F^@^@^@^X^@^@^@^D^@^@^@^T^@^@^@^C^@^@^@GNU^@^O^?ò<87>Ï&멦d;^R&^H<9e>êWË~DC^@^@^@i^@^@^@^H^@^@^@     ^@^@^@)^P ,^@^@^A <86>^GX^@^PÅ<8c> ^FÈH£HÀ'^P^Hq^U%áP^F^@^\^@ <9e><95>XY^D<88>^Mh^CÄtÐ*^X^@Ã<80>rh^C^L8ü ^W×<81>)^Qi^@^@^@k^@^@^@l^@^@^@m^@^@^@n^@^@^@q^@^@^@u^@^@^@x^@^@^@^@^@^@^@^@^@^@^@z^@^@^@}^@^@^@^@^@^@^@^@^@^@^@~^@^@^@<80>^@^@^@<82>^@^@^@<84>^@^@^@<85>^@^@^@^@^@^@^@<86>^@^@^@<88>^@^@^@<89>^@^@^@<8a>^@^@^@^@^@^@^@<8c>^@^@^@<8e>^@^@^@^@^@^@^@^@^@^@^@<8f>^@^@^@<91>^@^@^@<92>^@^@^@<93>^@^@^@<94>^@^@^@<95>^@^@^@<96>^@^@^@<98>^@^@^@^@^@^@^@<9b>^@^@^@<9d>^@^@^@<9f>^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ^@^@^@^@^@^@^@¢^@^@^@¤^@^@^@¦^@^@^@©^@^@^@«^@^@^@^@^@^@^@­^@^@^@®^@^@^@¯^@^@^@°^@^@^@²^@^@^@´^@^@^@^@^@^@^@·^@^@^@¹^@^@^@^@^@^@^@»^@^@^@½^@^@^@¾^@^@^@¿^@^@^@^@^@^@^@6õÏ<9a>«C<8a>^\¥?C^\ÙÅ#^\<9f>`ÊP<8e>äZ^P´0c<9a>oî<9b>|^XÉÊÚd<94>^Ainî<9b>|Å<9f>ì<9b>HP¦^Q^Bé1^Gá¹Szl<97>/g<83>b¦ià_z^V¬KãÀC<8e><9c>©kæ.9òÊô(1<80>kuÎâ÷^RÙÑ^P0V§<94>óÃÌ^Nóåç+^W<9f>F85<82>õ<98><Y{F¯w]R^S¯<96><94>^LÔÜñqiú<86>l Y<8d>Èá$^WÎÉ4DòV&_m§`Çû^W<98>¦ÚyÕ^N<93>½,gW<97>/y^V{Õ<8a>âfo5V^_WI=<80>dìÔ<92><9e>BBu<91><9b>^^T¯VÛ§     ê*æ °^V^[6z3à  ñ~®2<94>|Õ°Ë^M^Tºlò±ÝǬô<97>þ^T^[aÿFÚÅ<84>^E^Bz=EI<82>ݬÔá)h¡£)öBEÕì/9
:%!xxd

2. xxd を呼び出して 16 進数ダンプ表示する(:%!xxd)

0000000: 7f45 4c46 0201 0100 0000 0000 0000 0000  .ELF............
0000010: 0300 3e00 0100 0000 324e 0000 0000 0000  ..>.....2N......
0000020: 4000 0000 0000 0000 c3b8 c392 0100 0000  @...............
0000030: 0000 0000 0000 4000 3800 0900 4000 1b00  ......@.8...@...
0000040: 1a00 0600 0000 0500 0000 4000 0000 0000  ..........@.....
0000050: 0000 4000 0000 0000 0000 4000 0000 0000  ..@.......@.....
0000060: 0000 c3b8 0100 0000 0000 00c3 b801 0000  ................
0000070: 0000 0000 0800 0000 0000 0000 0300 0000  ................
0000080: 0400 0000 3802 0000 0000 0000 3802 0000  ....8.......8...
0000090: 0000 0000 3802 0000 0000 0000 1c00 0000  ....8...........
00000a0: 0000 0000 1c00 0000 0000 0000 0100 0000  ................
00000b0: 0000 0000 0100 0000 0500 0000 0000 0000  ................
00000c0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00000d0: 0000 0000 6cc2 b801 0000 0000 006c c2b8  ....l........l..
00000e0: 0100 0000 0000 0000 2000 0000 0000 0100  ........ .......
00000f0: 0000 0600 0000 c2a8 c2bd 0100 0000 0000  ................
0000100: c2a8 c2bd 2100 0000 0000 c2a8 c2bd 2100  ....!.........!.
0000110: 0000 0000 5814 0000 0000 0000 4040 0000  ....X.......@@..

3. 16進数ダンプを編集

4. xxd -r で戻す(%!xxd -r)

0000000: 7f45 4c48 0201 0100 0000 0000 0000 0000  .ELF............
0000010: 0300 3e00 0100 0000 324e 0000 0000 0000  ..>.....2N......
0000020: 4000 0000 0000 0000 c3b8 c392 0100 0000  @...............
0000030: 0000 0000 0000 4000 3800 0900 4000 1b00  ......@.8...@...
0000040: 1a00 0600 0000 0500 0000 4000 0000 0000  ..........@.....
0000050: 0000 4000 0000 0000 0000 4000 0000 0000  ..@.......@.....
0000060: 0000 c3b8 0100 0000 0000 00c3 b801 0000  ................
0000070: 0000 0000 0800 0000 0000 0000 0300 0000  ................
0000080: 0400 0000 3802 0000 0000 0000 3802 0000  ....8.......8...
0000090: 0000 0000 3802 0000 0000 0000 1c00 0000  ....8...........
00000a0: 0000 0000 1c00 0000 0000 0000 0100 0000  ................
00000b0: 0000 0000 0100 0000 0500 0000 0000 0000  ................
00000c0: 0000 0000 0000 0000 0000 0000 0000 0000  ................
00000d0: 0000 0000 6cc2 b801 0000 0000 006c c2b8  ....l........l..
00000e0: 0100 0000 0000 0000 2000 0000 0000 0100  ........ .......
00000f0: 0000 0600 0000 c2a8 c2bd 0100 0000 0000  ................
0000100: c2a8 c2bd 2100 0000 0000 c2a8 c2bd 2100  ....!.........!.
0000110: 0000 0000 5814 0000 0000 0000 4040 0000  ....X.......@@..
:%!xxd -r

5. 変更した内容を保存して終了(:wq)

^?ELH^B^A^A^@^@^@^@^@^@^@^@^@^C^@>^@^A^@^@^@2N^@^@^@^@^@^@@^@^@^@^@^@^@^@øÒ^A^@^@^@^@^@^@^@^@^@@^@8^@   ^@@^@^[^@^Z^@^F^@^@^@^E^@^@^@@^@^@^@^@^@^@^@@^@^@^@^@^@^@^@@^@^@^@^@^@^@^@ø^A^@^@^@^@^@^@ø^A^@^@^@^@^@^@^H^@^@^@^@^@^@^@^C^@^@^@^D^@^@^@8^B^@^@^@^@^@^@8^B^@^@^@^@^@^@8^B^@^@^@^@^@^@^\^@^@^@^@^@^@^@^\^@^@^@^@^@^@^@^A^@^@^@^@^@^@^@^A^@^@^@^E^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@l¸^A^@^@^@^@^@l¸^A^@^@^@^@^@^@^@ ^@^@^@^@^@^A^@^@^@^F^@^@^@¨½^A^@^@^@^@^@¨½!^@^@^@^@^@¨½!^@^@^@^@^@X^T^@^@^@^@^@^@@@^@^@^@^@^@^@^@^@ ^@^@^@^@^@^B^@^@^@^F^@^@^@<88>Ê^A^@^@^@^@^@<88>Ê!^@^@^@^@^@<88>Ê!^@^@^@^@^@ð^A^@^@^@^@^@^@ð^A^@^@^@^@^@^@^H^@^@^@^@^@^@^@^D^@^@^@^D^@^@^@T^B^@^@^@^@^@^@T^B^@^@^@^@^@^@T^B^@^@^@^@^@^@D^@^@^@^@^@^@^@D^@^@^@^@^@^@^@^D^@^@^@^@^@^@^@Påtd^D^@^@^@dy^A^@^@^@^@^@dy^A^@^@^@^@^@dy^A^@^@^@^@^@ô^G^@^@^@^@^@^@ô^G^@^@^@^@^@^@^D^@^@^@^@^@^@^@Qåtd^F^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^P^@^@^@^@^@^@^@Råtd^D^@^@^@¨½^A^@^@^@^@^@¨½!^@^@^@^@^@¨½!^@^@^@^@^@X^R^@^@^@^@^@^@X^R^@^@^@^@^@^@^A^@^@^@^@^@^@^@/lib64/ld-linux-x86-64.so.2^@^D^@^@^@^P^@^@^@^A^@^@^@GNU^@^@^@^@^@^B^@^@^@^F^@^@^@^X^@^@^@^D^@^@^@^T^@^@^@^C^@^@^@GNU^@^O^?ò<87>Ï&멦d;^R&^H<9e>êWË~DC^@^@^@i^@^@^@^H^@^@^@     ^@^@^@)^P ,^@^@^A <86>^GX^@^PÅ<8c> ^FÈH£HÀ'^P^Hq^U%áP^F^@^\^@ <9e><95>XY^D<88>^Mh^CÄtÐ*^X^@Ã<80>rh^C^L8ü ^W×<81>)^Qi^@^@^@k^@^@^@l^@^@^@m^@^@^@n^@^@^@q^@^@^@u^@^@^@x^@^@^@^@^@^@^@^@^@^@^@z^@^@^@}^@^@^@^@^@^@^@^@^@^@^@~^@^@^@<80>^@^@^@<82>^@^@^@<84>^@^@^@<85>^@^@^@^@^@^@^@<86>^@^@^@<88>^@^@^@<89>^@^@^@<8a>^@^@^@^@^@^@^@<8c>^@^@^@<8e>^@^@^@^@^@^@^@^@^@^@^@<8f>^@^@^@<91>^@^@^@<92>^@^@^@<93>^@^@^@<94>^@^@^@<95>^@^@^@<96>^@^@^@<98>^@^@^@^@^@^@^@<9b>^@^@^@<9d>^@^@^@<9f>^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ^@^@^@^@^@^@^@¢^@^@^@¤^@^@^@¦^@^@^@©^@^@^@«^@^@^@^@^@^@^@­^@^@^@®^@^@^@¯^@^@^@°^@^@^@²^@^@^@´^@^@^@^@^@^@^@·^@^@^@¹^@^@^@^@^@^@^@»^@^@^@½^@^@^@¾^@^@^@¿^@^@^@^@^@^@^@6õÏ<9a>«C<8a>^\¥?C^\ÙÅ#^\<9f>`ÊP<8e>äZ^P´0c<9a>oî<9b>|^XÉÊÚd<94>^Ainî<9b>|Å<9f>ì<9b>HP¦^Q^Bé1^Gá¹Szl<97>/g<83>b¦ià_z^V¬KãÀC<8e><9c>©kæ.9òÊô(1<80>kuÎâ÷^RÙÑ^P0V§<94>óÃÌ^Nóåç+^W<9f>F85<82>õ<98><Y{F¯w]R^S¯<96><94>^LÔÜñqiú<86>l Y<8d>Èá$^WÎÉ4DòV&_m§`Çû^W<98>¦ÚyÕ^N<93>½,gW<97>/y^V{Õ<8a>âfo5V^_WI=<80>dìÔ<92><9e>BBu<91><9b>^^T¯VÛ§     ê*æ °^V^[6z3à  ñ~®2<94>|Õ°Ë^M^Tºlò±ÝǬô<97>þ^T^[aÿFÚÅ<84>^E^Bz=EI<82>ݬÔá)h¡£)öBEÕì/9å
:wq



深刻な脆弱性を修正した WordPress 4.2.2 リリース

深刻な脆弱性を修正した WordPress 4.2.2 リリース

概要

広く利用されいるコンテンツマネジメントシステム(CMS)である WordPress に複数の深刻な脆弱性を修正した WordPress 4.2.2 がリリースされました。

修正された脆弱性

  • デフォルトテーマで利用されるアイコンフォントパッケージ「Genericons」に見つかったクロスサイトスクリプティング(XSS)の脆弱性
  • コメント機能に見つかったクロスサイトスクリプティング(XSS)の脆弱性(CVE-2015-3440)

WordPress のバージョン確認方法

WordPress のバージョンアップ方法

スポンサーリンク

BIOS パスワードをうっかり忘れたときに設定を解除する方法 - How to reset forgotten BIOS Passwrod ?

BIOS パスワードをうっかり忘れたときに設定を解除する方法

How to reset forgotten BIOS Passwrod ?

このエントリーをはてなブックマークに追加

キーワード: BIOS Password, ASUS, Windows7

目次

1. BIOSパスワードの解除方法について

2. BIOSマスターパスワードを使う方法

3. CMOSクリアする方法

4.  関連リンク

スポンサーリンク

1. BIOSパスワードの解除方法について

BIOSパスワードをうっかり忘れてしまった場合や設定されたBIOSパスワードがわからない場合などにパスワードを再設定(解除・リセット)する対処方法について紹介します。中古PCを買ってきたときや職場の前任者がパスワードを引き継がずに辞めてしまった場合など、BIOSパスワードがわからず困るケースに利用できる解除方法を紹介します。パソコンのマザーボードを扱い場合は静電気などに気をつけてください。最悪の場合、パソコンが壊れてしまう場合があります。特にパソコン内部を扱う場合は、電源コードやバッテリーは必ず抜いた状態で、静電気に気を付けて作業してください。実施は自己責任でお願いします。

スポンサーリンク

2. BIOSマスターパスワードを使う方法

200X年以前の古いパソコンであれば、メーカーがデバッグやサポート用に設定しているマスターパスワードが有効になっている場合があります。 古いパソコンでなければ、あまり期待は出来ませんが簡単に試すことが出来るので、やってみる価値はあると思います。当たればラッキーくらいの気持で試してみるとよいと思います。  
これらのマスターパスワードは、多くのWebサイトで公開されています。

Index - BIOS-Chips - Verkauf und Programmierung - BIOS-Updates - BIOS-Recovery - BIOS-Repair - biosflash.com    
http://www.biosflash.com/index.htm

                                                                                                                                                                                 
マスターパスワードの例
AWORD 01322222, bios, lkw peter, 1EAAh, BIOS, lkwpeter, 256256, biostar など
AMI ami, amiami, CMOSPWD, amidecod, AMI.KEY, KILLCMOS など
Phoenix 12345
Hewlett-Packard CNU1234ABC
Dell 1234567-595B, 1234567-D35B, 1234567-2A7B
Compaq 12345
Sony 1234567
Samsung 07088120410C0000

3. CMOSクリアする方法

(1) マザーボード上のボタン電池を外してCMOS情報をクリアする方法

BIOS のパスワードを含む設定情報は、マザーボード上にあるCMOSと呼ばれるメモリ上に保存されています。CMOSは電源を切ると情報が消えてしまいますが、マザーボードのボタン電池により常に電力を供給することによって設定を保っています。  
CMOSに電力を供給しているボタン電池をはずすことによって BIOSパスワードを含む設定情報をクリアすることが出来ます。  
マザーボード上のボタン電池をはずして 2~3 分ほど放置する必要があります。

(2)CMOSクリアボタンでクリアする方法

スポンサーリンク

マザーボード上にCOMSをクリアするためのボタンを用意している機種もあります。  
このボタンを押すことによってCMOSの情報をクリアにして、パスワード設定を消すことが可能です。

HP Compaq Pro 4300 SF - CMOS ボタンで BIOS の設定を初期化する方法    
http://h20564.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c03790899

(3)ジャンパキャップでクリアする方法

マザーボード上に「CLR COMS」や「CLRTC」と記載のある場所のジャンパピンを変更することによって、CMOSの情報をクリアすることが可能です。ジャンパピンの変更位置は、機種によって異なります。下記の画像は、ASUSマザーボードの場合の例です。見ずらいですが、赤く囲った部分が「CLRTC」のジャンパピンになります。通常はマザーボードのボタン電池の近くにあります。わかりずらいですがよく見ると見つかりますので探してみてください。

CLRTC

上記画像は、https://pixabay.com/static/uploads/photo/2015/08/11/11/50/asus-884108_960_720.jpg を利用させていだきました。


4. 関連リンク


スポンサーリンク

PC内のファイルを暗号化して人質に取るウイルス(ランサムウェア)の復旧方法 - CryptoLocker, Crypt0L0cker, CTB-Locker など

PC内のファイルを暗号化して人質に取るウイルス(ランサムウェア)の復旧方法

更新日:2017-01-01 CryptXXX 復号可能に
2016-05-26 TeslaCrypt のマスターキーを公開、身代金を払わずに復号可能に。   


キーワード: ランサムウェア、CryptoLocker、Crypt0L0cker、CryptXXX, Petay, TeslaCrypt、VVV ウイルス、CTB-Locker、CoinVault、復旧、復号、復元ツール, Locky, Locky亜種, aesir, zzzzz, thor, osiris

このエントリーをはてなブックマークに追加  

スポンサーリンク

目次

1. 概要

2. ランサムウェアの種類

3. ランサムウェアを停止する方法

4. ランサムウェアを駆除する方法

5. ランサムウェアに暗号化されたファイルを復旧する方法

6. 関連リンク

1. 概要

PC内のファイルを暗号化して人質に取るウイルス(ランサムウェア)に感染した場合の対処方法について紹介したいと思います。一部のランサムウェアのみの対応ですが、暗号化された大事なファイルを身代金を払わずにファイルを復元する方法についても紹介します。

2. ランサムウェアの種類

PC内のファイルを暗号化して人質に取るウイルスは、ランサムウェア(ransomware)と呼ばれています。ランサムウェアには、いくつかの種類が存在します。種類やバージョンによって対処方法が異なります。

① CryptoLocker

CryptLocker ウイルスに感染して暗号化されたファイルは、拡張子に .encrypted が付加されます。

      

② Crypt0L0cker

CryptoLocker と似ているがアルファベット「o」 が数字の「0 」になっている。 CryptoLocker が英語の脅迫文を出すのに対して、Crypt0L0cker は日本語の脅迫文を表示する。

警告
日本の法律に違反するファイルがお使いのパソコンから検出されたため、パソコンをロックしました。    
ロックの解除をには、左に表示されている日時までに罰金として三十万円をBitcoinで氏は割らなければならない。    
この日時までに誠意ある対応なき場合は、ロックが解除されることは永遠にないでしょう。    
俺は君に人を傷付けるのではなく人を助ける人間になってほしい    
僕は君の20年後を見ている

      

③ TeslaCrypt (CrypTesla)

TeslaCrypt ウイルスはバージョンによって暗号化されたファイルに付加される拡張子名が異なります。拡張子名には「.aaa, .abc, .ccc, .ecc, .exx, ezz, .micro, .mp3, .ttt, .vvv, .xxx, .xyz, .zzz.」などになります。 拡張子名として .ecc, .exx, .ezz, .vvv が付加されるバージョンに関しては、暗号化されたファイルを復旧(復号)するTeslaDecoder というツールがリリースされています。


2016年5月中旬になって開発者が TeslaCrypt プロジェクトを終了、復号用のマスターキーを公開しました。
      

TeslaCrypt に、公開されたマスターキー「440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE」を    
設定することで、身代金を払わずにファイルを復号できるようになりました。

TeslaDecoder は下記URL からダウンロードすることが出来ます。 http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip   
http://download.bleepingcomputer.com/BloodDolly/changelog.txt  

また、拡張子名が .vvv となるバージョンで暗号化されたファイルを復号する方法は、 下記を参照してください。

TeslaCrypt (vvvウイルス) で暗号化されたファイルの復元方法

http://rootdown.cocolog-nifty.com/memo/2016/01/cryptesla-vvv-6.html

  • TelaCrypt2 (vvv ウイルス)の脅迫文

---!!!==============================================================!!!!=========- 

What happened to your files ? All of your files were protected by a strong encryption with RSA-2048. More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem) What does this mean ? This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them. How did this happen ? Especially for you, on our server was generated the secret key pair RSA-2048 - public and private. All your files were encrypted with the public key, which has been transferred to your computer via the Internet. ---!!!!=================================================!!!!========= Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server. What do I do ? So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way. If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment. For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below: 1. http://rbtc23drs.7hdg13udd.com/7C66B96138xxxxxx 2. http://tsbfdsv.extr6mchf.com/7C66B96138xxxxxx 3. https://alcov44uvcwkrend.onion.to/7C66B96138xxxxxx If for some reasons the addresses are not available, follow these steps: 1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en 2. After a successful installation, run the browser and wait for initialization. 3. Type in the address bar: alcov44uvcwkrend.onion/7C66B96138xxxxxx 4. Follow the instructions on the site.IMPORTANT INFORMATION: Your personal pages:http://rbtc23drs.7hdg13udd.com/7C66B96138xxxxxx http://tsbfdsv.extr6mchf.com/7C66B96138xxxxxx https://alcov44uvcwkrend.onion.to/7C66B96138xxxxxx Your personal page (using TOR-Browser): alcov44uvcwkrend.onion/7C66B96138xxxxxx Your personal identification number (if you open the site (or TOR-Browser's) directly): 7C66B96138xxxxxx ---!!!===================================================!!!!=========  

  • TeslaCrypt (拡張子ECC)の脅迫文

脅迫 All your documents, photos, databases and other important files have been encrypted with strongest encryption RSA-2048 key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.    
If you see the main encryptor red window, examine it and follow the instructions.    
Otherwise, it seems that you or your antivirus deleted the encryptor program.    
Now you have the last chance to decrypt your files.    
Open http://tkj3higtqlvohsxx.aw49f4j3nxx.com or http://tk3higtqlvohsxx.dfj3d8w3nxx.com, https://tkj3higtqlvohsxx.s5.tor-gateways.de/ in your browser.    
They are public gates to the secret server.    
Copy and paste the following Bitcoin address in the input from on server. Avoid missprints.
19i4AsfxqRivqw95Cb8RExxxxxxxxxxxxxxx&#
Follow the instructions on the server.

日本語訳(Google 翻訳)

すべてのドキュメント、写真、データベース、およびその他の重要なファイルは、このコンピュータ用に生成最も強力な暗号化RSA- 2048キーで暗号化されています。

秘密復号鍵は秘密のインターネットサーバーに格納されている、あなたが支払うと秘密鍵を取得するまで、誰もあなたのファイルを復号化することはできません。


あなたがメインの暗号化赤ウィンドウが表示された場合、それを確認し、指示に従ってください。    
それ以外の場合は、あなたやあなたのアンチウイルスは、暗号化プログラムを削除しているようです。
今、あなたはあなたのファイルを復号化するための最後のチャンスを持っています。    
お使いのブラウザでhttp://tkj3higtqlvohsxx.aw49f4j3nxx.comまたはhttp: //tk3higtqlvohsxx.dfj3d8w3nxx.com 、 https://tkj3higtqlvohsxx.s5.tor-gateways.de/を開きます。    
彼らは秘密のサーバーにパブリックゲートです。    
コピーし、サーバー上からの入力で、次のビットコインのアドレスを貼り付けます。 missprintsを避けます。    
19i4AsfxqRivqw95Cb8RExxxxxxxxxxxxxxx
サーバー上の指示に従ってください。

      

④ CoinVault  

  暗号化されたファイルを復元(復号)するサイトが Kaspersky によって提供されています。    
noransom - https://noransom.kaspersky.com

法執行機関とセキュリティ企業が、CoinValut の指揮統制サーバー(C&Cサーバ)を確保し、そのサーバー内の情報からファイルを復号するツールを作成したそうです。

      

⑤ Cryptowall4 

  Cryptowall4 では、ファイル名も含めて暗号化する機能が追加されています。どのファイルが暗号化されたのか特定することも難しくなっています。

⑥ Linux.Encoder.1 (encrypted ウイルス) 

Linux を標的としたランサムウェア。特定ディレクトリやファイルタイプのファイルが暗号化されて身代金を請求される。多くのLinux Web サーバで被害が出ている。暗号化されたファイルは、拡張子が「encrypted」となります。

⑦ Locky ウイルス

暗号化したファイルの拡張子が Locky となるランサムウェアです。脅迫文が多言語対応になっていて、日本語Windows では日本語の脅迫文が生成表示されます。メール添付ファイルや改ざんされたWebサイト経由で感染します。Locky ウイルスの詳細については、下記URLで紹介しています。

Locky Virus - 日本語で身代金要求するランサムウェアウイルスの対処方法

http://rootdown.cocolog-nifty.com/memo/2016/03/locky-virus---e.html 

 

3. ランサムウェアを停止する方法

ランサムウェアは自身が駆除されないように、アンチウイルスソフトやタスクマネージャ、コマンドプロンプトなどのプログラムを停止させる機能を持っています。この仕組みは、プログラム起動するとすぐに強制停止させるもので、プログラムは一瞬ですが実行することはできます。  

また、停止させるプログラムは、実行ファイル名で指定されていることが多く、プログラムのファイル名を変更することで強制停止されずに起動させることも可能な場合が多いです。

      

以下、実行ファイル名を変更したコマンドプロンプト cmd.exe を起動してtasklist、 taskkill を使ってランサムウェアを停止する方法です。

      

cryptolocker

      

(1) ランサムウェアの実行ファイル名の確認  

ディスクトップ上にあるランサムウェアのアイコン cryptolocker のプロンプトから、ランサムウェアのパスとファイル名を確認する。この例では以下のようになっていました。パスやファイル名は、感染PC毎に異なります。

C:\Documents and Settings\Admin\Application Data\bicjrya.exe

      

cryptolocker

(2) コマンドプロンプトのコピー

エクスプローラで cmd.exe (c:\windows\system32\cmd.exe) をコピーして、ファイル名を変更する。ここではディスクトップ上に cmd2.exe としてコピーする。

      

(3) コピーしたコマンドプロンプトの起動

(2) でコピーした cmd2.exe をダブルクリックして、コマンドプロンプトを起動する。Windows7 以降の場合は、ア右クリックで「管理者として実行」をクリックして起動する。

      

(4) tasklist で実行中プログラムの一覧取得  

(2) で起動したコマンドプロンプトで tasklist を実行し、実行中プログラム一覧を取得する。

  tasklist /FO LIST

(5) ランサムウェアのPID確認

(4) で取得した実行中プログラム一覧から、(1) で確認したランサムウェアの実行ファイル名と一致するイメージ名を探す。イメージ名の下にある PID の番号を確認する。  

イメージ名: bicjrya.exe
PID:
セッション名: Console
セッション#: 0
メモリ使用量: 11,848K

(6) taskkil でランサムウェアを停止する  

(5) で確認した PID を指定して taskkill を実行することで、ランサムウェアを停止させる。

taskkill /PID 1360 /F

(7) 終了

カウントダウンの表示が消えていれば、ランサムウェアが停止している状態になっています。消えない場合は、(6) を再度実行してみてください。

      

 

      

4. ランサムウェアを駆除する方法

(1) ランサムウェアの実行ファイルを削除

エクスプローラで 2. (1) で確認したランサムウェアを削除します

      

(2) ランダムウェアの自動起動設定を削除

レジストリエディタでも削除可能ですが、ここではマイクロソフトが提供している sysinternals suite に含まれる autoruns を使って、自動起動設定を削除します

https://technet.microsoft.com/ja-jp/sysinternals/bb963902.aspx

上記URLから autoruns をダウンロードして、autoruns.exe をダブルクリックすると   
autoruns が起動します。

 
autoruns の Filter に 2. (1) で確認したランサムウェアの実行ファイル名を入力します。入力が終わるとランサムウェアを実行するためのレジストリ設定が表示されます。

 
ここでは、「bicjrya.exe」を入力し、下記2つのレジストリが表示されました。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msdedf    
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msdedf

      

すべてのレジストリのチェックボックスをオンにして、上部のバッテンマークを押すと、設定を削除することが出来ます。

cryptolocker

      

また、警告文を表示するための設定も削除します。   
同じく autoruns に HELP_RESTORE_FILE を入力すると、関連する設定が表示されます。すべてチェックボックスをオンにしてバッテンマークで削除します。

cryptolocker

さらに、背景の壁紙に表示されている警告メッセージは、壁紙設定から元に戻すことが出来ます。

      

5. ランサムウェアに暗号化されたファイルを復旧する方法

(1) 暗号化されたファイルの復号/復元ツール、サイト(Decrypt, Recovery Tool, Decoder 

  • TeslaCrypt2 (vvv ウイルス)によって暗号化されたファイルを復元するツール      

TeslaCrack https://github.com/Googulator/TeslaCrack

TeslaCrack を使った vvvウイルスによって暗号化されたファイルの詳しい復号手順については、下記URLに記載しています。 

        

TeslaCrypt (vvvウイルス) で暗号化されたファイルの復元方法http://rootdown.cocolog-nifty.com/memo/2016/01/cryptesla-vvv-6.html

     
  • TeslaCrypt (vvvウイルスではない) によって暗号化されたファイルを       
    復元するツールを提供しているサイト
     

暗号化されたファイルの拡張子は「ecc」、TeslaCrypt の亜種である AlphaCrypt では拡張子が「ezz」となっています。  

拡張子が「zzz」となるTeslaCrypt の亜種(vvvウイルス)による被害が、広告配信や改ざんされたWebサイト経由で広がっているようです。パッチが出ていない 0dayの脆弱性を狙った攻撃でなければ、Flash Player, Adobe Reader, Java, IE, Windows Update などを最新版にアップデートすることで感染を防ぐことができます。 

Threat Spotlight: TeslaCrypt – Decrypt It Yourself http://blogs.cisco.com/security/talos/teslacrypt

decryptor

No More Ransom!   https://www.nomoreransom.org/

ID Ransomware   https://id-ransomware.malwarehunterteam.com/

             

      

      

(2) ボリュームシャドーコピーから復旧

Windows Vista/7 以降ではボリュームシャドーコピーというサービス(Volume Shadow Copy Service: VSS)が提供されている。このサービスを使うことで誤って削除してしまったファイルや、上書きしてしまったファイルなどを復元することができる。 

(3) バックアップから復旧

      

6. 関連リンク

« 2015年3月 | トップページ | 2016年1月 »

記事一覧

スポンサードリンク


Twitter


無料ブログはココログ

ブログ検索