ウイルス

(Source:ZDNet / eTeknix)

＜ザックリ意訳＞
Microsoftは2017年6月8日にブログで　「Windows 10 Sは既知のランサムウェアの影響を受けない」　と豪語した。これが本当かどうか、ZDNetはセキュリティ研究者のMatthew Hickey氏に依頼してWindows 10 Sをランサムウェアに感染させることが可能か試すことにした。

結果、Matthew Hickey氏はわずか3時間ほどで成功した。Matthew Hickey氏は　「簡単すぎて正直驚いている」　と述べている。

攻撃には悪意のあるマクロベースのWord文書を作成し、Word文書を開くとDLLインジェクションが行われる方法を利用した。そこを起点にクラックを進め、最終的にはシステム特権を得てコンピュータを自由にリモートアクセスできるようになった。

Matthew Hickey氏は　「この状態はアンチマルウェアやファイアウォールなどを無効にしたり、重要なWindowsのファイルを上書きすることができる。ランサムウェアをインストールすることもできる。ゲームオーバーだ」　と述べた。

上記内容がZDNetなどの海外メディア各所で報じられました。

Windows 10 Sは基本的にWindowsストアのアプリケーションしか動作しないため、比較的ウイルスの影響を受けにくい仕様だとは思いますが、Microsoftが主張する　「Windows 10 Sは既知のランサムウェアの影響を受けない」　というのは誇大広告だったようです。

『Wana Decrypt0r 2.0』『WannaCry 2.0』などで呼ばれるランサムウェアによって暗号化されたファイルを復号する『Wannakey』が有志により作成されました。この復号ソフトは下記サイトからダウンロードが可能で、対象OSはWindows XP専用となります。

　GitHub - aguinet/wannakey: Wannacry in-memory key recovery for WinXP
　https://github.com/aguinet/wannakey

復号の仕組みは、暗号化の際に使用したメモリ領域が開放されていなければ、メモリ上の情報を読み取って復号を可能にするとのこと。つまるところ、PCの再起動や、その他の処理などでメモリ上の情報が消えているとNGとなります。

条件はかなり厳しく、また、これらの条件が揃っていても成功するとは限らず　「成功するには運が必要になる」　と作者は語っています。

(Source:http://blog.trendmicro.co.jp/archives/14979)

トレンドマイクロによると日本国内で大規模なマルウェアスパムのキャンペーンが行われていて、2017年5月14日から5月18日までの5日間で、43万件以上のウイルス添付メールが確認されているとのこと。

主な送信日時と件名は下記になります。

これらの件名が使用されているメールの添付ファイルを開くと、銀行やクレジットカードなどのアカウント情報をターゲットにしたウイルスに感染します。

トレンドマイクロは　「この一連のスパムメールの拡散活動は継続して行われており、ユーザはこれらの添付ファイル付きのスパムメールを安易に開かないよう注意が必要です」　と注意を呼びかけています。

2017年4月に『Wana Decrypt0r 2.0』『WannaCry 2.0』の元となったエクスプロイトを流出させたハッカー集団のShadow Brokersですが、2017年6月に新たなエクスプロイトの販売を開始することをBlogで予告しました。

Blogでは、毎月の会費を支払うことで『Windows 10の新たなエクスプロイト』『ブラウザやルータ、スマートフォン向けのエクスプロイト』などを提供すると述べています。

これらが『Wana Decrypt0r 2.0』『WannaCry 2.0』の第2波となるほど脅威になるかはわかりませんが、バックアップ等、万が一に備えた対策をしっかりととっておくことが推奨されます。

関連記事
【ウイルス】 『WannaCry 2.0』によって暗号化されたファイルを復号するソフト『Wannakey』が登場。ただし……
【ウイルス】 『Wana Decrypt0r 2.0』『WannaCry 2.0』の実行ファイル名は『taskse.exe』
【ウイルス】 約100か国で大規模なサイバー攻撃、ランサムウェアの被害が約7万5000件 [Update 1: Win7/8.1/10でSMB1自体を無効化する方法を記載]

世間を賑わせているランサムウェアの『Wana Decrypt0r 2.0』『WannaCry 2.0』ですが、有志によりその実行ファイル名等が判明しました。

(Source:日産英工場にも被害…サイバー攻撃100か国に)

『ランサム（身代金）ウェア』と呼ばれるウイルスによる大規模なサイバー攻撃が12日、世界へと広がった。英BBCなどは、英米露など約100か国・地域で約7万5000件の被害が出たと伝え、日産自動車の英工場にも影響が及んだ。オランダ・ハーグの欧州警察機構(ユーロポール)は13日、　「攻撃は前例を見ない水準だ」　とする声明を発表し、国際協力を呼びかけた。

12日、独フランクフルトの鉄道駅で、支払い要求のメッセージが表示された電光掲示板

上記内容が各所で報じられました。イングランドとスコットランドでは医療機関のシステムが被害を受けて、手術が中止になるケースもあったようです。

『Wana Decrypt0r 2.0』『WannaCry 2.0』などの名前を持つこのランサムウェアは、SMB1の脆弱性(MS17-010 / CVE-2017-0144)を悪用していますが、サポート期間中のOSは2017年3月度のWindows Updateで修正済みとなっています。

しかし、Microsoftは今回の騒動を受けて、サポートが既に終了しているOS(XPなど)用の修正パッチ(KB4012598)も緊急リリースしました。現在、下記のアドレスからダウンロードができるようになっています。

　Microsoft Updateカタログ 『KB4012598』
　http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

＜ Update 1: Win7/8.1/10でSMB1自体を無効化する方法 ＞

(Source:Leaked NSA point-and-pwn hack tools... / NSA's Windows Hacking Tools Leaked... / NSA-leaking...)

＜ザックリ意訳＞
2016年夏にNSAからハッキングツールが盗まれた。ハッキングツールを入手したハッカー集団のShadow Brokersはオークションにかけたが、買い手がつかず、無料で公開することにした。現在、このハッキングツールは誰でもダウンロードすることができる。

このハッキングツールはWindows10を除いて、Windows2000からWindows8まで幅広く対応している。セキュリティの専門家は　「知識のある者が使えば、ダウンロードして2分でサーバーをハックすることができる。想像以上に最悪なものだ」　と語った。実際にこのハッキングツールを使って2分でハッキングしている動画も公開されている。

万が一にも影響を受けたくない重要なシステムは、数日間オフラインにしておくことを専門家は推奨しているが、これはあまりにも不便なソリューションと言えるだろう。

この報告を受けて、Microsoftは　「顧客を保護するために必要な措置を講じる」　と述べた。

上記内容が海外メディアの各所で報じられました。

ツールへのリンクは貼りませんが、研究目的などで興味のある方はソース元へ行ってリンクの貼られている『The files』からジャンプしてどうぞ。くれぐれも取り扱いにはお気をつけくださいませ。実行した結果、どうなるかはわかりません。

万が一にもウイルス感染は避けたいといった方は、触らぬ神に祟り無しです。

＜ Update 1 ＞
Microsoftが調査報告を公開しました。曰く　「これらのエクスプロイトを調べた結果、適切にWindows Updateを行っているWindows7以上のバージョンには影響はない」　とのことで、

これまでに配信されたパッチで修正済みだそうです。Windows Updateの提供が終了している製品に関しては影響するようですが、これに関しては仕方なしですね。

(Source:RensenWare Will Only Decrypt Files... / RensomWare Holds Your Files...)

＜ザックリ意訳＞
数日前から『東方星蓮船』というゲームの高難易度モード(Lunatic)で、2億点以上取らないと暗号化したファイルを復号しないというランサムウェア『RensenWare』が話題になっている。

このランサムウェアは金銭の要求をせず、ただ、ゲームで2億点以上取ることを要求していて、それが達成できなければ暗号化されたファイルは永久に失われる。

しかし、暗号化している間にシャドウボリュームの削除をしたり、何かしらの方法で復元されないようさらなる対策を講じるようなことはなく、本気度は低いためジョークではないかと思っていた。

このランサムウェアを作成した韓国の大学生から我々にコンタクトがあり下記のように謝罪した。

私の予想どおりにこのランサムウェアはジョークのようだ。

上記内容が海外メディアのBleeping Computerなどで報じられました。

『RensenWare』は拙いプログラムのため、PCの構成に光学ドライブがあるだけでクラッシュするようですが、それに引っかからずに実行されると実際に暗号化が始まります。

犯人や一次ソースのBleeping Computerの専門家はこのマルウェアをジョークと言っていますが、実際に暗号化までしている時点でどこがジョークと言えるのでしょうか。まったく理解のできない感性をしています。

「ファイルを暗号化されたけど、な～んだ、ジョークか！」

なんて思う人がいるのでしょうか。こんな思考ができるなら、どうかしていると思います。

ジョークというのはPCなどに何も影響が出ないもののことを言います。万が一にもご年配の方が感染して対処できるのでしょうか。このソフトはジョークなんかではなく、れっきとしたマルウェアと呼ぶべきでしょう。

(Source:'Windows 10 destroyed our data!' Microsoft hauled into US court)

＜ザックリ意訳＞
イリノイ州の3人はMicrosoftに対して起訴を起こした。

訴状によれば　「Windows10は欠陥製品であり、Windows10のインストールよって引き起こされる潜在的な危険性や、システムの安定性とデータロストの危険性について、Microsoftは十分な警告を出さなかった」　として訴えている。

原告のStephanie Watsonは『勝手にWindows10にアップグレードされた結果、データも勝手に消されてコンピュータが機能しなくなった』と損害を主張している。

原告のHoward GoldbergとRobert Saigerは『Windows10へのアップグレードに同意したが、結果として上手くいかず、データがロストしてコンピュータが機能しなくなった』と損害を主張している。

この件についてMicrosoftの広報担当者は以下のように述べている。

「Windows10にアップグレードしないという選択肢もありました。また、31日以内であれば元のOSに戻すことができて、我々は無料のカスタマーサポートも行っていました。原告の主張は法的根拠のないものだと信じている」

上記内容が海外メディアのThe Registerで報じられました。勝手にWindows10にアップグレード事件の阿鼻叫喚から1年ほど経ちましたが覚えているでしょうか。Microsoft史上、最低最悪の事件なので早々忘れられるものではないでしょう。

ていうかですね、

こんなゴミクズなUIを作っておいてよくもまぁぬけぬけと　「Windows10にアップグレードしないという選択肢もありました」　なんて言えたものですね。悪意剥きだしで分かりにくくしたり、その『アップグレードしないという選択肢』の分かりにくさから消費者庁にまで注意を呼びかけられたことをもう忘れているのでしょうか。

で、同様のケースでMicrosoftは過去に訴えられていて既に負けています。

　【朗報】 MicrosoftとかいうWin10化ウイルスをばら撒いた糞企業、裁判所が1万ドルの支払いを命じる

今回の裁判では司法はどう判断するのか。続報が待たれます。

関連記事
【Win10】 海外メディアがWindows10の広告OS化に苦言

(Source:https://jvn.jp/jp/JVN86200862/index.html)

『7-zip32.dll』に圧縮ファイルを解凍するだけで任意のコードが実行される脆弱性が見つかりました。この問題はver9.22.00.02にアップデートすることで解決します。『7-zip32.dll』をお使いの方は、下記の作者様サイトからダウンロードができます。

　AkkyWareHOUSE
　http://akky.xrea.jp/download/7-zip32.html

今回、言及されているのは『7-zip32.dll』についてですが、64bit版の『7-zip64.dll』もver9.22.00.02ベースにアップデートが施されています。『7-zip64.dll』も影響を受けるのかはわかりませんが、お使いの方はアップデートしておいた方が良いでしょう。64bit版は下記の作者様サイトへどうぞ。

　綾川的趣味之接続集
　http://ayakawa.o.oo7.jp/soft/ntutil.html#7z

「そもそもこれらのDLLってなんぞ」　という方向けに軽く説明いたしますと、『ExpLzh』といった圧縮解凍ソフトなどを使っている方向けのファイルになります。

(Source:http://pc.watch.impress.co.jp/docs/news/1040299.html)

Avastさん、いいゾ～これ。配布先では新たに対応したものを含めて、

　・Alcatraz Locker
　・Apocalypse
　・BadBlock
　・Bart
　・Crypy888
　・CrySiS
　・Globe
　・Legion
　・NoobCrypt
　・SZFLocker
　・TeslaCrypt

上記、計11種類の復号ツールが公開されています。

ランサムウェアの復号ツールというと、2016年5月にトレンドマイクロも4種のランサムウェアに対応した復号ツールを公開していましたが、こちらも更新されていて現在では計15種類に対応しています。

もし、深い悲しみに包まれているストレージをお持ちの方は、これらが救世主となるかもしれません。Avast、トレンドマイクロ、それぞれの復号ツールのダウンロード先は↓へどうぞ。

　Avast | Free Ransomware Decryption Tools
　https://www.avast.com/ransomware-decryption-tools
　トレンドマイクロ | ランサムウェアファイル復号ツール
　https://esupport.trendmicro.com/solution/ja-JP/1114224.aspx

関連記事
【ウイルス】 ランサムウェアに完全勝利する方法UC

(Source:http://blog.trendmicro.co.jp/archives/14296)

トレンドマイクロによると、このウイルス添付メールは2017年1月17日に一斉送信されて、正午までに2,000件以上検出されており　「広範囲に拡散されていることは間違いない」　と語っております。うっかり添付ファイルを開いてしまわないようお気をつけくださいませ。

添付ファイルを解凍すると

中身はウイルスによくある二重拡張子のため、慣れた人なら　「はいはいウイルスウイルス、わろすわろす」　と冷静に対処できるかと思います。

うっかり開いてしまわないのが一番ですが、心配な人は『.js』ファイルをテキストエディタ(メモ帳など)に関連付けさせておくという対処方法も有効です。万が一『.js』ファイルをダボォクリックしてしまっても、実行されることなく中のソースコードがテキストエディタで開かれるだけで済みます。

他にもウイルスに利用されがちでスクリプトが実行できる拡張子に『.wsf』『.vbs』『.vbe』『.jse』などがあるので、使わないスクリプトの拡張子は関連付けを変えておけば保険になるかと思います。