Windows,ウイルス


(Source:ZDNet / eTeknix)

<ザックリ意訳>

Microsoftは2017年6月8日にブログで 「Windows 10 Sは既知のランサムウェアの影響を受けない」 と豪語した。これが本当かどうか、ZDNetはセキュリティ研究者のMatthew Hickey氏に依頼してWindows 10 Sをランサムウェアに感染させることが可能か試すことにした。

結果、Matthew Hickey氏はわずか3時間ほどで成功した。Matthew Hickey氏は 「簡単すぎて正直驚いている」 と述べている。

攻撃には悪意のあるマクロベースのWord文書を作成し、Word文書を開くとDLLインジェクションが行われる方法を利用した。そこを起点にクラックを進め、最終的にはシステム特権を得てコンピュータを自由にリモートアクセスできるようになった。

Matthew Hickey氏は 「この状態はアンチマルウェアやファイアウォールなどを無効にしたり、重要なWindowsのファイルを上書きすることができる。ランサムウェアをインストールすることもできる。ゲームオーバーだ」 と述べた。


上記内容がZDNetなどの海外メディア各所で報じられました。

Windows 10 Sは基本的にWindowsストアのアプリケーションしか動作しないため、比較的ウイルスの影響を受けにくい仕様だとは思いますが、Microsoftが主張する 「Windows 10 Sは既知のランサムウェアの影響を受けない」 というのは誇大広告だったようです。

Windows,ウイルス

『Wana Decrypt0r 2.0』『WannaCry 2.0』などで呼ばれるランサムウェアによって暗号化されたファイルを復号する『Wannakey』が有志により作成されました。この復号ソフトは下記サイトからダウンロードが可能で、対象OSはWindows XP専用となります。

 GitHub - aguinet/wannakey: Wannacry in-memory key recovery for WinXP
 https://github.com/aguinet/wannakey

復号の仕組みは、暗号化の際に使用したメモリ領域が開放されていなければ、メモリ上の情報を読み取って復号を可能にするとのこと。つまるところ、PCの再起動や、その他の処理などでメモリ上の情報が消えているとNGとなります。

条件はかなり厳しく、また、これらの条件が揃っていても成功するとは限らず 「成功するには運が必要になる」 と作者は語っています。

ウイルス


(Source:http://blog.trendmicro.co.jp/archives/14979)

トレンドマイクロによると日本国内で大規模なマルウェアスパムのキャンペーンが行われていて、2017年5月14日から5月18日までの5日間で、43万件以上のウイルス添付メールが確認されているとのこと。

主な送信日時と件名は下記になります。

日時メール件名
2017/05/15予約完了[るるぶトラベル]
配信
2017/05/16請求書
文書
請求書「invoice」
保安検査
【賃貸管理部】【解約】・駐車場番
など
2017/05/17駐禁報告書
全景写真添付
御礼
トレンドデータ
キャンセル完了のお知らせ
発送の御連絡
EMS配達状況の確認 – 郵便局 – 日本郵政
など
2017/05/18Fwd: 支払条件確認書
など

これらの件名が使用されているメールの添付ファイルを開くと、銀行やクレジットカードなどのアカウント情報をターゲットにしたウイルスに感染します。

トレンドマイクロは 「この一連のスパムメールの拡散活動は継続して行われており、ユーザはこれらの添付ファイル付きのスパムメールを安易に開かないよう注意が必要です」 と注意を呼びかけています。

WindowsUpdate,ウイルス

2017年4月に『Wana Decrypt0r 2.0』『WannaCry 2.0』の元となったエクスプロイトを流出させたハッカー集団のShadow Brokersですが、2017年6月に新たなエクスプロイトの販売を開始することをBlogで予告しました。

Blogでは、毎月の会費を支払うことで『Windows 10の新たなエクスプロイト』『ブラウザやルータ、スマートフォン向けのエクスプロイト』などを提供すると述べています。

これらが『Wana Decrypt0r 2.0』『WannaCry 2.0』の第2波となるほど脅威になるかはわかりませんが、バックアップ等、万が一に備えた対策をしっかりととっておくことが推奨されます。

関連記事
【ウイルス】 『WannaCry 2.0』によって暗号化されたファイルを復号するソフト『Wannakey』が登場。ただし……
【ウイルス】 『Wana Decrypt0r 2.0』『WannaCry 2.0』の実行ファイル名は『taskse.exe』
【ウイルス】 約100か国で大規模なサイバー攻撃、ランサムウェアの被害が約7万5000件 [Update 1: Win7/8.1/10でSMB1自体を無効化する方法を記載]

WindowsUpdate,ウイルス

世間を賑わせているランサムウェアの『Wana Decrypt0r 2.0』『WannaCry 2.0』ですが、有志によりその実行ファイル名等が判明しました。

WindowsUpdate,ウイルス


(Source:日産英工場にも被害…サイバー攻撃100か国に)

『ランサム(身代金)ウェア』と呼ばれるウイルスによる大規模なサイバー攻撃が12日、世界へと広がった。英BBCなどは、英米露など約100か国・地域で約7万5000件の被害が出たと伝え、日産自動車の英工場にも影響が及んだ。オランダ・ハーグの欧州警察機構(ユーロポール)は13日、 「攻撃は前例を見ない水準だ」 とする声明を発表し、国際協力を呼びかけた。


12日、独フランクフルトの鉄道駅で、支払い要求のメッセージが表示された電光掲示板

上記内容が各所で報じられました。イングランドとスコットランドでは医療機関のシステムが被害を受けて、手術が中止になるケースもあったようです。

『Wana Decrypt0r 2.0』『WannaCry 2.0』などの名前を持つこのランサムウェアは、SMB1の脆弱性(MS17-010 / CVE-2017-0144)を悪用していますが、サポート期間中のOSは2017年3月度のWindows Updateで修正済みとなっています。

しかし、Microsoftは今回の騒動を受けて、サポートが既に終了しているOS(XPなど)用の修正パッチ(KB4012598)も緊急リリースしました。現在、下記のアドレスからダウンロードができるようになっています。

 Microsoft Updateカタログ 『KB4012598』
 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

< Update 1: Win7/8.1/10でSMB1自体を無効化する方法 >

Windows,ウイルス


(Source:Leaked NSA point-and-pwn hack tools... / NSA's Windows Hacking Tools Leaked... / NSA-leaking...)

<ザックリ意訳>
2016年夏にNSAからハッキングツールが盗まれた。ハッキングツールを入手したハッカー集団のShadow Brokersはオークションにかけたが、買い手がつかず、無料で公開することにした。現在、このハッキングツールは誰でもダウンロードすることができる。

このハッキングツールはWindows10を除いて、Windows2000からWindows8まで幅広く対応している。セキュリティの専門家は 「知識のある者が使えば、ダウンロードして2分でサーバーをハックすることができる。想像以上に最悪なものだ」 と語った。実際にこのハッキングツールを使って2分でハッキングしている動画も公開されている。

万が一にも影響を受けたくない重要なシステムは、数日間オフラインにしておくことを専門家は推奨しているが、これはあまりにも不便なソリューションと言えるだろう。

この報告を受けて、Microsoftは 「顧客を保護するために必要な措置を講じる」 と述べた。


上記内容が海外メディアの各所で報じられました。

ツールへのリンクは貼りませんが、研究目的などで興味のある方はソース元へ行ってリンクの貼られている『The files』からジャンプしてどうぞ。くれぐれも取り扱いにはお気をつけくださいませ。実行した結果、どうなるかはわかりません。

万が一にもウイルス感染は避けたいといった方は、触らぬ神に祟り無しです。

< Update 1 >
Microsoftが調査報告を公開しました。曰く 「これらのエクスプロイトを調べた結果、適切にWindows Updateを行っているWindows7以上のバージョンには影響はない」 とのことで、

これまでに配信されたパッチで修正済みだそうです。Windows Updateの提供が終了している製品に関しては影響するようですが、これに関しては仕方なしですね。