10周年のSPコンテンツ!
416
コンピュータ・ウィルスは正当な理由なく作成,提供,取得または保管した場合,不正指令電磁的記録に関する罪に抵触する場合があります. また,自己の環境でうっかり起動した場合,回復不可能な損失が生じる場合があります. 迂闊に真似をしたり,興味本位で入手しようとしたりしないでください.

不正指令電磁的記録に関する罪 - Wikipedia

宮っち🌱 @202miyako
例のウィルスの検体見つけたので走らせてみる
宮っち🌱 @202miyako
あ,検証用WAN回線はPocketWiFiにUSB無線LANアダプタ経由で繋いでます

最初はリストア直後のネットブック(Win7 Starter)で実施

ボリュームシャドウコピーが削除される

なお,UACが無効になっている場合,確認なく続行する UAC大事
→検証しました 確認出ませんでした
「いいえ」を選択しても,「はい」を押すまで何度でもダイアログが表示される

UACの選択・放置にかかわらず暗号化処理は開始される

ネトブがヘボく,ファイル改竄やリネームの動きを見るためFileSystemWatcherを動かしてた自作ツールが凍る

宮っち🌱 @202miyako
@202miyako 変更検知ツール凍っちゃった(ログは吐き続けてるっぽい) まぁやり直し効くしいいや pic.twitter.com/i65MpTrIPc
拡大
宮っち🌱 @202miyako
@202miyako SSDのアクセスが止まらない(USBメモリはログ吐いてる) pic.twitter.com/CyFtnb3wnE
宮っち🌱 @202miyako
@202miyako AppData以下にファイルが置かれては消えていく pic.twitter.com/5EfGGhEFWW

念入りにもう1回シャドウコピー削除

宮っち🌱 @202miyako
@202miyako アクセス止まったと思ったら2回目のvss pic.twitter.com/jc2BWlITVf
拡大
宮っち🌱 @202miyako
@202miyako 需要あるのか知らないけど,金払えメッセージ画面置いときますね pic.twitter.com/xjd0lfsdXl
拡大
拡大
拡大
宮っち🌱 @202miyako
まだログ吐いてるけどとりあえず動きはわかった いくつか検証したいこと出てきた 時間かかるしVMwareに切り替えるか

いよいよネトブに我慢できなくなり,仮想PC(Win7 Ultimate x64)に移動

宮っち🌱 @202miyako
@202miyako テスト環境構築からリトライ VMはスナップショット使えるのがありがたい pic.twitter.com/AwX6IlrB0d
拡大
宮っち🌱 @202miyako
今から試したいこと 1.ファイル暗号化に使った鍵をどっかに送信してるはずなので通信内容の傍受

下記ブログや検証動画によると,誘導されるサイトへ暗号化済ファイルをアップロードするときちんと復号化されるようである
暗号鍵は各環境ごとに生成されるらしいので,何らかのタイミングで生成した秘密鍵を外部へ送信していると仮定した

ファイルをVVVに書き換えるランサムウェアの蔓延とWin10の強制アップグレードで感染する事例が急増!? - Windows 2000 Blog

宮っち🌱 @202miyako
@202miyako 2.%userprofile%\AppData\Local\VirtualStoreに一時ファイルコピー→暗号化→元ファイル削除→暗号化済ファイル移動 って感じの動きなので,VirtualStoreを読み専にしたらどうなるのか

先述のツールで出力したログの内容より
※後にこの筋は誤りであることが判明

宮っち🌱 @202miyako
@202miyako 3.追加 オフライン状態で走らせたらどうなるのか
残りを読む(61)

コメント

kumonopanya @kumonopanya 2015年12月8日
ネット普及以前だとレポートが雑誌に乗ったりするまで数週間はかかってたが、昨日の今日でこんなレポートを読める時代はほんとすごい。
宮っち🌱 @202miyako 2015年12月8日
Roamingフォルダへの権限設定による他アプリケーションへの影響について追記しました
RUN @Runagate 2015年12月8日
vvvのウィルス対策きたよーだ。ありがてぇ。
二行緑@横須賀鎮守府万年大将 @g255_twoline 2015年12月8日
多分このへんの作りは甘いだろうと思ってたけど案の定かぁ
こばやし 'にらたま' けんいち @Niratama 2015年12月8日
興味深い。AppDataなどのデータフォルダ以下のファイル実行禁止する仕組みはないのかな
近藤 和宏 @kondoujp 2015年12月8日
%AppData% 以下なら普通データ置き場だし、実行権限禁止にするだけでも大抵問題なさそう。%LocalAppData% は下に Temp があるので (インストーラーとかが一時的に展開し、それを起動できなくて) 爆死するけどw
Aki @nekoruri 2015年12月8日
UACで拒否しても、VSSの復元ポイントが守れるだけでファイル自体は暗号化されてしまう、でいいのかな。
シーライオン+@浮上 @sealion0313 2015年12月8日
これはいい対策。いちおう大事なフォルダやデータはカードに避難させてあるけど、対策が拡散されるとウイルス作ってる側も対策破りを講じるだろうから、しばらくはネット接続しないパソでしか作業しないほうがいいかな。
Aki @nekoruri 2015年12月8日
Niratama NTFSに「フォルダのスキャンとファイルの実行」というACLがあるので、素直にそれでディレクトリ配下のファイルを実行禁止にできるっぽい? (未検証)
[男爵]やっきぃ🍣💿 @yaky_404 2015年12月8日
素晴らしい 読み物としても面白かったです
こっぱみじん😈あんどあいか#1206 @paoohn 2015年12月8日
公開鍵取得してるだけで秘密鍵はローカルには持たないんじゃないですかね?もっとも、秘密鍵全部復号用のサーバに保持しているのか疑問なので、途中で生成するMD5あたりを元ネタに鍵ペア作ってる可能性はありそうな気がしますが
クソリプ魔王 @urawazakun 2015年12月8日
お金払ってでも読みたかったまとめというか、今からでも続報をどっかに寄稿してみては、とも思います
おおかみ @wolf64m 2015年12月8日
巷で噂のvvvの挙動が検証出来たらしい
なおと(codeslinger) @naocodeslinger 2015年12月8日
なるほど。Roaming直下ファイル禁止でいけるのか。
keyray @Keyray7 2015年12月8日
Bitdefenderの出してるAnti-Ransomwareが%appdata%下と%startup%下でのファイル実行を止めると言ってるんで、このへんのことは既知なんじゃないかな
娑婆助 @shabasuke 2015年12月8日
HIPS使っている人が少ないからかこういった報告はあまりないね。なんにせよ意識高い人は広告ブロックしてるしjavaやスクリプトも切ってるだろうから引っかからないのだろう。
trycatch777 @trycatch777 2015年12月8日
素晴らしい検証です!
四条あき @Aki_Shijou 2015年12月8日
なるほど、わからん
自転 @g_tenlow 2015年12月8日
この騒ぎが落ち着くまでRoaming直下のファイル作成を禁止すればいいのね。 まず、わからない人はコレを参照して http://windows.microsoft.com/ja-jp/windows/show-hidden-files#show-hidden-files=windows-7 こっちを見よう。 http://www.teppi.com/solution/file_mgmt/008_filing_win_acl03.htm
自転 @g_tenlow 2015年12月8日
あくまでも被害を最小限にできるって感じだなぁ。 グループポリシーの抑止はこのサイトの通り、間違えたらログオン出来ない可能性があるので全て自己責任でやってね。 http://solomon-review.net/windows10-upgrade-inhibit/
sabimaru (猫星人犬) @sabimaru 2015年12月8日
WinSCPがRoaming直下にini(設定ファイル)やrnd(乱数ファイル)を置いてた。お行儀悪いのね。
yhousako @4oc 2015年12月8日
お疲れ様です。とてもありがたい。
Takeshi Kusumoto @takeshi_kusumot 2015年12月8日
UACとは一体…うごごごごご 今回の件では何の役にも立たない上に今まで通常時でもインストールの邪魔だけはしてくる不思議
いろもく @iromoku 2015年12月8日
検証過程まで公開してくれてるのか…ありがたいありがたい…
こっぱみじん😈あんどあいか#1206 @paoohn 2015年12月9日
この検証結果でUACに文句言ってる人は何を見てるんだろう?身に覚えがないのに権限昇格確認が出てきた時点で疑えるんだから充分に役に立ってるし、脆弱性を利用した権限昇格まで行われていないのであれば、Windows 7以降の標準バックアップ機能で作られたバックアップも(ACLこじ開けてなければ)守れるんだけど
ちはや🌸🐱 @Chihalog 2015年12月9日
ヤツがRoamingにフォルダ作成するようになるとちょっとキツいかもしれないですねー。ファイル作成禁止だけでは回避できなくなるので。
しもべ @14Silicon 2015年12月9日
本当のウイルスよりも捉えにくいかもしれないコンピュータウイルスを市民が捕らえて(捉えて)研究してその結果を提供しているの素敵過ぎる
きゃきらん @kyakirun 2015年12月11日
検証ありがとうございます、
🐌 @kota2muri 2015年12月12日
%AppData%を開いてみて、そこにフォルダ以外の物を作る変なソフトがこの対策で使えなくなるか動作がおかしくなる問題がでる可能性があるってことですね。フォルダしかないならこの対策を試してみても特に問題はないかと思います。
小旗ふたる@C96(月)南ヤ-37a @Kass_kobataku 2015年12月13日
なるほど。 ※どこのフォルダやねんって人はwindowsキー(windowsのマークが描かれてたりするキー)とRを同時に押して出てきたウィンドウに appdata と(勿論半角で)入力してenterをおすとよろし。
水鳴 倫紅(みなき りんく) @linc_for_music 2015年12月14日
このフォルダ自体知りませんでした……。自己責任で対策しました。説明ありがとうございます……!
Bauer @WorldLeaf 2019年2月19日
おー、パソコンのお医者さん
ログインして広告を非表示にする
ログインして広告を非表示にする