最近有名になりランサムウェアは実際には復号できないものが多い。
「WannaCry」や「GoldenEye」は、主に（メールやWebの脆弱性を使わず）ネットワークで感染することで短時間の被害が大きく、問題になったが。

この二つ、お金を払って復号に成功した人はいない模様。

また、ビットコインのIDが晒され、監視されているため、うかつにお金が動かせない。

「ランサムウェア as a サービス」で集金、復号などが組織化されている場合でも、
全てのファイルの復号に成功する可能性は20%以下ではないかとする研究者もいる。

つくりの甘いランサムウェアは、暗号化時にファイルを破壊してしまうため、
100%の復号はまず望めない。

しかし、「WannaCry」や「GoldenEye」に至っては、ただの破壊目的のテロではないかと疑われている。

とはいえ、ランサムウェアに感染してお金を払ったら、ビットコインのIDを晒すことで、換金を難しくすることは可能となりそうだ。

ランサムウェアの活動をけん制する意味でも、ランサムウェアに利用されているビットコインIDはどんどん晒していこう。

昨日、「請求書の件」という件名のスパムメールについていたダウンローダに
ダウンロードされるURSNIFは、サンドボックス対策として、
正しい名前で正しい場所に存在しないと発症しないようになっていましたよ。

でも、エントロピーで暗号化された本体がいることは明白だったので、
何とか解析できました。

面倒くさい。

先々週から体調を崩して、とうとう今週は寝込んでしまった。
今日からやっと復活しました。

ところで、先週末から今週頭にかけてばらまかれたURSNIFがDLLになっていました。

だいたいは
C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\<ランダムっぽい名前>\ランダムっぽい名前.dll
に潜んでいる。

URSNIFに感染しているか見るのは、Bootkitに感染しているケースも考えると、本体を探すより、
C:\Users\<ユーザ名>\AppData\Local\Temp\????.bin
があったら感染しているかも。
という方法で確認するのがよいかも。

Bootkitへの感染に成功している例をまだ見ていないので何とも言えないが、
そこの動きは変わらないんじゃないかな？

では、（＾＾）／~~~

「一般財団法人 日本サイバー犯罪対策センター」がウイルス付スパムメールのインデックスを提供している。

全てを網羅できているかはわからないが、これは有用だ。

ウイルス付メール INDEX版

注意喚起に活用するとともに、迅速な情報提供ができるような体制をとりたいという気にさせてくれる。

よきかな～～～♪

「URSNIF」を感染しようとするメールのキャンペーンが続いているようだ。

最初は「請求書」という件名、
続いて「請求書ほか」になり、
「6月分請求データ」、「請求書添付書類について」と続いている。

4半期末とあって、請求書で開いてしまう人が多いのか、日本企業を狙って送られているようだ。

「URSNIF」はWebブラウザに保存されている「ユーザID」と「パスワード」を狙うほか、感染中にネットバンキングを利用すると預貯金が不正に送金されてしまう。

企業での最大の防御は、ネットバンキング用の端末とメールを受けるイントラネット用の端末を分けることだろう。

受信するメールが十分に少ないなら、Officeファイルのマクロを受信時に削除してしまう「メール無害化」ソリューションを使う手もあるかもしれない。

それより重要なのは、メールを機械的に開き添付ファイルを開いてしまうのではなく、一つ一つのメールに興味を持ち、自分に関係のないメールや身に覚え無ないメールは極力開かないということだろう。

不審メールに気をつけろというより、「興味・関心を持て」というほうが正しいと思う。

さぁ、みんなで「レッツセキュリティ」！！