最近有名になりランサムウェアは実際には復号できないものが多い。
「WannaCry」や「GoldenEye」は、主に（メールやWebの脆弱性を使わず）ネットワークで感染することで短時間の被害が大きく、問題になったが。

この二つ、お金を払って復号に成功した人はいない模様。

また、ビットコインのIDが晒され、監視されているため、うかつにお金が動かせない。

「ランサムウェア as a サービス」で集金、復号などが組織化されている場合でも、
全てのファイルの復号に成功する可能性は20%以下ではないかとする研究者もいる。

つくりの甘いランサムウェアは、暗号化時にファイルを破壊してしまうため、
100%の復号はまず望めない。

しかし、「WannaCry」や「GoldenEye」に至っては、ただの破壊目的のテロではないかと疑われている。

とはいえ、ランサムウェアに感染してお金を払ったら、ビットコインのIDを晒すことで、換金を難しくすることは可能となりそうだ。

ランサムウェアの活動をけん制する意味でも、ランサムウェアに利用されているビットコインIDはどんどん晒していこう。

昨日、「請求書の件」という件名のスパムメールについていたダウンローダに
ダウンロードされるURSNIFは、サンドボックス対策として、
正しい名前で正しい場所に存在しないと発症しないようになっていましたよ。

でも、エントロピーで暗号化された本体がいることは明白だったので、
何とか解析できました。

面倒くさい。

先々週から体調を崩して、とうとう今週は寝込んでしまった。
今日からやっと復活しました。

ところで、先週末から今週頭にかけてばらまかれたURSNIFがDLLになっていました。

だいたいは
C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\<ランダムっぽい名前>\ランダムっぽい名前.dll
に潜んでいる。

URSNIFに感染しているか見るのは、Bootkitに感染しているケースも考えると、本体を探すより、
C:\Users\<ユーザ名>\AppData\Local\Temp\????.bin
があったら感染しているかも。
という方法で確認するのがよいかも。

Bootkitへの感染に成功している例をまだ見ていないので何とも言えないが、
そこの動きは変わらないんじゃないかな？

では、（＾＾）／~~~

「一般財団法人 日本サイバー犯罪対策センター」がウイルス付スパムメールのインデックスを提供している。

全てを網羅できているかはわからないが、これは有用だ。

ウイルス付メール INDEX版

注意喚起に活用するとともに、迅速な情報提供ができるような体制をとりたいという気にさせてくれる。

よきかな～～～♪

「URSNIF」を感染しようとするメールのキャンペーンが続いているようだ。

最初は「請求書」という件名、
続いて「請求書ほか」になり、
「6月分請求データ」、「請求書添付書類について」と続いている。

4半期末とあって、請求書で開いてしまう人が多いのか、日本企業を狙って送られているようだ。

「URSNIF」はWebブラウザに保存されている「ユーザID」と「パスワード」を狙うほか、感染中にネットバンキングを利用すると預貯金が不正に送金されてしまう。

企業での最大の防御は、ネットバンキング用の端末とメールを受けるイントラネット用の端末を分けることだろう。

受信するメールが十分に少ないなら、Officeファイルのマクロを受信時に削除してしまう「メール無害化」ソリューションを使う手もあるかもしれない。

それより重要なのは、メールを機械的に開き添付ファイルを開いてしまうのではなく、一つ一つのメールに興味を持ち、自分に関係のないメールや身に覚え無ないメールは極力開かないということだろう。

不審メールに気をつけろというより、「興味・関心を持て」というほうが正しいと思う。

さぁ、みんなで「レッツセキュリティ」！！

ネットバンキングの預貯金を狙ういわゆるバンキングトロジャン「URSNIF」の亜種で
「BootKit」をつかって感染を隠すものが発見されたらしい。

Trendmicroのブログで紹介されている。

「BootKit」は厄介な奴で、Windowsが起動する前にウイルスを起動してしまうため、Windows上のウイルス対策ソフトでは発見・駆除が困難だ。

しかし、今回の「URSNIF」の場合、「BootKit」を使った感染には、少なくとも2つの障壁が存在する。

一つはセキュリティパッチだ。
「BootKit」として感染するためにはシステム権限を奪取しなければいけない。
そのためにWindowsの特権昇格の脆弱性「MS16-135（CVE-2016-7255）」を利用するらしい。
最新のパッチが当たっていれば感染しない。

もう一つはBIOSやUEFIのセキュリティ機能だ。
BiosやUEFIのセキュリティ機能で「MBR（マスターブートレコード）」の書き換えを禁止していれば感染できない。
この機能を持つBIOSは、WindowsなどのOSインストール時のモードと、通常運用時のモードを持っているはずだ。
通常運用時のモードになっていれば「BootKit」は感染できない。

「不審メールを開いてしまって、パッチもあててない（あててるかわからない）、不安だ。」という人は、各セキュリティベンダーが対策ソフトを出している。

カスペルスキーのツールは説明が日本語でわかりやすいかもしれない。

ブートキット（bootkit）を削除する方法

まぁ、感染したら結構厄介なウイルスもいると認識しておくべきでしょう。

では（＾＾）／~~~

iOSは知らないけど、Androidスマホは、通信事業者が切り替わった後でもWiFiでデータを移行できるからあわてなくていいね。

もう、ケータイ事業者のメールアドレスなんて使わない。

ケータイ事業者のメールアドレスしか受け付けないようなサービスは使わない。
というか、もうほとんど残ってないよね。

モバイルSuicaですら、ドメインが自分で入れられるようになっていた。

でも、気のせいじゃないと思うけど、Nuro Mobileが若干低速に感じる。
Webを見ている分には全く気にならないけど、たぶん、ダウンロードが遅い気がする。

早く見直して早くなってほしいなぁ。


NuAns NEO[Reloaded]は、特に不満な点はない。

・・・といいたいところだけど、唯一欠点がある。

指紋認証センサーとホームボタンが近すぎて、指紋認証を使うアプリで指をかざした瞬間にアプリが閉じてしまうことがしばしば。

それ以外は今のところ問題なし。

あ～あと、純正の画面保護シールを張るときは、説明書をよく読もう。

失敗するとシートがふにゃふにゃなので結構悲惨なことになるぞ！！

先週から、断続的にURSNICをダウンロードさせようという不審メールが大量にばらまかれているようです。

送信元は、ボット化された一般の端末らしく、単純に防ぐのは難しそうです。

多くは、「御請求書.xls」など、MS-Excelのファイルのようですが、
JSなど、他の添付ファイルもあるかもしれません。

第1四半期末に「請求書」騙られると開いちゃうかもしれませんが、
「コンテンツの有効化」を行わなければウイルスに感染することはないと思います。

但し、「御請求書.xls」には、ご丁寧に「コンテンツの有効化」をクリックするように指示が書かれています。

巧妙になってきているというのでしょうかね。

家族は、続々新しい巣真帆に乗り換えていますが、
私のスマホだけ到着が未定になっていて、
SIMの申し込みができていません。

タブレットも、買い換えようかなぁ