記事表示
マイクロソフトを語るウイルス感染詐欺 - tenten
2020/06/16 (Tue) 12:07:31
Microsoftゴミュニティの得策方法。
対策 APP で 100% 検出される保証は無いので心配なら PC メーカー サポート 手順に従って Recovery メディアで Recovery(工場出荷時状態に戻す)を行う
設定 > 回復 から 初期化しても一部情報が残るようなので要注意!
https://answers.microsoft.com/ja-jp/protect/forum/all/%e3%83%9e%e3%82%a4%e3%82%af%e3%83%ad%e3%82%bd/5a015f2b-f272-4259-b918-815a4ba53c8c
対策 APP で 100% 検出される保証は無いので心配なら PC メーカー サポート 手順に従って Recovery メディアで Recovery(工場出荷時状態に戻す)を行う
設定 > 回復 から 初期化しても一部情報が残るようなので要注意!
https://answers.microsoft.com/ja-jp/protect/forum/all/%e3%83%9e%e3%82%a4%e3%82%af%e3%83%ad%e3%82%bd/5a015f2b-f272-4259-b918-815a4ba53c8c
一部データは残りますね - IVNO
2020/06/16 (Tue) 14:58:38
Windows標準搭載の回復からだけでなく、メーカー独自のリカバリツールを用いても多少情報は残りますね。
そもそも、パーティションを削除してさえデータの吸出しが可能である状況ですから、パーティションの削除すら行わない入れ直しでは情報が残るのも当然ですし、Windows標準搭載の回復に関しては、ユーザープロファイルすら残るパターンもあれば、ユーザーフォルダ内のみ残るパターンもありますが、いずれにせよ一部はどうやっても残りますし、過去データとしてバックアップが作られる関係上、クリーンインストールとは程遠い状態になります。
ユーザーサイドで万全を期すのであればクリーンインストールで、100%安全を謳うなら、HDDメーカーによる物理フォーマットからのOSクリーンインストールですね。
もっとも、物理フォーマットしてもらう費用のことを考えれば、新たにHDDを買いなおすほうが安いんですけどね。
そもそも、パーティションを削除してさえデータの吸出しが可能である状況ですから、パーティションの削除すら行わない入れ直しでは情報が残るのも当然ですし、Windows標準搭載の回復に関しては、ユーザープロファイルすら残るパターンもあれば、ユーザーフォルダ内のみ残るパターンもありますが、いずれにせよ一部はどうやっても残りますし、過去データとしてバックアップが作られる関係上、クリーンインストールとは程遠い状態になります。
ユーザーサイドで万全を期すのであればクリーンインストールで、100%安全を謳うなら、HDDメーカーによる物理フォーマットからのOSクリーンインストールですね。
もっとも、物理フォーマットしてもらう費用のことを考えれば、新たにHDDを買いなおすほうが安いんですけどね。
Re: マイクロソフトを語るウイルス感染詐欺 - tenten
2020/06/16 (Tue) 16:03:51
回復環境に残される可能性は理解できております。
それが将来的に悪意ある行動をするかは疑問に思う点も
全てにおいてクリーンインストールを求めるべきかどうかの
判断が難しい可能性はありませんか(・・?
それが将来的に悪意ある行動をするかは疑問に思う点も
全てにおいてクリーンインストールを求めるべきかどうかの
判断が難しい可能性はありませんか(・・?
状況次第でしょうね - IVNO
2020/06/16 (Tue) 19:52:03
回復環境からですら復活するマルウェアやリカバリ耐性のあるマルウェアが相手なら、文字通りハードウェアの交換と言う荒業が最適解となりますし、おっしゃられている時限式や大多数のアドウェア程度であればWindows標準搭載の回復でも十二分となります。
特に時限式は遠隔型とレジストリ型に分かれますが、いずれにしても特定の箇所に潜り込んでいることというのが前提となります。
保存先が強制的に変更されれば時限式は動作しなくなりますので、Windowsの回復によって削除されずに旧データが残っている状態であっても問題ないとなりますね。
いずれにしても適さないのは、システムの復元くらいでしょうか。
ただし、当日にWindows Update等で復元ポイントが生成されており、復元ポイントが生成された以降の当日中に感染、解決を目指すのであれば、システムの復元も無意味とは言いませんが、なかなか難易度の高い注文ですので、軽微な感染被害を最速で解決するには、リカバリではなくバックアップからの復元が無難でしょう。
それができないのであれば、次点でリカバリしてみようかとなります。
とは言っても、文字情報のやり取りだけでそこまで聞き出すのは大変でしょうし、齟齬が発生する可能性があります。
であるなら、とりあえずリカバリしてみようという脳死回答は、たとえ脳死であろうと現状で出来る返答としてあながち間違っているとも言い切れません。
とりあえずシス復してみようと言われるより100倍マシです。
特に時限式は遠隔型とレジストリ型に分かれますが、いずれにしても特定の箇所に潜り込んでいることというのが前提となります。
保存先が強制的に変更されれば時限式は動作しなくなりますので、Windowsの回復によって削除されずに旧データが残っている状態であっても問題ないとなりますね。
いずれにしても適さないのは、システムの復元くらいでしょうか。
ただし、当日にWindows Update等で復元ポイントが生成されており、復元ポイントが生成された以降の当日中に感染、解決を目指すのであれば、システムの復元も無意味とは言いませんが、なかなか難易度の高い注文ですので、軽微な感染被害を最速で解決するには、リカバリではなくバックアップからの復元が無難でしょう。
それができないのであれば、次点でリカバリしてみようかとなります。
とは言っても、文字情報のやり取りだけでそこまで聞き出すのは大変でしょうし、齟齬が発生する可能性があります。
であるなら、とりあえずリカバリしてみようという脳死回答は、たとえ脳死であろうと現状で出来る返答としてあながち間違っているとも言い切れません。
とりあえずシス復してみようと言われるより100倍マシです。
MPCを思い出しました - 悪代官
2020/06/16 (Tue) 23:14:52
>go to opener
名前からして数年前から伏魔殿掲示板でも見つかっていたopener系ですかね。
free file openerとかrar file openeとか紛らわしい名前でいくつかありました。
やはり伏魔殿で何度か見つかったm〇re p〇werful cleaner(MPC)は復元ポイントを消す性質を有していたのも日本ではまだあまり知られてないみたいです
名前からして数年前から伏魔殿掲示板でも見つかっていたopener系ですかね。
free file openerとかrar file openeとか紛らわしい名前でいくつかありました。
やはり伏魔殿で何度か見つかったm〇re p〇werful cleaner(MPC)は復元ポイントを消す性質を有していたのも日本ではまだあまり知られてないみたいです
goto openerからの対応 - tenten
2020/06/17 (Wed) 06:11:38
IVNOサン並び悪代官サン有難うございます、こちらで非常にお勉強
させていただいております。
リモートアクセスし受け入れた物が初期化状態により鎖に繋がれ封印された
状態に中、表面に出て来る可能性はあるのでしょうが情報数の少ない段階で
個人が受け入れた物が初期化状態でも鎖がとかれ、目に見えた活動を始める
事を自身が察知する、もしくはセキュリッティ対策ツールが反応してくれる
とは限らないような気がします、基本的なストレージのフォーマットでの
再構成が一番安全なのかもしれません。
ただし全てのユーザーがそれらを受け入れてくれる事は無いかと思います
こちらのような駆除サイトのように最終段階まで適切なアシストが出来る
場所が必要なのですね。
させていただいております。
リモートアクセスし受け入れた物が初期化状態により鎖に繋がれ封印された
状態に中、表面に出て来る可能性はあるのでしょうが情報数の少ない段階で
個人が受け入れた物が初期化状態でも鎖がとかれ、目に見えた活動を始める
事を自身が察知する、もしくはセキュリッティ対策ツールが反応してくれる
とは限らないような気がします、基本的なストレージのフォーマットでの
再構成が一番安全なのかもしれません。
ただし全てのユーザーがそれらを受け入れてくれる事は無いかと思います
こちらのような駆除サイトのように最終段階まで適切なアシストが出来る
場所が必要なのですね。
偽メール経由での被害が懸念されます - 悪代官
2020/06/17 (Wed) 22:06:50
桶波でも同様の質問出てました。
https://okwave.jp/qa/q9761619.html
GoTo AssistとそのプラグインGoTo Openerを入れられて遠隔操作された手口も同じようですね。
ただGoTo Assistは一部のメーカーが自社PCのサポートでユーザーPCに入れて操作することもあるし、過去の伏魔殿事例でも最初からプリインストールされていたこともありました。
web会議の激増を狙って、関係者を装うメールで遠隔操作ツールをインストールさせる手口も大量に湧くのが予想されます
https://okwave.jp/qa/q9761619.html
GoTo AssistとそのプラグインGoTo Openerを入れられて遠隔操作された手口も同じようですね。
ただGoTo Assistは一部のメーカーが自社PCのサポートでユーザーPCに入れて操作することもあるし、過去の伏魔殿事例でも最初からプリインストールされていたこともありました。
web会議の激増を狙って、関係者を装うメールで遠隔操作ツールをインストールさせる手口も大量に湧くのが予想されます
Microsoftコミュニティgoto opener - tenten
2020/06/18 (Thu) 05:02:21
悪代官サン返信ありがとうございます。
goto openerについては2月頃にMicrosoftコミュニティでも取り上げられて
いました。
回答者がUSコミュニティで継続的な状況にはならず止まった状態です。
(スレ主サンからの返信がつかず、引き上げて回答者も見えます)
https://answers.microsoft.com/ja-jp/protect/forum/all/goto-opener/dafaa32b-f295-40cf-b34f-785c6d98dfae
スパム攻撃に対しては個人の認識不足によるモノかと、多くの攻撃者はメール
アドレスへの攻撃がWebサイトからよりも有効的なのがわかっています、
PC以外の端末への直接的にアプローチでき、簡単にターゲットを見つける事が
出来ます。
悪質Ransomwareの被害も増える状況にあるようで、conhost.exeあたりの
プロセスにも注意が必要な気がします。
【三度ホンダがランサムウエア攻撃される】
https://news.yahoo.co.jp/articles/df341fdbae6ab24f672a31b101ae45b936212712
goto openerについては2月頃にMicrosoftコミュニティでも取り上げられて
いました。
回答者がUSコミュニティで継続的な状況にはならず止まった状態です。
(スレ主サンからの返信がつかず、引き上げて回答者も見えます)
https://answers.microsoft.com/ja-jp/protect/forum/all/goto-opener/dafaa32b-f295-40cf-b34f-785c6d98dfae
スパム攻撃に対しては個人の認識不足によるモノかと、多くの攻撃者はメール
アドレスへの攻撃がWebサイトからよりも有効的なのがわかっています、
PC以外の端末への直接的にアプローチでき、簡単にターゲットを見つける事が
出来ます。
悪質Ransomwareの被害も増える状況にあるようで、conhost.exeあたりの
プロセスにも注意が必要な気がします。
【三度ホンダがランサムウエア攻撃される】
https://news.yahoo.co.jp/articles/df341fdbae6ab24f672a31b101ae45b936212712