ここから本文です

★Cryptowall4.0と除去tool Cryptowall4.0は複雑な感染手法を採っているので、...

cra********さん

2016/1/2707:59:39

★Cryptowall4.0と除去tool

Cryptowall4.0は複雑な感染手法を採っているので、一概には言えないが、
1)プロセスインジェクション

2)Dllインジェクション
3)autorunの生成
4)実行ファイルなどの生成

------------------------
あれこれと検知してくれる削除toolは、
*MBAMでおなじみの、MBAR(Anti-rootokit)と
*Rogue Killerである。

ただしRogue Killerは誤検知も、それなりにあるようで、logを吟味してから削除しなければいけない。

さて以下は、MBARが検知したlogである

Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org

Database version:
main: v2016.01.25.02
rootkit: v2016.01.20.01

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
crara6 unko :: crara6 unko-PC [administrator]

2016/01/26 0:50:53
mbar-log-2016-01-26 (00-50-53).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 321048
Time elapsed: 11 minute(s), 23 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 9
C:\Users\crara6unko\Desktop\HELP_YOUR_FILES.HTML (Trojan.Injector.AutoIt) -> Delete on reboot. [10c6ae8f4752f640428cca6dea1ad42c]
C:\Users\crara6unko\Desktop\HELP_YOUR_FILES.PNG (Trojan.Injector.AutoIt) -> Delete on reboot. [7561a7969207ac8a814dd760976de11f]
C:\Users\crara6unko\Desktop\HELP_YOUR_FILES.TXT (Trojan.Injector.AutoIt) -> Delete on reboot. [7c5a7ac3b3e6e353aa24d463d82c40c0]
C:\Users\crara6unko\AppData\Local\HELP_YOUR_FILES.PNG (Trojan.Injector.AutoIt) -> Delete on reboot. [efe7ac91a5f43600329d45f237cd639d]
C:\Users\crara6unko\AppData\Local\HELP_YOUR_FILES.PNG (Trojan.Injector.AutoIt) -> Delete on reboot. [9a3c231a3d5c90a6a42b152283818e72]
C:\Users\crara6unko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.HTML (Trojan.Injector.AutoIt) -> Delete on reboot. [e7efb9842574ca6c9838d46330d4ba46]
C:\Users\crara6unko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.PNG (Trojan.Injector.AutoIt) -> Delete on reboot. [9a3cf34a1089eb4be8e8e84f32d232ce]
C:\Users\crara6unko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.TXT (Trojan.Injector.AutoIt) -> Delete on reboot. [7660122beaafb4825c741e194aba3dc3]
C:\ProgramData\HELP_YOUR_FILES.PNG (Trojan.Injector) -> Delete on reboot. [f3e3ab92f1a8b680f1f6db5c4db7cc34]

Physical Sectors Detected: 0
(No malicious items detected)

(end)

MBARが取りこぼした悪性ファイル、レジストリ等をさらにRogue Killerで検査してもよいと思うが、Rogue Killerはメインのscanが開始される前に、予備的にscanして悪性プロセスを停止するという効果的な機能もあるので、この機能を重視すれば最初はRogue Killerから開始すべきかとも、思う(Rkillを使ってから、MBARでもOKだと思うが)。

(添付写真はMBAR)

--------------
さて質問

その他の削除toolは、どうか?

RogueKiller,Cryptowall4.0,crara6 unko-PC,Heuristics,Objects scanned

閲覧数:
142
回答数:
2

違反報告

ベストアンサーに選ばれた回答

dr_********さん

2016/1/2720:52:15

ところで、Cryptowall4.0を現実環境に感染させてlogを見ると、

HKLM/Software/Microsoft/Windows NT/Current Version/SystemRestore/に
DisableSR = dword:00000001




打ち込まれていた。見事なものです。
このregメソッドは Reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore" /v DisableSR /t REG_DWORD /d 1 /f

ボリュームシャドウコピーを破壊した上での、この操作。うーむ。Shadow Explorerでのデータ吸い出しも、実際、やってみるとほとんど不可能であることが分かる。

この質問は投票によってベストアンサーに選ばれました!

ベストアンサー以外の回答

1〜1件/1件中

him********さん

2016/1/2716:24:52

感染してファイルが暗号化された状態で、ランサムウェアを削除しても意味ないのではないでしょうか。
新種であっても感染させないセキュリティソフトを導入すべきではないのでしょうか?

返信を取り消しますが
よろしいですか?

  • 取り消す
  • キャンセル

この質問につけられたタグ

みんなで作る知恵袋 悩みや疑問、なんでも気軽にきいちゃおう!

Q&Aをキーワードで検索:

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。
お客様自身の責任と判断で、ご利用ください。
本文はここまでです このページの先頭へ

「追加する」ボタンを押してください。

閉じる

※知恵コレクションに追加された質問は選択されたID/ニックネームのMy知恵袋で確認できます。

不適切な投稿でないことを報告しました。

閉じる