ランサムウェアのLockyにやられたので、その対処で分かったことをメモしておく

ネットワーク上のあるコンピュータで感染する操作が行われ、ネットワーク上の共有フォルダ、つまるところファイルサーバのファイルがやられて被害が大きく、、、という寸前でした。
実際に自分が対処してた時間帯にはほとんどなかったのだけれど、この数時間に関連情報は増えたいるようです。ESETがリリース出してるのかな? 確認してないけど。事実確認してないでしょ?というありきたりのことを書いただけの記事も他に出ているみたい。ロッキー、Locky、ランサムウェア、ウイルス、身代金、といった単語がキーワードでしょうか。ちなみに一部で出回っている記事にある Java, Adobe Reader, Flash 等の古いバージョン云々は関係なくファイルを開くだけで攻撃成立じゃないですかね。手元で確認した doc ファイルは、開くと中身はまっしろけのものと少しの本文があるものといった数種類。
(追記)検知具合はというと、VirusTotal ではいくつかのエンジンでマルウェア判定、自社で使っているウイルス対策ソフトは届いてからほぼ翌日以降の対応、メールスキャンで使用されるエンジンはこの事故のあとは数時間の対応になったようで 3月にメール着弾が増えた際はいくつか続けて漏らしたあとは隔離成功、という状況。

  • 暗号化攻撃ターゲット
    • 感染コンピュータにログオンしていたユーザにアクセス権のある、ローカルディスク上のフォルダ
      • 別ユーザのユーザプロファイル下には影響していない様子
    • 感染コンピュータにログオンしていたユーザにアクセス権のある、ネットワーク上でブラウズできる共有フォルダ
      • ファイルサーバ、業務システムサーバでメンテナンス等のために共有されていたフォルダ、複合機からスキャン結果ファイルを受け取るフォルダなど
    • 上記フォルダ内の MS Office ドキュメント、画像ファイル、CSVファイル、BATファイルなどが対象
    • ソフトウェア的に多数のファイルを暗号化していくので、被害拡大のスピードは感染したコンピュータのCPU次第ぽく、そんなには速くない印象
  • 感染拡大を防ぐ
    • 感染コンピュータがネットワークから切り離されるまで脅威はネットワーク上を拡大していくため、ファイルサーバではServerサービスを停止させた
    • 共有ドキュメントを暗号化/改ざんする以外の活動は見受けられない
  • 感染元の特定
    • ユーザアカウントの特定
      • 暗号化されたファイルが格納されたNTFS共有フォルダに作成された _Locky_recover_instructions.txt の所有者が感染コンピュータにログオンしていたユーザと思われる
    • コンピュータの特定
      • 該当時間帯にこのユーザがログオンしていたコンピュータを特定。GPOでユーザ名とコンピュータ名の組み合わせをログ出力するログオンスクリプトを動かしていたので判別できた。
  • 感染元の確認と切り離し
    • すでにシャットダウン済みで使用者は退社済み、捕まらず
    • ネットワークから切り離し、脅威はなくなったと判断してファイルサーバではServerサービスを再開
  • 復旧方法
    • 直近のシャドウコピーで「以前のバージョンの復元」
    • 暗号化後のファイルが残ってバックアップ処理の負担になるのを嫌い、ファイルサーバ上の *.locky 及び _Locky_restore_instructions.txt を検索して全削除
    • シャドウコピーが設定されていない、業務システムサーバで使用していた共有フォルダはバックアップ先から復旧
  • 感染経路
    • 使用者に確認できておらず正確には未確認であるものの、マクロ付きdocファイルが添付されたメールは連日複数観測されていた。ネットワークに接続しないスタンドアロン環境を用意してこれらのいくつかを開いてマクロを実行したところ、接続できない等ネットワークを利用しようとするものがいくつかあったことが分かった=そのどれかはLockyのダウンロードしようとするもの? かもしれない
    • (追記)翌日確認したところメール添付のZIPを解凍して得られるdocを開いたことによるマクロ実行と攻撃ファイルのダウンロードおよび実行に間違いなし。

デイトナ24時間レース

今年のデイトナ24時間レースが今月末/来週末に開催予定ですが、レースシムでは今週末です。独自リーグ iRJL では今季初めて BMW で参戦しているので、乗り換えで難しくならないかちょっと心配ですが、今回もiRJA Ford GTチームの一員として Ford で参加します。iRJL の方は練習時間はなかなか取れてないのですが、チームで参戦するこちらは練習しとかんと!ということで今日から練習走行を始めました。
あぁ!久しぶりにレースシムを起動したよ!
ゆるく参加するつもりだったのに、走り出すと熱くなってた。まぁ練習なのでいいか。
「いいタイムじゃん!苦しんでるんだよね、セットアップシェアしてもらえないかなぁ」と声掛けられたので「もちろんいいよ!とりあえずの予選用とレース用。もし君の助けになるんならそりゃ僕もうれしいよ!」と返してみたり。こういうのも久しぶりだからキモチイイ〜!
うん、今日は練習できたけどね。明日からどうかな。いやいや、時間とってロングランもしないとね。

ピラーとミラーと視界と死角

ワゴンR(MH34S)に乗って分かったこと。
Aピラーだけならまだしも、ドアミラーのおかげで右カーブで進行方向にあたる右前方の死角が大きすぎる。顔をやや右に向けたらその視界全部ドアミラー、と言いたいくらいで日中ならまだしも夜間は超見えない。

ミラーを小さく(特に縦方向)して視界を確保したいところだけど、、、ロードスターやmini用で出てるようなのや、ちっさいスポーツミラー?みたいなのの装着例ないかなぁ。

レースシム、なかなか走行できず

家族団欒の時間を終えて「おやすみー」後の23時頃、最近はイベントごとはもうスタートした後で、iRacingオフィシャルシリーズも走ってないし、何より眠たかったりして、録画を消化するくらいになってしまって、ステアリングは常設されているのに稼働してない日々。
今日は日中、久しぶりにアセットコルサでも、と思ったら起動しなくて面倒で放置したし。なかなかこのところ残念です。

アルトターボRS試乗したよ

アルトターボRS 5AGSを試乗した。

Dレンジで発進、加速。おおなるほど、この失速感は予想以上...
マニュアルモードでの手動変速を試す。... 思った以上のラグ感だった。うーん。
MT操作よりも格段に変速操作に時間を要す感じ。公道だとパドル付CVTが良いのだろうな。でも、このAGSをスムーズに乗りこなすことができれば、それはそれで面白いかもしれない。でも峠道では、この変速ラグはやっぱり痛いかもしれない。

それにしてもエンジンはよく回る。レブリミットではカット入ってるのかな。
ドラポジはちょっとしんどくてステアリング遠いから手前に引き出したい/延長ボスかましたい。シートリフター下げてもEyeポイント高い。そしてステアリングもう一回り太くして欲しい。それから助手席ヘッドレストが車室内ミラーに邪魔。

ちなみに納期は長くても1ヶ月くらい?とのことだったので、稟議を急ぐ必要はなさそう、と判断した。白はパールだから\2万+なのね。