無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2016/05

最終更新日 2016年10月1日

【危険】VNCサーバーでデスクトップや遠隔監視システムが世界に公開状態

イメージ 12

World of VNC(ワールド・オブ・ブイエヌシー)とは、外部に露わになってる VNC サーバー をあぶり出して、そのスクリーンショットとして静止画像を公開してる海外サイトです。

  • 適切なパスワードが設定されていない

  • 外部インターネットから誰でも接続できる

 イメージ 1
Welcome to the World of VNC
worldofvnc.net

World of VNC は VNC サーバーを公開することによる セキュリティの危険性 を啓発する目的のサイトとなります。

Virtual Network Computing(ヴァーチャル・ネットワーク・コンピューティング、略称VNC)は、ネットワーク上の離れたコンピュータを遠隔操作するためのRFBプロトコルを利用する、リモートデスクトップソフトである。 (Wikipedia より引用)

パスワードをかけていないVNCサーバーのスクリーンショットをまとめた「World of VNC」 - GIGAZINE
http://gigazine.net/news/20160513-world-of-vnc/

世界各地にある VNC サーバーのガバガバで素っ裸な状況を知ることができるものの、World of VNC は 特定の時期(2016年)に保存された画像 を拝めます。


POSシステム、デスクトップ、監視カメラ…

イメージ 2
外部に晒されてる VNC サーバー

地理的な上位5つは、米国、韓国、中国、ドイツ、イタリアだそうです。

  • POSシステム (販売店のレジスター)

  • ホームオートメーションシステム

  • 通常のデスクトップ画面

  • 何かゲームをプレイして遊んでる?

  • Windows のログイン画面

  • 監視カメラシステム

World of VNC から遠隔操作はできず、リアルタイムの状況を反映されてません。

適切なパスワードが設定されていない貧弱なセキュリティ啓発と言うと、日本を含む世界中のカメラ映像を拝める Insecam というのが、チョイ前に話題になってました。

日本国内でもVNCサーバー公開状態

日本は上位トップ10には入ってません。

どの程度の数かあるのかサッパリ不明だけど、日本国内とされるVNCサーバーも複数リストアップされてました。 <IPアドレスの数値は伏せた

イメージ 3
防犯カメラシステム
建物の玄関、エレベータホール、駐車場、駐輪場、応接室

イメージ 4
Windows のデスクトップ画面

イメージ 5
Windows のデスクトップ画面

イメージ 6
Ubuntu のデスクトップ画面

イメージ 9
Ubuntuでネットサーフィン?

イメージ 7
何だか分からん測定システム
「エコー 測定 統計 直径 位置」 といった文字列

イメージ 8
タッチパネル機器のログイン画面? 

イメージ 11
Windowsデスクトップに ”I-MODE用Gateway”?
「予約データ 患者データ 科目データ」

イメージ 10
太陽光発電の監視システム

関連するブログ記事
このエントリーをはてなブックマークに追加

偽Windows Updateランサムウェアに感染 ロック画面で電話サポート詐欺
 
イメージ 4
Image いらすとや
 
去年2015年に日本でも 電話サポート詐欺 が上陸を果たし、偽ブルースクリーン や 偽ウイルス検出警告 にダマされて電話してしまい、変な日本語を話す外国人にパソコンを遠隔操作されサポート契約を結んでしまう被害 が複数挙がってます。

サポート詐欺 × ランサムウェア

この発展バージョンとして、海外ではWindowsパソコンに Windows Update 風の偽ロック画面 を表示して電話サポートに問い合わせるよう要求する不正なプログラムが確認されたとか。
 
「偽Windows Update発動→アップデート失敗→偽公式サポートへ電話」のフルコンボで金銭を要求する巧妙な新型ランサムウェアに注意 - GIGAZINE
http://gigazine.net/news/20160519-windows-update-scam/
 
さっそくこの不正なプログラムを手元のWindowsパソコンで動かしてみると、そのロック画面は Windows Update を実施してパソコンが再起動された直後に更新ファイルが適用されるシーンを装ってました。
 
まず、水色の背景に 『Configuring updates Stage ○ of 3 - ○% complete. Do not turn off your computer.』 という英語のメッセージが15秒ほど表示されます。
 
イメージ 1
 
次に 『Windows Update can not continue as your Software copy is Expired/Corrupt. Please enter a Valid Product key to continue.』 として、Windows Update を継続したいなら有効なプロダクトキーの入力するよう促す不自然な画面となって完了です。
 
イメージ 2
 
不正なプログラムはサポート電話番号 1-844-872-8686 へ連絡するよう案内があるだけで ランサム(=身代金) を支払うよう要求する場面はないので、これを ”ランサムウェア” と言えるかどうかはビミョーな感じもします。

偽Windows Updateウイルスの感染経路?

偽Windows Update の感染経路はよく分からんけど、この不正なプログラムはWindows向けメンテナスツールを思わせる「PC Cleaner」名義のインストーラから取り込まれる形になってました。
 
イメージ 3
Welcome to the PC Cleaner Setup Wizard
 
MD5 16a63ddd49552199b3a92b5fe88f804f
www.virustotal.com/en/file/b46940adcfefac96db737aa663f44e31e071fb7bffc757f98d811c2d82f1d3b8/analysis/1462299202/
 

 
[2016年7月 追記...]
 
偽Windows Update ではないけれど、日本人を狙ってサポート詐欺の電話番号をポップアップ表示する不正なプログラムが確認されました。
 
関連するブログ記事
このエントリーをはてなブックマークに追加

TeslaCryptランサムウェアが暗号化ファイルの復号キー公表 自ら終了する衝撃の結末! 復元用ツール登場
 
Windowsパソコンをターゲットに、ファイルを暗号化して開けなくして復号ツールの購入を名目に身代金の支払いを要求する ランサムウェア の1つ TeslaCrypt(テスラ クリプト)<去年12月 vvvウイルス で話題になったヤツ
 
最初のバージョンが2015年3月らへんに投入され、ここ数ヶ月は競合ランサムウェア Locky(ロッキー)CryptXXX など登場で 勢いに陰り が見えてたような気もしたけど、少なくとも先月2016年4月まで活動してたはず…。
 
ところが、この TeslaCrypt が今月5月になぜかプロジェクトの終了を発表!
 
イメージ 3
謝罪までしていったい何があったの? (@_@;
 
(被害者を装った)スロバキアのセキュリティ会社 ESET の求めに応じ、暗号化したファイルを復号して復元できるマスターキー を自ら公表する衝撃の結末…。
 
TeslaCrypt shuts down and Releases Master Decryption Key - Bleeping Computer
http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/
 
ESET TeslaCryptデクリプター(復号ツール)の開発者に聞く 5月27日
http://canon-its.jp/eset/malware_info/special/160527/
 
【攻撃者が公表した復号キー 64桁の英数字】
440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE

マスターキー公表でファイル復号ツールが!

まず、BloodDolly氏 が開発してる無料復号ツール TeslaDecoder の利用方法が日本語で紹介されてます。
 
TeslaCryptによって暗号化されたファイルの復号手順メモ | (n)inja csirt
http://csirt.ninja/?p=589
 
ESET からも無料復号ツール TeslaCrypt decryptor がリリースされてます。
 
 
先月4月20日にバラ撒かれた TeslaCrypt 検体を手元で動かして数個のダミーファイルを暗号化させ、このESET復号ツール噛ましてみたら呆気なくファイルが復元され開けるように~。
 
> www.virustotal.com/ja/file/1eedc4fe07f1b9255bf32b05191d7baabf0cc2e006ba2d490c0ccee5e1ae918e/analysis/1461452476/
 
イメージ 1
 

【起動パラメータ】
ESETTeslaCryptDecryptor.exe [復号したいファイルが含まれたフォルダパス]
(復号ツールの実行ファイルにファイルやフォルダを
D&DでもOK)

 
直近の TeslaCrypt は、ファイルの拡張子を「~.mp3」「~.micro」「~.vvv」みたく変更することはなく、ファイル名はそのまま維持して内部データだけ破壊する挙動になってました。
 
イメージ 2
復号ツールを噛ませて元に戻ったファイル
 
~.backup_by_eset」という拡張子を持ったファイルは、復号失敗も想定して暗号化ファイルのバックアップとして作成されてるみたい。
 

 
[5月25日 追記...]
 
TelsaCrypt の無料復号ツール RakhniDecryptor がロシアのセキュリティ会社カスペルスキーからリリース。
 
 

 
[5月26日 追記...]
 
TelsaCrypt の無料復号ツール Ransomware File Decryptor(日本名: ランサムウェア復号ツール) がセキュリティ会社トレンドマイクロからリリース。
 
 
ファイルを復元できるランサムウェアの種類は…?
 
イメージ 4
トレンドマイクロ ランサムウェア復号ツール
 
活動終了となった TeslaCrypt 、現在も活動継続してると思われる CryptXXX 、流行ってる脅威か分からんけど SNSLocker と AutoLocky(有名な Locky とは別モノなので注意)となってます。
 

 
[6月11日 追記...]
 
TelsaCrypt の無料復号ツール Talos TeslaCrypt Decrypter が米ネットワーク機器開発会社 Cisco の傘下にあるセキュリティ部門 Talos からリリース。 <ソースコードも公開してるみたい
 
Cisco Talos Blog: TeslaCrypt: The Battle is Over
http://blog.talosintel.com/2016/06/teslacrypt-decryptor.html
 
Cisco は2015年4月に TeslaCrypt 最初期バージョンのクラックに成功し、復号するPythonスクリプトを公開してたものの、攻撃者も黙って見ておらず 2.x を投入して復元できなくなったけど、この度の更新で 2.x、3.x、4.x に対応した形。
 

 
[6月30日 追記...]
 
営利目的を認めてない無料復号ツールを使って暗号化ファイルを元に戻し、ランサムウェアの身代金要求額を上回る不合理な費用をふっかける卑劣な業者がいるとしてセキュリティ会社 Emsisoft の中の人が憤慨してます。
 
■ Fabian Wosarさんのツイート: "Recently I have gotten a lot of reports of "data recovery companies" using my decrypters and charging absurd (cont)"
https://twitter.com/fwosar/status/745260022431625216
 
オランダ/チェコのセキュリティ会社 AVG Technologies から無料復号ツール AVG Decryption Tool for TeslaCrypt 3.x ほか全6種リリース。
 
Don’t pay the Ransom! AVG releases six free decryption tools to retrieve your files | AVG Now Blog
http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/
関連するブログ記事
このエントリーをはてなブックマークに追加

↑このページのトップヘ