web-dev-qa-db-ja.com

ランサムウェアがオペレーティングシステムをCでロックしました。他のドライブは危険にさらされていますか?

Windowsにアクセスできないようにするランサムウェアがあると思います。PCを再起動するたびにWindowsが起動しますが、ログインウィンドウが表示されず、電源とユーザー補助オプションを選択する以外に操作を実行できず、ネットワークカードも無効になっているようです。 。これは、セーフモードを有効にし、マルウェアを検出した後に初めて発生しました(問題について説明しました ここ )。

アクセスできなくなったWindowsOSはC:\にインストールされますが、すべてのデータとほとんどのデスクトップアプリケーションは、デュアルブートでD:\(2番目の内部ドライブ)とKaliLinuxに保存されます。 grubはD:\にもインストールされています。

ただし、引き続きアクセスできます。D:\から起動してKali Linuxを使用している間は、D:\フォルダーを開いてデータとメディアを操作できます。また、ライブディストリビューションとレスキューシステムをUSBスティックから起動している間は、すべてにアクセスできます。フォルダも同様です。

C:\フォルダーを開かず、Unixライクな環境を使用しています(Kali LinuxはD:から起動しました)。 D:\ドライブがpossibleランサムウェアの影響を受けるのを防ぐのに十分なのか、それとももっと注意してD:\をアンインストールする必要があるのか​​疑問に思います。脅威が存在する限り、そのPCからドライブします。

私の質問:

ランサムウェアがC:\ドライブ上のWindowsに影響を与えた場合、別のオペレーティングシステムを使用している限り、他のドライブに保存されているデータに影響を与える可能性がありますか、それとも物理的に分離する必要がありますか?

1
franz1

コメントで説明されているように、あなたの問題はランサムウェアのようには聞こえません。

しかし、それがだったランサムウェアの場合、他のドライブ上のファイルが保存されているかどうかを知ることはできません。ランサムウェアには無数の種類があり、暗号化する価値のあるファイルを見つけるためのさまざまな戦略があります。利用可能なすべてのドライブでファイルを検索するものもあれば、C:\Users\などの既知の場所にのみ集中するものもあります。ただし、通常、システムに書き込み権限があるストレージボリュームが潜在的なターゲットであると想定する必要があります。

ファイルがまだディレクトリにあることを確認しても、必ずしも暗号化されていないことを意味するわけではありません。ランサムウェアがファイルの名前を変更せずにファイルをスクランブルする可能性があります。あなたはそれらに対して「操作を行う」ことができると言いますが、あなたが話している「操作」の種類はできません。これらの「操作」の1つが、ビューアアプリケーションでそれらを開き、それらのコンテンツを確認することでない限り、ファイルが無傷であるかどうかを確認することはできません。

4
Philipp

ランサムウェアが自己複製するウイルスのような伝播アクションを持っていた可能性は確かにあり、ランサムウェアが攻撃したときにマウントされたドライブにトロイの木馬を落とした可能性があります。少なくとも問題が封じ込められていることがわかるまでは、感染したマシンがアクセスしたすべてのドライブを隔離することを検討します。これには、ネットワーク共有が含まれます。

リカバリ作業を最も安全に行うには、ネットワークにアクセスできない仮想マシンを作成し、影響を受けるディスクのコピーに対してリカバリ作業を実行します。私が実際に見たランサムウェアの中には、.Netで書かれているものがあり、Monoで実行すると、理論的にはLinuxボックス上のファイルを攻撃する可能性があります。

2
John Deters

Windows OSをオンにしないと、他のドライブやパーティションへのリスクは最小限に抑えられます。ただし、実際にお金や貴重なアイテムを要求するなど、いくつかの重要な特徴が欠けているため、これはランサムウェアのようには見えないという考えに同意します。ドライブからデータを抽出する場合は、実際に物理ドライブを取り外して別のPCに挿入し、仮想マシンで開いてバックアップドライブまたはフラッシュドライブにコピーします。

1
DeepS1X

まず、あなたのシステムは身代金を要求していますか?

ランサムウェアは「ビジネス犯罪」であり、その目的は金儲けであると言えます。

それを効果的に行うには、彼ら(犯罪者)は3つのことをする必要があります。

最初。彼らはあなたの人質にとって価値のあるものを保持する必要があります。

第二に。彼らはお金を要求する必要があります。

三番。彼らはあなたが求めているお金を彼らに手に入れる方法をあなたに教える必要があります。

あなたが説明していることから、それはランサムウェアの基準を満たしていないようです。

Windowsのインストールが破損しているか、ミルウイルスがさらに実行されているように聞こえます。

ランサムウェアは、システム全体をスキャンしてターゲットファイルを探し、それらのファイルを暗号化して、「身代金犯罪者」が取り戻すために支払う価値があると思われるものをターゲットにします。初期のバージョンでは、すべてのドライブ文字のファイルをスキャンして暗号化していました。新しいバージョンでは、ローカルネットワークをスキャンして、書き込み権限を持つUNC共有を探します。

身代金を支払う価値があると見なされるファイルは、通常、ドキュメントファイル、Excelファイル、画像ファイルなどです。しばらく前に、ある種の「MSWordで開く」システム拡張機能を巧みに使用してWindowsがMicrosoftWordで開くものをターゲットにするRansomwareに出くわしました。そのシステムの所有者は、DOCファイルのファイルの関連付けを別のプログラムに変更しましたが、DOCXファイルは引き続きMSWORDに関連付けられ、暗号化されました。

おそらく数百または数千の潜在的に大きなファイルを暗号化するには、かなりのシステムリソースが必要であり、ランサムウェアは通常、システムリソースに影響を与えたり、そもそもそれらのファイルを暗号化または復号化する速度に影響を与える可能性があるため、システムファイルを損傷しないようにします。

ランサムウェアが支払われた後にファイルを返さないという一握りのニュースアカウントがあれば、人々は身代金の支払いをやめ、犯罪者は金儲けをやめます。

状況にはそれぞればらつきがありますが、状況はランサムウェアのようには聞こえません。

1
Tom Cooper