「.sage」拡張子のSage2.2ランサムウェアとShadow Brokersの公開ハッキングツール

前回のブログでShadow BrokersによるGithub上に大規模な数のハッキングツール群である”Lost In Translation”が公開された事を書きました。本日現在(2017/4/18)においても公開されています。

 実際の応用として、Sage2.2ランサムウェアの感染例をあげて考えてみたいと思います。

今年に入りSageランサムウェアは、2.0、2.2と機能拡張を続けて来ました。特に2.2はサーバー感染を立て続けに行っています。Windows 2008 Server、Windows 2008R2 Server、Windows 2012 Serverに感染しています。日本国内においては販売会社がマイクロソフト製のサーバーを好んで販売している事から感染例が多いのだと思います。

 感染経路が不審なメールの添付ファイルを開いたとか、不審なホームページを見たとか、他のランサムウェアの主な感染経路にユーザー側には思い当たる事がない、あるいはそのような利用をしていないと言われます。また、サーバーのクライアントには感染がなくてサーバーのみ感染が行われています。

 今回公開されている”Lost In Translation”をみると、なるほど様々なサーバーへのハッキング方法がある事がわかります。

 前回のブログに書いたようにマイクロソフト社は対応のアップデートをだしましたが、Linuxについてはその対応はまだまだのようです。

 ”Lost In Translation”に掲載されているexploitには次のような項目があります。
(exploitとは、コンピュータの脆弱性を利用したプログラムの事です。)

EARLYSHOVEL RedHat 7.0 – 7.1 Sendmail 8.11.x exploit
EBBISLAND (EBBSHAVE) root RCE via RPC XDR overflow in Solaris 6, 7, 8, 9 & 10 (possibly newer) both SPARC and x86.
ECHOWRECKER remote Samba 3.0.x Linux exploit.
EASYBEE appears to be an MDaemon email server vulnerability
EASYPI is an IBM Lotus Notes exploit that gets detected as Stuxnet
EWOKFRENZY is an exploit for IBM Lotus Domino 6.5.4 & 7.0.2
EXPLODINGCAN is an IIS 6.0 exploit that creates a remote backdoor
ETERNALROMANCE is a SMB1 exploit over TCP port 445 which targets XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2, and gives SYSTEM privileges (MS17-010)
EDUCATEDSCHOLAR is a SMB exploit (MS09-050)
他いくつも掲載されていますが、Linuxサーバーに対するハッキングツールの多さに驚きます。

ウイルス駆除、暗号化されたファイルの復号、サーバーの再構築をおこなっていますのでお困りの方は当社をご利用ください。

リカバリーしない修理で
データや設定を残したまま修理可能です

無料電話相談実施中。お気軽にご相談ください。042-735-1600

当社独自のハードディスク修復技術と手作業によるウイルス・ランサムウェア駆除でハードディスクを今まで通り使えるように修理します。

リカバリー(初期化)をしてしまうとインストールしたプログラムやデータファイル、ライセンス情報、インターネット設定、メールメッセージ・アカウント、プリンタ設定、電子証明書などが消えてしまいます。リカバリーをしない現状復旧修理なら再インストールや再設定の手間がかからず、修理後すぐに今まで通りパソコンをお使いいただけます。

▼ 詳細はマイクロデータベースホームページへ