2016年4月26日火曜日

PC10台をWindows7からWindows10にアップグレード

お客様のご要望により10台のWindows7PCをWindows10にアップグレードしました

目的

  • 動作パフォーマンスの改善
  • 意図せずWindows10にアップグレードされ混乱することを回避する為
  • PCの利用状況の調査

問題点

  • 10台を順にアップグレードしたところ時間帯によって通信速度が遅くなることがあり長いものは30分以上をダウンロードに費やした。(これは環境その他の条件、アップグレード手順の変更により改善できると思われる。)(参考:Windows10のダウンロード
  • ドライバの競合と思われる原因でアプリケーションが頻繁にフリーズが発生したPCが1台。一旦Windows7に戻すこととなった。
  • ソフトでのシャットダウンができないPCが1台あり高速化オプションをオフにして解決したPCが1台
  • 解像度の設定が合わず手動で設定したPCが1台
  • アップグレード中に既存ソフトの削除をもとめられたPCが1台

当初の目的をほぼ達成できおおよその所要時間(今回は12時間)もつかむことができました。

関連




2016年4月10日日曜日

マルウェアTeslaCrypt感染に対応


マルウェア(ランサムウェア)TeslaCryptの亜種(TeslaCrypt4.0?)に感染してしまったPCに対応。

現象

感染PCのアクセスできる場所(内蔵ハードディスク、ファイルサーバーの書き込み権限のあるフォルダ等)のファイル(xls pdf jpg等)を次々に暗号化、暗号化されたファイルは開くことができなくなる。拡張子が.vvvや.mp3に変更される事例があるようだが今回は拡張子は変更されなかった。暗号化されたファイルが置いてあるフォルダには下記のファイルが生成される。

-!RecOveR!-tfywe++.png
-!RecOveR!-tfywe++.txt
-!RecOveR!-tfywe++.htm

ファイルの内容はどれも「ファイルを暗号化したのでビットコインで復号キーを売ります」といった脅迫状のような内容。レジストリの変更等。

参考
「vvvウイルス」正体はTeslaCryptか。 PCファイルを勝手に暗号化、対策は?

行った対応

  • まずネットワークケーブルを抜きファイルサーバーのファイルの暗号化を止める
  • Microsoft Safety Scannerをダウンロード、インストールしてウィルスチェック。上記の-!RecOveR!-tfywe++.htmが削除された。Safety Scannerが検知したウィルスはRansom:HTML/Tescrypt.E、Ransom:Win32/Tescrypt.T
  • ネットで調べると暗号化されたファイルの復号化ツール等も存在し、マルウェアのバージョンによってはそれを使って復号化の可能性もあるようだがバックアップファイルが存在するのでそれを使用して復元。
  • 感染PCはレジストリの値の変更、ブラウザ設定の変更等が行われているためおかしな挙動が多々あったので初期化or廃棄とする。PC内にはほとんどユーザー作成のファイルが無かった為被害は最小限でした。

今後

リスクとコストを踏まえ「ウィルス対策の強化」「バックアップの強化」「現状維持」の選択肢を検討。

関連情報

ランサムウェア「TeslaCrypt」の攻撃が活発化 - シマンテック

ランサムウェア感染予防の無償ワクチン、Bitdefenderがリリース

スパムで送信される新しいTeslaCryptランサムウェアに注意