世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた
Contents
2017年5月12日頃から、世界各地でランサムウェアに感染する被害が相次いで報告されています。ランサムウェアはWannaCry等と名前が付けられているもので、これに感染する原因として、Windowsの脆弱性、及びその脆弱性を用いたNSAが開発したツールが関係している可能性があると各国のCSIRTやセキュリティベンダが注意喚起等を公開しています。Microsoftは今回の感染事案を受け、WindowsXPなどのサポートが切れたOSを対象とした緊急の更新プログラムも公開しました。
ここではこの世界中で発生したランサムウェア WannaCry の感染被害などについてまとめます。
インシデントタイムライン
以下は主に国内の関連事象を整理したもの。
|日時||出来事|
|2016年9月16日||MicrosoftがSMBv1の使用停止を強く推奨する記事を公開。|
|2017年1月16日||US-CERTがSMBv1の無効化を含むSMBのセキュリティにおけるベストプラクティスを公開。|
|2017年3月14日||Microsoftがセキュリティ情報 MS17-010を公開。|
|2017年4月14日||Shadow BrokersがETERNALBLUEなどを含む様々なExploitを公開。|
|同日||MicrosoftがShadow Brokersが公開したExploitはいずれも修正済みだと報告。|
|2017年4月25日||DropboxのURLを悪用したWannaCryが確認されているとしてTrendMicroが情報を公開。|
|2017年5月12日夜〜13日未明||WannaCryの感染キャンペーンが開始された模様。|
|同日||MS17-010で修正された脆弱性を通じてWannaCryが世界規模で拡散されていると多数の報道。|
|同日||MicrosoftがRansomwareによる攻撃への声明を公開。サポート終了済のOSにも緊急パッチを公開。|
|2017年5月14日||IPAが記者会見を開き、WannaCryに対し、週明けの就業前に対応をとるように注意喚起。|
|2017年5月15日||日本政府が首相官邸危機管理センターに情報連絡室を設置。*1|
|同日||官房長官記者会見において、当該事案に対しての「懸念はない」と官房長官がコメント。*2|
|2017年5月15日 20時頃||別のキルスイッチを利用するWannaCryが確認される。*3|
|2017年5月16日||官房長官記者会見にて、北朝鮮関与との報道に対し、全体を掌握する中で対応しているとコメント。*4|
|2017年5月23日||Symantecが北朝鮮関与の可能性が高いと発表。|
注意喚起等
- Microsoft Customer Guidance for WannaCrypt attacks
- CCN-CERT Identificado ataque de ransomware que afecta a sistemas Windows
- US-CERT Multiple Ransomware Infections Reported
- US-CERT Alert (TA17-132A) Indicators Associated With WannaCry Ransomware
- JPCERT/CC ランサムウエア "WannaCrypt" に関する注意喚起
- IPA 世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について
- 総務省 世界的な不正プログラムの感染被害について(注意喚起)
感染被害件数
|報告元||被害国||被害件数|
|Avast||57か国
|
⇒99か国
⇒104か国
⇒112ヵ国
⇒116ヵ国
|5万7000件(初報)
|
⇒7万5000件(5/12 12:15PT)
⇒12万6000件以上(5/13 6:10CET)
⇒21万3000件以上(5/15 4:23 CET)
⇒25万件以上(5/16)
|Kaspersky||74か国||4万5000件以上
|
⇒33万8765台以上(5/17) *5
|FOX IT||−||17万以上|
|EUROPOL*6||少なくとも150か国||20万件以上|
|米ホワイトハウス
|
(大統領補佐官発言) *7
|約150ヵ国||30万件以上|
日本国内の被害の状況
|報告元||把握状況|
|セキュリティベンダ||日本での被害はTrendMicro、Kasperskyの2社がセキュリティ対策ソフトで検知した件数の集計を通じて攻撃の発生を確認している。
|
実際に感染被害が出ているかどうかは不明。*812日朝から24時間以内に数百件検出している。*9
Kasperskyによれば全体の検出数の6%が日本国内で確認されたもの。この状況は英国と同水準。*10
TrendMicroによれば、12日から15日までのランサムウェアに関する問い合わせは175件。そのうち実際に感染が確認されたのは9件。*11
また、7日9時から15日9時までに1万6436件の攻撃を遮断したと報告。
|警察庁||[PDF] 世界的規模のランサムウェア感染事案の発生について
|
各都道府県警を通じて情報収集を行っている。5月13日午後時点で日本政府や企業などでの被害は確認されていない。*12 *13
14日に警察庁の調べで2件の被害が確認された。当局が捜査を開始。*14
15日17時時点で5件追加(合計7件) *15さらに17日に9件*16。18日に5件*17。19日に4件*18を追加で把握。
|NISC||Twitterを通じて、5月13日21時時点で国内での大きな被害報告が入っていないことを明らかにした。|
|IPA
|
経済産業省
|5月14日時点で感染事例を把握していないことを明らかにしている。*19
|
15日夕までに相談が51件寄せられ、この内16件で感染が確認されたと発表。感染したのは個人が多くを占める。*20
|JPCERT/CC||13日から14日にかけ、約600か所、約2000の端末で感染を確認したと報じられる。*21|
|LAC||自社セキュリティ監視サービスにおいて、複数の顧客でWannaCryに感染したとみられる通信を検出。*22|
関連が疑われる事例
日本国内で被害が確認された等と報じられている事例は次の通り。 *23 *24 *25
|対象||発生・把握日||発生事象|
|JR東日本 高崎支社||5月12日頃||関東地方支社でインターネット閲覧に使用しているPC1台が感染。
|
PCは社内イントラネットには接続されておらず、運行等業務への影響はない。*26
インターネット閲覧中に感染を示す画像が表示された。メール機能はこの端末には存在しない。*27
15日に警察へ被害の相談。*28
|近鉄エクスプレス||5月12日以降||東京都内事業所にある37台の端末が感染。感染した端末は社内ネットワークには接続されていなかった。*29|
|滋賀県内の個人(50代男性)||5月12日夕||自営業男性の端末1台が感染。600ドルを要求する画面が表示されていた。
|
インターネット閲覧中に感染を示す画像が表示。
15日に報道で被害に気づき、翌日に交番に相談。
滋賀県内で把握された2例目。*30
|滋賀県内の個人(50代男性)||5月12日16時頃||オークションサイト利用後席を外し、30分後に戻ったところ感染を示す画像が表示されていた。
|
ウイルス対策ソフトは更新していなかった。
16日に甲賀署署員に相談。
OSはWindows 7。*31
|愛知県内のコンビニ||5月12日||防犯カメラの管理端末1台が感染。インターネットには接続されていたがメールやウェブサイトの閲覧は行っていなかった。*32カメラの映像が漏えいする被害などは確認されていない。*33|
|日立金属||12日夜||メールの送受信や添付ファイルが開けなくなるなどの障害が発生。*34|
|日立製作所||5月12日深夜||ランサムウェアによる被害および復旧状況について
|
メール管理システムの一部で障害発生を確認。メールの送受信や添付ファイルの開封が出来ない事態。
海外のグループ会社でも12日から同様の障害が確認されている。*35
その後感染が多発しているランサムウェアと同じであることが確認された。*36
サーバーを切り離す等して一部は復旧している。*37また一部は電話やFAXの利用に業務を切り替えている。*38
家電量販店等と取引をする受発注システムにも影響が及び障害が発生。*39
ドイツのグループ会社事業所にある電子顕微鏡の操作装置からネットワークを通じて世界中の事業所に拡散した可能性がある。*40
|富士・富士宮市消防指令センター||5月12日||指揮車3台に配備されていたタブレットの内、1台が感染。
|
火災・救急等の現場から動画をリアルタイムに送信するための専用機。
作業には支障がなかったことからそのまま継続して使用していた。
報道等を受けて15日に署員が報告。*41
ウイルス対策ソフト、OSの更新は動作不安定となることから実施しない設計となっていた。*42
|墨田区の樹脂メーカー||13日昼||出社した際にマシンがブルースクリーンとなっていた。再起動後にランサムウェア感染を示す画面が表示。夕方にはもう1台別の端末でも同じ症状が発生。
|
OSはWindowsXPで、使用ソフトによる制限で利用していた。
|東大阪の会社事務所||13日夜||防犯カメラの映像が映らなくなった。管理PC上に感染を示す画面が表示された。|
|日立総合病院||13日||警察が実施した病院等の重要施設への被害聞き取り調査により発覚。業務影響は出ていない。
|
13日からメールの送受信が出来ず、またファイルも添付できない事象発生。*43
|大分県内の個人(70代男性)||5月14日||自宅の端末が感染。本人から感染の届け出があり発覚。*44|
|香川県内の個人(20代女性)||5月14日午前中||本人から感染の届け出があり発覚。支払い画面が突然現れた。ファイルの一部が開けず。*45
|
OSはWindows 7。*46
|滋賀県の個人(81歳女性)||5月14日午後2時頃||自宅PCを使ってインターネット検索中に感染を示す画像が表示された。15日に警察へ相談。*47
|
OSはWindows 7。*48
|川崎市上下水道局||5月15日8時頃||上下水道局におけるランサムウェアの感染について
|
国際事業担当部署の庁内ネットワークからは切り離されたインターネット専用端末1台で発生。
担当職員が起動させたところ感染を確認した。週末は電源をオフにしていた。*49
感染した端末を交換し、業務影響無し。
大容量データの送受信や海外の取引先との連絡に使用していた。
OSはWindows 7。*50
後日警察へ被害を申告。
|市川市排水機場||5月15日15時頃||職員が起動させたところ河川・下水道監理課の端末1台が感染していたことを把握。
|
端末はインターネットに接続され、気象情報を確認するために使用されていた。
役所内のネットワークには接続しておらず、業務への影響は無し。*51
|群馬県内の企業||5月15日||自組織にて対処が行われた模様。*52|
|東急電鉄||15日||渋谷区本社の端末1台が感染。
|
当該端末は社内イントラネットに接続されておらず、運行システムへの影響なし。*53
財務担当の職員が企業情報を閲覧するために起動させたところ感染を示す画面が表示された。
国外の感染被害の具体的事例
|発生国||被害組織||発生事象|
|英国||NHS(国民保健サービス)||Statement on reported NHS cyber attack
|
UPDATED Statement on reported NHS cyber-attack (13 May)
ランサムウェアに感染し当該サービスを提供する248団体の内、48団体で端末利用が出来なくなる障害が発生。
14日午前0時時点で6団体がまだ復旧できていない。*57
内務省によればその後影響を受けた病院の内、97%が通常業務に復旧している。
英国内相は攻撃は無作為であり、NHSが直接の標的として狙われたものではないとコメント。英国保健当局は今回のこの事態を重大な事件として警告。
NHSに登録された患者情報がアクセスされたとの情報は確認されていない。*58
NHSより提供されていたシステムが一部地域で停止する事態となった。これにより次のような影響が生じた。
(1)システムがロックアウトされ、患者のファイルなどを確認することが出来なくなった。手書きによる事務に切り替えた。
(2)複数の医療機関で診療が行えなかった。
(3)レントゲン撮影を行うことが出来なくなった。
(4)予定されていた心臓手術が中止となった。
(5)救急搬送された患者を受け入れられず救急車の行先変更が必要となった。(6)急患以外は受診に来ないよう呼びかけが行われた。*59
英国では合計62の病院が影響を受けた。*60またスコットランド、ウェールズ等の病院には影響は及ばなかった模様。名前が挙がっている場所は次の通り。*61
NHS Glasgow、NHS Lanarkshire、NHS Dumfries and Galloway、NHS Forth Valley、NHS Tayside、NHS Western Isles、NHS Borders、NHS Fife、NHS Ayrshire and Arran、NHS Grampian、NHS Highland
病院の9割では少なくとも1台以上のWindows XPが使い続けられていたが、これは直ぐに更新することが難しいMRIなどであり、全体としては4.7%が残っていることがNHSより発表された。
|英国||日産サンダーランド自動車工場||13日頃より工場内で障害が発生し、自動車生産が一時的に止まるなどして影響が生じた。*62
|
日産広報担当者はこの事案によるビジネス上の影響はないと説明。
日産は他国の工場にも同様の被害がないか調査を進めている。
同工場ではキャシュカイ、リーフ等年間約50万台の車を生産している英国最大の拠点。*63 従業員数は約7000人。
週末は操業をしていなかったことから影響は小さく、15日より通常生産へ復旧した。*64
|ロシア||内務省||内務省内のPC約1000台が攻撃を受けた模様。同省で使用されるマシン数全体の約1%未満。
|
非常事態省、保険証などでも被害が確認されている。
|ロシア||MegaFon||コールセンター業務に支障が生じた。*65|
|スペイン||テレフォニカ||Incidencia ciberseguridad
|
テレフォニカのマシン85%に影響が及んだ。
発生当時、拡声器を使って従業員に即時停止を呼びかけした。
|フランス||ルノー||スロベニアのノボメストの子会社 Revoz本社のマシンが影響を受けた。
|
部品の組み付けなどの生産に支障が及ぶことから12日夜に生産ラインの稼働を停止。13日も停止したままの状態となった。*66
|ドイツ||ドイツ鉄道||フランクフルトの駅などで 列車の発着時刻を表示する電光掲示板で障害が発生した。
|
列車の運行には直接的な影響は生じていない。
|中国||国営中国石油天然気集団公司||直営のガソリンスタント約2万店で電子決済が利用できなくなる障害が発生。現金支払いにて対応。*67|
|韓国||CJ CGV||15日早朝、一部の映画館の広告サーバー、ロビーに設置されたディスプレイ用サーバーが感染。*68
|
詳細状況は調査中だが映画の上映は支障なく行われている。
|インドネシア||ダルマイス病院||国内最大規模のがん専門病院で13日に受付システムで障害発生。
|
手作業にて暫定対応したが、15日午前は数百人の患者が長時間待機する事態となった。*69
|ブラジル||国立社会保険院||システムの一部で障害発生。年金の受け取り手続きが不可となった。*70|
その他影響を受けたとして名前が挙げられていた被害組織
|国||被害が確認されたと報じられた組織|
|アメリカ||FedEx|
|ロシア||ロシア中央銀行、ロシア鉄道|
|中国||北京大学、上海交通大学、山東大学、南昌大学、大連海事大学、桂林航天工業学院、中国石油天然気、中国公安省、孫逸仙大学
|
政府機関、病院、大学などの約2万9000団体のマシンが感染したと新華社通信が報じた。*71
|インド||アンドラプラデシュ州警察、マハラシュトラ州警察等約100か所で被害。
|
約6割の国内銀行が対策未実施のためATMの一時停止をインド準備銀行が要請。
|インドネシア||首都ジャカルタにあるダルマイス病院等2つの病院で発券システムで障害発生。*72|
|スペイン||Vodafone Espana、KPMG consultancy、BBVA銀行、santander銀行、Iberdrola|
|ポルトガル||Portugal Telecom|
|ルーマニア||ダチア|
|ブラジル||サンパウロ州司法裁判所、携帯電話会社Vivo、航空会社LATAM|
|コロンビア||臓器移植データベースシステム|
|アルゼンチン||国内の通信企業|
|タイ||バンコク市内2か所の電光掲示板で障害発生。|
|シンガポール||商業施設数か所の電光掲示板で障害発生。|
|韓国||13日から18日にかけ国内企業18社が被害届を提出。*73|
|台湾||10の学校、国営電力会社、病院、少なくとも1件の台中中心部の民間企業での感染が確認されている。*74|
|他名前が出ていた国||イタリア、トルコ、メキシコ、ウクライナ、ベルギー、ベトナム、オーストラリア|
その他感染報告ツイート
- https://twitter.com/amtinits/status/863166195461238784
- https://twitter.com/lostinabc/status/863273548177068033
- https://twitter.com/decrypfile/status/863367933929545729
- https://twitter.com/JamesMcLeary/status/863748297630011392
- https://twitter.com/ALiCE6TY9/status/863346642161762304
- https://twitter.com/ColtSsr/status/863705211696668672
- https://twitter.com/HackRead/status/863800963500580865
- https://twitter.com/mjos_crypto/status/863359551776673792
感染するランサムウェア「WannaCry」の詳細
感染対象のマシン
- MS17-010で公開された更新プログラム未適用のWindows 7、Windows Server 2008、またはそれ以前のOSを対象に感染する。設計上、Windows 10はこの攻撃の影響を受けない。(Microsoft)
ドロッパーの挙動・特徴
- 開発者が設定したドメインに接続しようと試み、これに失敗した場合にRansomwareに感染する。接続に成功した場合実行が停止され、感染することはないキルスイッチの動作をする。(Microsoft)
- このキルスイッチが存在しないバージョンもすでに確認されているとの報告もあったが、これは後に攻撃で使用されたものではないことが判明した。
- 確認されているキルスイッチのドメインはリサーチャーにより全てシンクホールとされている。*75
- ドロッパーは「mssecsvc2.0」という名称のサービスを作成する。このサービスを通じて他のマシンへ感染をしようとする。これにはSMBの脆弱性、およびDoublePulsarのバックドアが悪用される。
キルスイッチのサイト
|発見日||キルスイッチ接続先/検体サンプル||悪用の有無|
|2017年5月12日||www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
|
5ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaec
|悪用あり|
|2017年5月14日||www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
|
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
|悪用あり|
|2017年5月15日||www[.]ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com
|
b9318a66fa7f50f2f3ecaca02a96268ad2c63db7554ea3acbde43bf517328d06
|悪用あり|
|2017年5月15日||www[.]iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
|
7b7aa67a3d47cb39d46ed556b220a7a55e357d2a9759f0c1dcbacc72735aabb1
|悪用未確認|
|2017年5月15日||www[.]lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea[.]com
|
198a25e52018dce7b2f76c3b49948211761dd4f29fc43599077155e61b335234
|悪用未確認|
ランサムウェア「WannaCry」の挙動・特徴
ワームの挙動・特徴
- LAN上のWindowsマシンを走査し、CVE-2017-0145を用いて感染を試行する。
- インターネット上をランダムに走査し、CVE-2017-0145を用いて感染を試行する。
要求される身代金
- 3日以内に支払いがなければ要求金額は倍に、7日以内に支払いがなければデータファイルは削除されると脅迫。
- ユニークに識別する方法がなく、身代金を支払ったとしてもファイルが復元できないとの報告がある。
報告されている身代金振込先のBitcoinアドレス
|Bitcoinアドレス||最終残高(5月16日13時時点)||取引回数|
|13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94||13.78657998 BTC||90件|
|115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn||9.44967018 BTC||70件|
|12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw||12.71671641 BTC||79件|
|合計||35.95296657 BTC
|
(約739万円)
|239件|
- 「1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY」は5月6日以降取引がなく、以前に使用されたBitcoinアドレスとみられるため割愛。
- トランザクションの状況を詳細にトレースをしている記事 https://misentropic.com/wannacry_graph.html
WannaCry暗号化対象の拡張子
.doc,.docx,.docb,.docm,.dot,.dotm,.dotx,.xls,.xlsx,.xlsm,.xlsb,.xlw,.xlt,.xlm,.xlc,.xltx,.xltm,.ppt,.pptx,.pptm,.pot,.pps,.ppsm,.ppsx,.ppam,.potx,.potm,.pst,.ost,.msg,https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis
.eml,.edb,.vsd,.vsdx,.txt,.csv,.rtf,.123,.wks,.wk1,.pdf,.dwg,.onetoc2,.snt,.hwp,.602,.sxi,.sti,.sldx,.sldm,.sldm,.vdi,.vmdk,.vmx,.gpg,.aes,.ARC,.PAQ,.bz2,.tbk,.bak,
.tar,.tgz,.gz,.7z,.rar,.zip,.backup,.iso,.vcd,.jpeg,.jpg,.bmp,.png,.gif,.raw,.cgm,.tif,.tiff,.nef,.psd,.ai,.svg,.djvu,.m4u,.m3u,.mid,.wma,.flv,.3g2,.mkv,.3gp,.mp4,
.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.mp3,.sh,.class,.jar,.java,.rb,.asp,.php,.jsp,.brd,.sch,.dch,.dip,.pl,.vb,.vbs,.ps1,.bat,.cmd,.js,.asm,.h,.pas,.cpp,
.c,.cs,.suo,.sln,.ldf,.mdf,.ibd,.myi,.myd,.frm,.odb,.dbf,.db,.mdb,.accdb,.sql,.sqlitedb,.sqlite3,.asc,.lay6,.lay,.mml,.sxm,.otg,.odg,.uop,.std,.sxd,.otp,.odp,.wb2,.slk,
.dif,.stc,.sxc,.ots,.ods,.3dm,.max,.3ds,.uot,.stw,.sxw,.ott,.odt,.pem,.p12,.csr,.crt,.key,.pfx,.der
確認されているWannaCryの通信先
|通信先||報告者|
|gx7ekbenv2riucmf.onion||Kaspersky|
|57gspsprrzlojinas.onion||Kaspersky|
|Xxlvbrloxvriy2c5.onion||Kaspersky|
|76jdd2ir2embyv47.onion||Kaspersky|
|cwwnhwhlz52maqm7.onion||Kaspersky|
|sqjolphimrr7jqw6.onion||Kaspersky|
|Rphjmrpwmfv6v2e.onion||McAfee|
確認されている通信先をまとめた記事
確認されているWannaCryの検体サンプル
WannaCryの各社の検体呼称
|ベンダ||検出名|
|Microsoft||Ransom: Win32/WannaCrypt|
|TrendMicro||RANSOM_WANA.A、RANSOM_WCRY.I|
|Kaspersky||Trojan-Ransom.Win32.Gen.djd
|
Trojan-Ransom.Win32.Scatter.tr
Trojan-Ransom.Win32.Wanna.b
Trojan-Ransom.Win32.Wanna.c
Trojan-Ransom.Win32.Wanna.d
Trojan-Ransom.Win32 .Wanna.f
Trojan-Ransom.Win32.Zapchast.i
PDM:Trojan.Win32.Generic
|Symantec||Ransom.Wannacry
|
Ransom.CryptXXX
Trojan.Gen.8!Cloud
Trojan.Gen.2
|Fortinet||W32/Filecoder_WannaCryptor.B!tr
|
W32/WannaCryptor.B!tr
W32/Generic.AC.3EE509!tr
W32/GenKryptik.1C25!tr
|F-Secure||Trojan.Ransom.WannaCryptor.A
|
Trojan.Ransom.WannaCryptor.H
|Sophos||Troj/Ransom-EMG|
その他にも次の名称が用いられている。
- Wanna Decryptor
- WanaCrypt0r 2.0
- WanaCrypt
- WCry
感染原因
- 正確な初期感染の経路は確認されていない模様。確定している感染経路はインターネット上にSMBのサービスが公開されているマシンに対して、Exploitが直接使用されるケース。(FOX IT)
- 4月14日にShadow Brokersが公開したExploitツール「ETERNALBLUE」に関連する。
対策
(1) DoublePulsarの感染状況を確認する。
- SMBやRDPのポートがインターネット上に公開されていないか確認する。
- 公開されていた場合はDoublePulsarの感染確認をする。
自身でのチェックツール
- NMAP File smb-double-pulsar-backdoor
- Metasploit MS17-010 SMB RCE …
ここではこの世界中で発生したランサムウェア WannaCry の感染被害などについてまとめます。
インシデントタイムライン
以下は主に国内の関連事象を整理したもの。
|日時||出来事|
|2016年9月16日||MicrosoftがSMBv1の使用停止を強く推奨する記事を公開。|
|2017年1月16日||US-CERTがSMBv1の無効化を含むSMBのセキュリティにおけるベストプラクティスを公開。|
|2017年3月14日||Microsoftがセキュリティ情報 MS17-010を公開。|
|2017年4月14日||Shadow BrokersがETERNALBLUEなどを含む様々なExploitを公開。|
|同日||MicrosoftがShadow Brokersが公開したExploitはいずれも修正済みだと報告。|
|2017年4月25日||DropboxのURLを悪用したWannaCryが確認されているとしてTrendMicroが情報を公開。|
|2017年5月12日夜〜13日未明||WannaCryの感染キャンペーンが開始された模様。|
|同日||MS17-010で修正された脆弱性を通じてWannaCryが世界規模で拡散されていると多数の報道。|
|同日||MicrosoftがRansomwareによる攻撃への声明を公開。サポート終了済のOSにも緊急パッチを公開。|
|2017年5月14日||IPAが記者会見を開き、WannaCryに対し、週明けの就業前に対応をとるように注意喚起。|
|2017年5月15日||日本政府が首相官邸危機管理センターに情報連絡室を設置。*1|
|同日||官房長官記者会見において、当該事案に対しての「懸念はない」と官房長官がコメント。*2|
|2017年5月15日 20時頃||別のキルスイッチを利用するWannaCryが確認される。*3|
|2017年5月16日||官房長官記者会見にて、北朝鮮関与との報道に対し、全体を掌握する中で対応しているとコメント。*4|
|2017年5月23日||Symantecが北朝鮮関与の可能性が高いと発表。|
注意喚起等
- Microsoft Customer Guidance for WannaCrypt attacks
- CCN-CERT Identificado ataque de ransomware que afecta a sistemas Windows
- US-CERT Multiple Ransomware Infections Reported
- US-CERT Alert (TA17-132A) Indicators Associated With WannaCry Ransomware
- JPCERT/CC ランサムウエア "WannaCrypt" に関する注意喚起
- IPA 世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について
- 総務省 世界的な不正プログラムの感染被害について(注意喚起)
感染被害件数
|報告元||被害国||被害件数|
|Avast||57か国
|
⇒99か国
⇒104か国
⇒112ヵ国
⇒116ヵ国
|5万7000件(初報)
|
⇒7万5000件(5/12 12:15PT)
⇒12万6000件以上(5/13 6:10CET)
⇒21万3000件以上(5/15 4:23 CET)
⇒25万件以上(5/16)
|Kaspersky||74か国||4万5000件以上
|
⇒33万8765台以上(5/17) *5
|FOX IT||−||17万以上|
|EUROPOL*6||少なくとも150か国||20万件以上|
|米ホワイトハウス
|
(大統領補佐官発言) *7
|約150ヵ国||30万件以上|
日本国内の被害の状況
|報告元||把握状況|
|セキュリティベンダ||日本での被害はTrendMicro、Kasperskyの2社がセキュリティ対策ソフトで検知した件数の集計を通じて攻撃の発生を確認している。
|
実際に感染被害が出ているかどうかは不明。*812日朝から24時間以内に数百件検出している。*9
Kasperskyによれば全体の検出数の6%が日本国内で確認されたもの。この状況は英国と同水準。*10
TrendMicroによれば、12日から15日までのランサムウェアに関する問い合わせは175件。そのうち実際に感染が確認されたのは9件。*11
また、7日9時から15日9時までに1万6436件の攻撃を遮断したと報告。
|警察庁||[PDF] 世界的規模のランサムウェア感染事案の発生について
|
各都道府県警を通じて情報収集を行っている。5月13日午後時点で日本政府や企業などでの被害は確認されていない。*12 *13
14日に警察庁の調べで2件の被害が確認された。当局が捜査を開始。*14
15日17時時点で5件追加(合計7件) *15さらに17日に9件*16。18日に5件*17。19日に4件*18を追加で把握。
|NISC||Twitterを通じて、5月13日21時時点で国内での大きな被害報告が入っていないことを明らかにした。|
|IPA
|
経済産業省
|5月14日時点で感染事例を把握していないことを明らかにしている。*19
|
15日夕までに相談が51件寄せられ、この内16件で感染が確認されたと発表。感染したのは個人が多くを占める。*20
|JPCERT/CC||13日から14日にかけ、約600か所、約2000の端末で感染を確認したと報じられる。*21|
|LAC||自社セキュリティ監視サービスにおいて、複数の顧客でWannaCryに感染したとみられる通信を検出。*22|
関連が疑われる事例
日本国内で被害が確認された等と報じられている事例は次の通り。 *23 *24 *25
|対象||発生・把握日||発生事象|
|JR東日本 高崎支社||5月12日頃||関東地方支社でインターネット閲覧に使用しているPC1台が感染。
|
PCは社内イントラネットには接続されておらず、運行等業務への影響はない。*26
インターネット閲覧中に感染を示す画像が表示された。メール機能はこの端末には存在しない。*27
15日に警察へ被害の相談。*28
|近鉄エクスプレス||5月12日以降||東京都内事業所にある37台の端末が感染。感染した端末は社内ネットワークには接続されていなかった。*29|
|滋賀県内の個人(50代男性)||5月12日夕||自営業男性の端末1台が感染。600ドルを要求する画面が表示されていた。
|
インターネット閲覧中に感染を示す画像が表示。
15日に報道で被害に気づき、翌日に交番に相談。
滋賀県内で把握された2例目。*30
|滋賀県内の個人(50代男性)||5月12日16時頃||オークションサイト利用後席を外し、30分後に戻ったところ感染を示す画像が表示されていた。
|
ウイルス対策ソフトは更新していなかった。
16日に甲賀署署員に相談。
OSはWindows 7。*31
|愛知県内のコンビニ||5月12日||防犯カメラの管理端末1台が感染。インターネットには接続されていたがメールやウェブサイトの閲覧は行っていなかった。*32カメラの映像が漏えいする被害などは確認されていない。*33|
|日立金属||12日夜||メールの送受信や添付ファイルが開けなくなるなどの障害が発生。*34|
|日立製作所||5月12日深夜||ランサムウェアによる被害および復旧状況について
|
メール管理システムの一部で障害発生を確認。メールの送受信や添付ファイルの開封が出来ない事態。
海外のグループ会社でも12日から同様の障害が確認されている。*35
その後感染が多発しているランサムウェアと同じであることが確認された。*36
サーバーを切り離す等して一部は復旧している。*37また一部は電話やFAXの利用に業務を切り替えている。*38
家電量販店等と取引をする受発注システムにも影響が及び障害が発生。*39
ドイツのグループ会社事業所にある電子顕微鏡の操作装置からネットワークを通じて世界中の事業所に拡散した可能性がある。*40
|富士・富士宮市消防指令センター||5月12日||指揮車3台に配備されていたタブレットの内、1台が感染。
|
火災・救急等の現場から動画をリアルタイムに送信するための専用機。
作業には支障がなかったことからそのまま継続して使用していた。
報道等を受けて15日に署員が報告。*41
ウイルス対策ソフト、OSの更新は動作不安定となることから実施しない設計となっていた。*42
|墨田区の樹脂メーカー||13日昼||出社した際にマシンがブルースクリーンとなっていた。再起動後にランサムウェア感染を示す画面が表示。夕方にはもう1台別の端末でも同じ症状が発生。
|
OSはWindowsXPで、使用ソフトによる制限で利用していた。
|東大阪の会社事務所||13日夜||防犯カメラの映像が映らなくなった。管理PC上に感染を示す画面が表示された。|
|日立総合病院||13日||警察が実施した病院等の重要施設への被害聞き取り調査により発覚。業務影響は出ていない。
|
13日からメールの送受信が出来ず、またファイルも添付できない事象発生。*43
|大分県内の個人(70代男性)||5月14日||自宅の端末が感染。本人から感染の届け出があり発覚。*44|
|香川県内の個人(20代女性)||5月14日午前中||本人から感染の届け出があり発覚。支払い画面が突然現れた。ファイルの一部が開けず。*45
|
OSはWindows 7。*46
|滋賀県の個人(81歳女性)||5月14日午後2時頃||自宅PCを使ってインターネット検索中に感染を示す画像が表示された。15日に警察へ相談。*47
|
OSはWindows 7。*48
|川崎市上下水道局||5月15日8時頃||上下水道局におけるランサムウェアの感染について
|
国際事業担当部署の庁内ネットワークからは切り離されたインターネット専用端末1台で発生。
担当職員が起動させたところ感染を確認した。週末は電源をオフにしていた。*49
感染した端末を交換し、業務影響無し。
大容量データの送受信や海外の取引先との連絡に使用していた。
OSはWindows 7。*50
後日警察へ被害を申告。
|市川市排水機場||5月15日15時頃||職員が起動させたところ河川・下水道監理課の端末1台が感染していたことを把握。
|
端末はインターネットに接続され、気象情報を確認するために使用されていた。
役所内のネットワークには接続しておらず、業務への影響は無し。*51
|群馬県内の企業||5月15日||自組織にて対処が行われた模様。*52|
|東急電鉄||15日||渋谷区本社の端末1台が感染。
|
当該端末は社内イントラネットに接続されておらず、運行システムへの影響なし。*53
財務担当の職員が企業情報を閲覧するために起動させたところ感染を示す画面が表示された。
国外の感染被害の具体的事例
|発生国||被害組織||発生事象|
|英国||NHS(国民保健サービス)||Statement on reported NHS cyber attack
|
UPDATED Statement on reported NHS cyber-attack (13 May)
ランサムウェアに感染し当該サービスを提供する248団体の内、48団体で端末利用が出来なくなる障害が発生。
14日午前0時時点で6団体がまだ復旧できていない。*57
内務省によればその後影響を受けた病院の内、97%が通常業務に復旧している。
英国内相は攻撃は無作為であり、NHSが直接の標的として狙われたものではないとコメント。英国保健当局は今回のこの事態を重大な事件として警告。
NHSに登録された患者情報がアクセスされたとの情報は確認されていない。*58
NHSより提供されていたシステムが一部地域で停止する事態となった。これにより次のような影響が生じた。
(1)システムがロックアウトされ、患者のファイルなどを確認することが出来なくなった。手書きによる事務に切り替えた。
(2)複数の医療機関で診療が行えなかった。
(3)レントゲン撮影を行うことが出来なくなった。
(4)予定されていた心臓手術が中止となった。
(5)救急搬送された患者を受け入れられず救急車の行先変更が必要となった。(6)急患以外は受診に来ないよう呼びかけが行われた。*59
英国では合計62の病院が影響を受けた。*60またスコットランド、ウェールズ等の病院には影響は及ばなかった模様。名前が挙がっている場所は次の通り。*61
NHS Glasgow、NHS Lanarkshire、NHS Dumfries and Galloway、NHS Forth Valley、NHS Tayside、NHS Western Isles、NHS Borders、NHS Fife、NHS Ayrshire and Arran、NHS Grampian、NHS Highland
病院の9割では少なくとも1台以上のWindows XPが使い続けられていたが、これは直ぐに更新することが難しいMRIなどであり、全体としては4.7%が残っていることがNHSより発表された。
|英国||日産サンダーランド自動車工場||13日頃より工場内で障害が発生し、自動車生産が一時的に止まるなどして影響が生じた。*62
|
日産広報担当者はこの事案によるビジネス上の影響はないと説明。
日産は他国の工場にも同様の被害がないか調査を進めている。
同工場ではキャシュカイ、リーフ等年間約50万台の車を生産している英国最大の拠点。*63 従業員数は約7000人。
週末は操業をしていなかったことから影響は小さく、15日より通常生産へ復旧した。*64
|ロシア||内務省||内務省内のPC約1000台が攻撃を受けた模様。同省で使用されるマシン数全体の約1%未満。
|
非常事態省、保険証などでも被害が確認されている。
|ロシア||MegaFon||コールセンター業務に支障が生じた。*65|
|スペイン||テレフォニカ||Incidencia ciberseguridad
|
テレフォニカのマシン85%に影響が及んだ。
発生当時、拡声器を使って従業員に即時停止を呼びかけした。
|フランス||ルノー||スロベニアのノボメストの子会社 Revoz本社のマシンが影響を受けた。
|
部品の組み付けなどの生産に支障が及ぶことから12日夜に生産ラインの稼働を停止。13日も停止したままの状態となった。*66
|ドイツ||ドイツ鉄道||フランクフルトの駅などで 列車の発着時刻を表示する電光掲示板で障害が発生した。
|
列車の運行には直接的な影響は生じていない。
|中国||国営中国石油天然気集団公司||直営のガソリンスタント約2万店で電子決済が利用できなくなる障害が発生。現金支払いにて対応。*67|
|韓国||CJ CGV||15日早朝、一部の映画館の広告サーバー、ロビーに設置されたディスプレイ用サーバーが感染。*68
|
詳細状況は調査中だが映画の上映は支障なく行われている。
|インドネシア||ダルマイス病院||国内最大規模のがん専門病院で13日に受付システムで障害発生。
|
手作業にて暫定対応したが、15日午前は数百人の患者が長時間待機する事態となった。*69
|ブラジル||国立社会保険院||システムの一部で障害発生。年金の受け取り手続きが不可となった。*70|
その他影響を受けたとして名前が挙げられていた被害組織
|国||被害が確認されたと報じられた組織|
|アメリカ||FedEx|
|ロシア||ロシア中央銀行、ロシア鉄道|
|中国||北京大学、上海交通大学、山東大学、南昌大学、大連海事大学、桂林航天工業学院、中国石油天然気、中国公安省、孫逸仙大学
|
政府機関、病院、大学などの約2万9000団体のマシンが感染したと新華社通信が報じた。*71
|インド||アンドラプラデシュ州警察、マハラシュトラ州警察等約100か所で被害。
|
約6割の国内銀行が対策未実施のためATMの一時停止をインド準備銀行が要請。
|インドネシア||首都ジャカルタにあるダルマイス病院等2つの病院で発券システムで障害発生。*72|
|スペイン||Vodafone Espana、KPMG consultancy、BBVA銀行、santander銀行、Iberdrola|
|ポルトガル||Portugal Telecom|
|ルーマニア||ダチア|
|ブラジル||サンパウロ州司法裁判所、携帯電話会社Vivo、航空会社LATAM|
|コロンビア||臓器移植データベースシステム|
|アルゼンチン||国内の通信企業|
|タイ||バンコク市内2か所の電光掲示板で障害発生。|
|シンガポール||商業施設数か所の電光掲示板で障害発生。|
|韓国||13日から18日にかけ国内企業18社が被害届を提出。*73|
|台湾||10の学校、国営電力会社、病院、少なくとも1件の台中中心部の民間企業での感染が確認されている。*74|
|他名前が出ていた国||イタリア、トルコ、メキシコ、ウクライナ、ベルギー、ベトナム、オーストラリア|
その他感染報告ツイート
- https://twitter.com/amtinits/status/863166195461238784
- https://twitter.com/lostinabc/status/863273548177068033
- https://twitter.com/decrypfile/status/863367933929545729
- https://twitter.com/JamesMcLeary/status/863748297630011392
- https://twitter.com/ALiCE6TY9/status/863346642161762304
- https://twitter.com/ColtSsr/status/863705211696668672
- https://twitter.com/HackRead/status/863800963500580865
- https://twitter.com/mjos_crypto/status/863359551776673792
感染するランサムウェア「WannaCry」の詳細
感染対象のマシン
- MS17-010で公開された更新プログラム未適用のWindows 7、Windows Server 2008、またはそれ以前のOSを対象に感染する。設計上、Windows 10はこの攻撃の影響を受けない。(Microsoft)
ドロッパーの挙動・特徴
- 開発者が設定したドメインに接続しようと試み、これに失敗した場合にRansomwareに感染する。接続に成功した場合実行が停止され、感染することはないキルスイッチの動作をする。(Microsoft)
- このキルスイッチが存在しないバージョンもすでに確認されているとの報告もあったが、これは後に攻撃で使用されたものではないことが判明した。
- 確認されているキルスイッチのドメインはリサーチャーにより全てシンクホールとされている。*75
- ドロッパーは「mssecsvc2.0」という名称のサービスを作成する。このサービスを通じて他のマシンへ感染をしようとする。これにはSMBの脆弱性、およびDoublePulsarのバックドアが悪用される。
キルスイッチのサイト
|発見日||キルスイッチ接続先/検体サンプル||悪用の有無|
|2017年5月12日||www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
|
5ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaec
|悪用あり|
|2017年5月14日||www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
|
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
|悪用あり|
|2017年5月15日||www[.]ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com
|
b9318a66fa7f50f2f3ecaca02a96268ad2c63db7554ea3acbde43bf517328d06
|悪用あり|
|2017年5月15日||www[.]iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
|
7b7aa67a3d47cb39d46ed556b220a7a55e357d2a9759f0c1dcbacc72735aabb1
|悪用未確認|
|2017年5月15日||www[.]lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea[.]com
|
198a25e52018dce7b2f76c3b49948211761dd4f29fc43599077155e61b335234
|悪用未確認|
ランサムウェア「WannaCry」の挙動・特徴
ワームの挙動・特徴
- LAN上のWindowsマシンを走査し、CVE-2017-0145を用いて感染を試行する。
- インターネット上をランダムに走査し、CVE-2017-0145を用いて感染を試行する。
要求される身代金
- 3日以内に支払いがなければ要求金額は倍に、7日以内に支払いがなければデータファイルは削除されると脅迫。
- ユニークに識別する方法がなく、身代金を支払ったとしてもファイルが復元できないとの報告がある。
報告されている身代金振込先のBitcoinアドレス
|Bitcoinアドレス||最終残高(5月16日13時時点)||取引回数|
|13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94||13.78657998 BTC||90件|
|115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn||9.44967018 BTC||70件|
|12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw||12.71671641 BTC||79件|
|合計||35.95296657 BTC
|
(約739万円)
|239件|
- 「1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY」は5月6日以降取引がなく、以前に使用されたBitcoinアドレスとみられるため割愛。
- トランザクションの状況を詳細にトレースをしている記事 https://misentropic.com/wannacry_graph.html
WannaCry暗号化対象の拡張子
.doc,.docx,.docb,.docm,.dot,.dotm,.dotx,.xls,.xlsx,.xlsm,.xlsb,.xlw,.xlt,.xlm,.xlc,.xltx,.xltm,.ppt,.pptx,.pptm,.pot,.pps,.ppsm,.ppsx,.ppam,.potx,.potm,.pst,.ost,.msg,https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis
.eml,.edb,.vsd,.vsdx,.txt,.csv,.rtf,.123,.wks,.wk1,.pdf,.dwg,.onetoc2,.snt,.hwp,.602,.sxi,.sti,.sldx,.sldm,.sldm,.vdi,.vmdk,.vmx,.gpg,.aes,.ARC,.PAQ,.bz2,.tbk,.bak,
.tar,.tgz,.gz,.7z,.rar,.zip,.backup,.iso,.vcd,.jpeg,.jpg,.bmp,.png,.gif,.raw,.cgm,.tif,.tiff,.nef,.psd,.ai,.svg,.djvu,.m4u,.m3u,.mid,.wma,.flv,.3g2,.mkv,.3gp,.mp4,
.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.mp3,.sh,.class,.jar,.java,.rb,.asp,.php,.jsp,.brd,.sch,.dch,.dip,.pl,.vb,.vbs,.ps1,.bat,.cmd,.js,.asm,.h,.pas,.cpp,
.c,.cs,.suo,.sln,.ldf,.mdf,.ibd,.myi,.myd,.frm,.odb,.dbf,.db,.mdb,.accdb,.sql,.sqlitedb,.sqlite3,.asc,.lay6,.lay,.mml,.sxm,.otg,.odg,.uop,.std,.sxd,.otp,.odp,.wb2,.slk,
.dif,.stc,.sxc,.ots,.ods,.3dm,.max,.3ds,.uot,.stw,.sxw,.ott,.odt,.pem,.p12,.csr,.crt,.key,.pfx,.der
確認されているWannaCryの通信先
|通信先||報告者|
|gx7ekbenv2riucmf.onion||Kaspersky|
|57gspsprrzlojinas.onion||Kaspersky|
|Xxlvbrloxvriy2c5.onion||Kaspersky|
|76jdd2ir2embyv47.onion||Kaspersky|
|cwwnhwhlz52maqm7.onion||Kaspersky|
|sqjolphimrr7jqw6.onion||Kaspersky|
|Rphjmrpwmfv6v2e.onion||McAfee|
確認されている通信先をまとめた記事
確認されているWannaCryの検体サンプル
WannaCryの各社の検体呼称
|ベンダ||検出名|
|Microsoft||Ransom: Win32/WannaCrypt|
|TrendMicro||RANSOM_WANA.A、RANSOM_WCRY.I|
|Kaspersky||Trojan-Ransom.Win32.Gen.djd
|
Trojan-Ransom.Win32.Scatter.tr
Trojan-Ransom.Win32.Wanna.b
Trojan-Ransom.Win32.Wanna.c
Trojan-Ransom.Win32.Wanna.d
Trojan-Ransom.Win32 .Wanna.f
Trojan-Ransom.Win32.Zapchast.i
PDM:Trojan.Win32.Generic
|Symantec||Ransom.Wannacry
|
Ransom.CryptXXX
Trojan.Gen.8!Cloud
Trojan.Gen.2
|Fortinet||W32/Filecoder_WannaCryptor.B!tr
|
W32/WannaCryptor.B!tr
W32/Generic.AC.3EE509!tr
W32/GenKryptik.1C25!tr
|F-Secure||Trojan.Ransom.WannaCryptor.A
|
Trojan.Ransom.WannaCryptor.H
|Sophos||Troj/Ransom-EMG|
その他にも次の名称が用いられている。
- Wanna Decryptor
- WanaCrypt0r 2.0
- WanaCrypt
- WCry
感染原因
- 正確な初期感染の経路は確認されていない模様。確定している感染経路はインターネット上にSMBのサービスが公開されているマシンに対して、Exploitが直接使用されるケース。(FOX IT)
- 4月14日にShadow Brokersが公開したExploitツール「ETERNALBLUE」に関連する。
対策
(1) DoublePulsarの感染状況を確認する。
- SMBやRDPのポートがインターネット上に公開されていないか確認する。
- 公開されていた場合はDoublePulsarの感染確認をする。
自身でのチェックツール
- NMAP File smb-double-pulsar-backdoor
- Metasploit MS17-010 SMB RCE …
IoC
198a25e52018dce7b2f76c3b49948211761dd4f29fc43599077155e61b335234
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
5ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaec
7b7aa67a3d47cb39d46ed556b220a7a55e357d2a9759f0c1dcbacc72735aabb1
b9318a66fa7f50f2f3ecaca02a96268ad2c63db7554ea3acbde43bf517328d06
http://www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com
http://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
http://www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com
http://www.lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
5ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaec
7b7aa67a3d47cb39d46ed556b220a7a55e357d2a9759f0c1dcbacc72735aabb1
b9318a66fa7f50f2f3ecaca02a96268ad2c63db7554ea3acbde43bf517328d06
http://www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com
http://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
http://www.iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com
http://www.lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea.com