拡張子が全てvvvとなり暗号化されるウイルス「vvvウイルス」について

PC内の全てのファイルに「vvv」という拡張子が付き暗号化され読めなくなるウイルス「vvvウイルス」についての話題です。2015年12月5日の @kankitsu0 (柑橘.vvv氏)のツィートがかなりの破壊力があり、また予防策や感染後の対処方法が絶望的な事から多くのネットユーザーを震撼させました。

拡張子が全てvvvとなり暗号化されるウイルス「vvvウイルス」について

2015.12.11: さらに後日談ぽいものを収集して追記
2015.12.08:vvvウイルスの詳細を追記。AdBlock系ツールについて非推奨を追記
2015.12.06: 柑橘.vvv氏のその後のツィートやAdBlock系ツールについて追記、誤字の修正

2015.12.08 / 12.11追記
vvvウイルスの正体、後日談など

vvvウイルスの正体は「TeslaCrypt 2.2.0」だった模様。
国内での感染例は極めて少ない模様
.vvvウイルスの検体を入手した人のテスト
その他
  • 恐怖のランサムウェア、CryptoLocker | Kaspersky Daily -カスペルスキー公式ブログ
    • 一部のアンチウイルス製品はファイルが暗号化されてしまってから感染を駆除するそうです。つまりユーザーは、もし身代金を支払おうと思ったとしてもそれができないということになります。
      おもしろいことに、CryptoLockerの作成者はシステムの壁紙を使ってユーザーにそれを知らせます。被害者が身代金を支払うつもりなのにアンチウイルス製品がマルウェアを駆除してしまった場合(ただしファイルの復号化はしない)、壁紙に書かれているリンクから、マルウェアの実行ファイルを自発的にダウンロードできる仕組みになっています。
      図らずも 二重三重のワナに掛かってしまう・・・という場合もありますね(^_^;
  • スパムメールを介して拡散する「Blackhole Exploit Kit」の脅威とは?| トレンドマイクロ:セキュリティ情報
    • 私の書いた以下文章ではWebサイトからの感染についての警告がメインなのですが、メールを介した拡散も注意が必要です。

 

追記終わり。
以下、12月6日公開時の情報


PC内のほぼ全てのファイルに「vvv」という拡張子がついてファイルが読めなくなるウイルス「VVVウイルス」についての話題です。

情報拡散の経緯など

数日前(11/29頃)からチラホラと感染報告があったのですが、2015年12月5日の @kankitsu0(柑橘.vvv氏)のツィートがかなりの破壊力があり、多くのネットユーザーを震撼させ、情報が一気に拡散されました。


この柑橘.vvvさんと言う方、決してPCセキュリティの意識が低いわけでなく、セキュリティソフトの設定を最高レベルに引き上げて利用しており、またファイルの管理もしっかりしている方。Twitter上で行われた「今回の被害報告」も非常に上手く、かなりのPCスキルを持ちネットにもそれなりに精通された方であろう事が容易に想像できます。
しかし、これが逆に被害の深刻さを際立たせる結果になりました。

一連のツイートまとめ
【VVV ウィルス】広告を見ただけで感染する?新種のランサムウェアの被害が甚大すぎる -Togetterまとめ

これにより、「特定のWeb広告を見ただけで感染してしまう事」と「感染後の有効な復旧手立てがない事」が広く知れ渡り、「問題のWebページや広告の特定が難しい」事もあって(感染規模はかなり小さいと思われるものの) ネットユーザーの恐怖に一層拍車をかけています。

 

今回のウイルスのざっくりした内容

  • ウイルスの種類
    TeslaCrypt2.0またはCryptoWall 4.0と思われる
  • 発生規模
    一定数の報告はあるものの、国内での感染はかなり少ないものと思われる。
  • 症状
    ウイルス感染後、PC内の主要なユーザーファイル(ほぼ全て)が暗号化され「vvv」という拡張子がつき、一切読めなくなる
  • 感染前の予防策
    セキュリティソフト、Flash、JAVA、Windowsなどを最新の状態にする。
    しかしゼロデイ攻撃と思われるため、これだけでは不十分。
    Flash、JAVA、Adobe Reader、ActiveXなどの削除・無効化が望ましい。
  • 感染後の対処方法
    暗号化されたファイルを元に戻すには「復号鍵」が必要。
    「復号鍵」は攻撃者(開発者)のみが所有している。
    つまり復旧方法は無いに等しい。
  • 感染経路
    ウェブサイトを表示しただけ、「特定の改ざんされたバナー広告」が表示されただけで感染する
    ※現時点では 海外(特にアダルトサイト)での感染が多いと思われる

数年前からよくあるタイプのウイルスで、私の場合などは「気を付けていれば大丈夫だよねー」てな感じで軽い気持ちでいたのですが、これ「感染すると完全にダメなヤツ」ですね。。。攻撃者に金払って解除方法を教えてもらう以外、感染後のファイルの復旧方法は無さそうです。
(※金払っても解除してもらえる保証は無い)

恐らく、多くのユーザーが今回改めて(または初めて)この事実を突き付けられ、このウイルスの怖さを改めて知ることになったのだと思われます。

追記: 柑橘.vvv氏のその後のツィート

本日、Twitter上でウイルス感染時のPCの状態を公開していらっしゃいました。

  • 利用しているブラウザはChrome
  • ネット環境はADSLモデム。ルータあり。
    接続設定は初期設定と思われる。
  • Windowsのファイアウォール有効
    ウイルス対策ソフトはAvira
  • OSはWindows7。最新の状態。
    Flashは19,0,0,245で最新ではない。 訂正。19,0,0,245は最新版であり詳細不明。
    Javaは確認できない。(以前は入れていたが、OS入れ替え後どうしたか覚えていない模様)
  • エッチなサイトは見ていない。
    怪しいファイルの類はダウンロードしたり開いたりはしてない。
  • その他
    ウイルスに感染してからChromeのプラグインが全く反応しなくなった
  • さらにその後シャドウコピーにバックアップ出来ていたデータのみは復元できた模様
追記情報ここまで。

 

 

以下、(感染しないための)対処方法やウイルスの詳細について。
(※感染後のファイル復旧方法の解説はありません)

大切なデータを守る方法

  • 外付けHDD、USBメモリ、DVD-Rなどにしっかりバックアップを取る。
    定期的にバックアップを行う習慣をつける。
    バックアップはPCから切り離して保管する。
    • 外付けHDDに保管していても、PCに接続した状態でウイルス感染するとファイルは暗号化されてしまう。

感染しないため対策

  • 必須項目
    今回の騒動は関係なく、必須項目
    • Flash Player / Adobe Reader / JAVA
      この3つは必ず最新版を使う。もしくは削除する。無効化する。
      ウイルスをPCにロードするためのPHP
      ▲クリックで拡大
      IEの「アドオンの管理」で「Flash Player / Adobe Reader / JAVA」を無効にしておく方法もあります。
    • セキュリティソフト
      常に最新の状態で使う
      正常作動している事を確認する
    • Windows Update
      必ず実施する。常に最新の状態で使う
  • その他
    • ブラウザ
      • できればIEは使わない。
      • ActiveX、SilverLightも無効にする
    • AdBlockなど広告非表示ツールを使う
      ※非推奨に変更。ページ下段の別項目に移動
    • セキュリティソフトが正常作動しているか必ずチェックする。
    • ※Windows10の場合
      • Windows 7/8.1からアップグレードした際、セキュリティソフトが正常作動しなくなるケースがあるので注意する。必ずチェックする。
      • この場合、代わりにWindows Defenderが作動していると思われるが、セキュリティソフトが二つ入っている状態では正常作動していない可能性がある。
  • 念には念を入れる場合
    当面(あと1週間くらい?)は、以下の対策を必ず行う。
    • ブラウザ
      • Java/Flashは作動させないようにしておく
        黒翼猫さんは、Java/Flash が(クリックしないと動作しないようなQupZillaOtter Browser がおすすめ)としています。
    • UACは最高レベルにする
      • UAC 初期値[既定]または[暗転無し]にしている場合は、マルウェアは簡単にすり抜けてくる
      • Windows 7はマルウェアに強い? UACをSophosが検証 - ITmedia エンタープライズ
        ▲UAC初期値では、(6年前ですら)あっさりとウイルスに感染する事が報告されています。
      • UACについて補足
        • 最初にウイルスに感染する時、特権昇格で感染PCの管理者権限を奪うものと思われる
        • 今回のウイルスの場合、その後のファイルの暗号化や破壊活動に対しては、UACは無意味と思われる (一般フォルダ/一般ファイルの書き換えに対してはUACは反応しないため)

追記&注意:AdBlock など広告非表示ツール(非推奨)

AdBlock系ツールは、広告の一部を一旦メモリ内にロードしてから非表示にする場合があります。元々が画像やjavascript を「選択的に排除する」プログラムなので、ウイルス入りのコードを広告と判断してくれる保証も、ブロックしてくれる保証もありません。

  • 以下、手元で挙動を確認した結果
    • AdBlock Plus・・・ 見かけ上はGoogle Analytics のコードもブロックしているように見えるが、Google Analyticsは作動している。
      (どこまでブロックして、どこから許可しているのか不明)
    • μBlock・・・・多くの広告スプリプトが「最初のコード」は読み込まれる。そこから実行orブロックを判断する仕様。
  • 当初(1回目の追記)から「これでウイルスもブロック出来ている気分になるのはマズイ模様。」とは書いていましたが、これを信頼するのは思った以上に危険だと感じました。

注意点1

上記の対策を行っても、感染する時は感染する。

  • 攻撃者は 多くの場合、IE、Flash、JAVAの未修正の脆弱性を利用し攻撃します。(ゼロデイ攻撃)
  • ゼロデイ攻撃の場合、以下の対策は意味がない
    • ウイルス対策ソフトを最新の状態にする
    • Flash Player / Adobe Reader / JAVA を最新の状態にする
    • Windows Updateで常に最新の状態にする

注意点2

安易に海外サイトへ情報を求めにいかない。
ミイラ取りがミイラになる場合がある模様。

  • ファイルをVVVに書き換えるランサムウェアの蔓延とWin10の強制アップグレードで感染する事例が急増!? - Windows 2000 Blog
    • このウイルスの情報を求めて海外サイトを巡回し、逆にvvvウイルスを貰ってしまう場合がある。
    • 偽セキュリティソフトの SpyHunter 4 が効果があるように説明されていたり、SpyHunter 4 が勝手にインストールされる場合がある。
    • そして現時点では大半がニセ情報

vvvウイルスとは

  • 感染するとパソコンの主要なファイルが暗号化される
  • 「.vvv」という拡張子がつく。暗号化され、ファイルが開けなくなる。
    • ロックされる主なファイル
      文書ファイル・・・xls、xlsx、doc、docx、pdf、txt
      画像ファイル・・・ jpg、psd
      音楽・動画ファイル・・・・wav、mp3、mp4、mpg、avi、wmv
      圧縮ファイル・・・ zip,rar
      など、ユーザーが作成するデータのほぼ全てが暗号化される。
      ※ちなみに 今回 @kankitsu0氏が感染したものは音楽ファイル(mp3、wav、flacなど)は無事だった模様。
    • USB接続の外付けHDDのデータなども根こそぎ暗号化される
  • 暗号化 解除のために身代金の支払いを要求する
    (支払っても解除される保証はない)
  • その他
    • 復元ポイントが破壊される
    • セキュリティソフトが無効化される

感染するデバイス

  • (現時点では)主に64bit版のWindows。
    • Windows XP から Windows 10まで感染報告がある模様。
  • (現時点では) Android、Mac、iPhoneなどの感染報告なし。
    ※今回は発生していない、というだけで、過去にはAndroid、Mac、iPhoneでもランサムウェアの被害はある。

感染後の対処方法

暗号化されているため、復号キーが入手できない限り ファイルの復旧は無理。

FBIも金払えと言うレベル。
(しかも金払っても復旧できる保証はない)

いつから発生しているのか?

何をもって「いつから?」と定義するかによって答えは異なる

  • 今回のウイルスについて
  • 感染手口について
    • 「サイトの改ざんを行い」「Web感染型のウイルス」を仕込む。
      ドライブバイダウンロード」という手法が使われていると思われる。
    • Webサイト上に悪質なプログラムが仕組まれ、そのWebサイトで全くクリックしなくても、閲覧しただけで感染する
    • 2009年頃には既に存在していた。
      古くは「Gumblar(GENOウイルス)」が有名。
      • ※Gumblarの場合はFTPアップロード機能を備えており、Webサイト管理人が感染するとそのサイトも感染するという感染力の非常に強いものだった
  • ウイルスのタイプについて
    • PCやファイルをロックして、身代金を要求するタイプ。
      ランサムウェアと呼ばれる。(ランサム・・・身代金、という意味)
    • これも古くから存在している。2005年頃にはすでに存在している。
      似たタイプのウイルスは 2013年頃にも猛威を振るっている

主な感染原因

  • インターネット経由(ウェブサイト)
    ハッキングされた (ウイルス感染した) 広告バナーを「表示させる」だけで感染する。
  • どのサイトで感染したのか?
    • 現時点では、海外(特にアダルト)サイトで感染するのがメインと思われるが、
      特定するのは難しい。
      最近の「ドライブバイダウンロード攻撃」は、感染後10~60分程度潜伏してから破壊活動を始める。
      (サイト内関連:ウイルスの仕組みを理解してみる(やや雑文) )
    • 上記の様な「タイマー」を仕掛けられると、特定はまずムリ。

一般的なウイルスの感染経路やトレンドについて学ぶ

同系のランサムウェアの「一般的な」情報



次のページへ
前のページへ
拡張子が全てvvvとなり暗号化されるウイルス「vvvウイルス」について
TOPページへ

コメント(多忙中のため休止中) C[12] T[0]

人気ブログランキング
このブログを応援する・このブログに寄付する
mona:MEmMcKYAWfdX1r3XkoWBoweJTSjtDgdqRo
btc :1342ndtQDJ3NKkTw1BfP8AD4xMy8NJ4kWb


広告&サイト内おすすめページ

 

関連記事(ぜんぶ見る>> セキュリティ時事ネタ
Windows 10/8.1ではサードパーティーのアンチウイルス製品を避けるべき?
2016年10月11日からWindows7+IE11+古いFlash Playerは使えなくなる
多くのWi-Fiルーターに脆弱性が発覚: 2015年10月~2016年4月(タイトル変更)
IEでWebページの広告が勝手に変わる・英語の無関係な広告が出る問題に遭遇中

※コメント欄の一時休止中につき、Monacoin企画も休止中です。
簡単!4ステップでふるさと納税 a8
次のページへ
前のページへ

更新日 2015/12/11(2015年12月公開)このページはリンクフリーです

カテゴリ(メニュー)
このページ

Amazon

Amazon 日替わりタイムセール
サイト内検索
Special Thanks (TOP15)

Amazon
リンク集
楽天市場/ブログランキング
a8 a8