更新履歴 [ 全て表示戻す ]
2015.12.11: さらに後日談ぽいものを収集して追記

2015.12.08: vvvウイルスの詳細をいろいろ追記。
2015.12.06: 柑橘.vvv氏のその後のツィートやAdBlock系ツールについて追記、誤字の修正


2015.12.08 / 12.11追記
vvvウイルスの正体、後日談など

vvvウイルスの正体は「TeslaCrypt 2.2.0」だった模様。

国内での感染例は極めて少ない模様

.vvvウイルスの検体を入手した人のテスト

その他

 

追記終わり。
以下、12月6日公開時の情報

スポンサー リンク

PC内のほぼ全てのファイルに「vvv」という拡張子がついてファイルが読めなくなるウイルス「VVVウイルス」についての話題です。

情報拡散の経緯など

数日前(11/29頃)からチラホラと感染報告があったのですが、2015年12月5日の @kankitsu0(柑橘.vvv氏)のツィートがかなりの破壊力があり、多くのネットユーザーを震撼させ、情報が一気に拡散されました。


この柑橘.vvvさんと言う方、決してPCセキュリティの意識が低いわけでなく、セキュリティソフトの設定を最高レベルに引き上げて利用しており、またファイルの管理もしっかりしている方。Twitter上で行われた「今回の被害報告」も非常に上手く、かなりのPCスキルを持ちネットにもそれなりに精通された方であろう事が容易に想像できます。
しかし、これが逆に被害の深刻さを際立たせる結果になりました。

一連のツイートまとめ
【VVV ウィルス】広告を見ただけで感染する?新種のランサムウェアの被害が甚大すぎる -Togetterまとめ

これにより、「特定のWeb広告を見ただけで感染してしまう事」と「感染後の有効な復旧手立てがない事」が広く知れ渡り、「問題のWebページや広告の特定が難しい」事もあって(感染規模はかなり小さいと思われるものの) ネットユーザーの恐怖に一層拍車をかけています。

 

今回のウイルスのざっくりした内容

  • ウイルスの種類
    TeslaCrypt2.0またはCryptoWall 4.0と思われる
  • 発生規模
    一定数の報告はあるものの、国内での感染はかなり少ないものと思われる。
  • 症状
    ウイルス感染後、PC内の主要なユーザーファイル(ほぼ全て)が暗号化され「vvv」という拡張子がつき、一切読めなくなる
  • 感染前の予防策
    セキュリティソフト、Flash、JAVA、Windowsなどを最新の状態にする。
    しかしゼロデイ攻撃と思われるため、これだけでは不十分。
    Flash、JAVA、Adobe Reader、ActiveXなどの削除・無効化が望ましい。
  • 感染後の対処方法
    暗号化されたファイルを元に戻すには「復号鍵」が必要。
    「復号鍵」は攻撃者(開発者)のみが所有している。
    つまり復旧方法は無いに等しい。
  • 感染経路
    ウェブサイトを表示しただけ、「特定の改ざんされたバナー広告」が表示されただけで感染する
    ※現時点では 海外(特にアダルトサイト)での感染が多いと思われる

数年前からよくあるタイプのウイルスで、私の場合などは「気を付けていれば大丈夫だよねー」てな感じで軽い気持ちでいたのですが、これ「感染すると完全にダメなヤツ」ですね。。。攻撃者に金払って解除方法を教えてもらう以外、感染後のファイルの復旧方法は無さそうです。
(※金払っても解除してもらえる保証は無い)

恐らく、多くのユーザーが今回改めて(または初めて)この事実を突き付けられ、このウイルスの怖さを改めて知ることになったのだと思われます。

追記: 柑橘.vvv氏のその後のツィート

本日、Twitter上でウイルス感染時のPCの状態を公開していらっしゃいました。

  • 利用しているブラウザはChrome
  • ネット環境はADSLモデム。ルータあり。
    接続設定は初期設定と思われる。
  • Windowsのファイアウォール有効
    ウイルス対策ソフトはAvira
  • OSはWindows7。最新の状態。
    Flashは19,0,0,245で最新ではない。 訂正。19,0,0,245は最新版であり詳細不明。
    Javaは確認できない。(以前は入れていたが、OS入れ替え後どうしたか覚えていない模様)
  • エッチなサイトは見ていない。
    怪しいファイルの類はダウンロードしたり開いたりはしてない。
  • その他
    ウイルスに感染してからChromeのプラグインが全く反応しなくなった
  • さらにその後シャドウコピーにバックアップ出来ていたデータのみは復元できた模様
追記情報ここまで。

 

 

以下、(感染しないための)対処方法やウイルスの詳細について。
(※感染後のファイル復旧方法の解説はありません)

大切なデータを守る方法

  • 外付けHDD、USBメモリ、DVD-Rなどにしっかりバックアップを取る。
    定期的にバックアップを行う習慣をつける。
    バックアップはPCから切り離して保管する。
    • 外付けHDDに保管していても、PCに接続した状態でウイルス感染するとファイルは暗号化されてしまう。

感染しないため対策

  • 必須項目
    今回の騒動は関係なく、必須項目
    • Flash Player / Adobe Reader / JAVA
      この3つは必ず最新版を使う。もしくは削除する。無効化する。
      ウイルスをPCにロードするためのPHP
      ▲クリックで拡大
      IEの「アドオンの管理」で「Flash Player / Adobe Reader / JAVA」を無効にしておく方法もあります。
    • セキュリティソフト
      常に最新の状態で使う
      正常作動している事を確認する
    • Windows Update
      必ず実施する。常に最新の状態で使う
  • その他
    • ブラウザ
      • できればIEは使わない。
      • ActiveX、SilverLightも無効にする
    • AdBlockなど広告非表示ツールを使う
      ※非推奨に変更。ページ下段の別項目に移動
    • セキュリティソフトが正常作動しているか必ずチェックする。
    • ※Windows10の場合
      • Windows 7/8.1からアップグレードした際、セキュリティソフトが正常作動しなくなるケースがあるので注意する。必ずチェックする。
      • この場合、代わりにWindows Defenderが作動していると思われるが、セキュリティソフトが二つ入っている状態では正常作動していない可能性がある。
  • 念には念を入れる場合
    当面(あと1週間くらい?)は、以下の対策を必ず行う。
    • ブラウザ
      • Java/Flashは作動させないようにしておく
        黒翼猫さんは、Java/Flash が(クリックしないと動作しないようなQupZillaOtter Browser がおすすめ)としています。
    • UACは最高レベルにする
      • UAC 初期値[既定]または[暗転無し]にしている場合は、マルウェアは簡単にすり抜けてくる
      • Windows 7はマルウェアに強い? UACをSophosが検証 - ITmedia エンタープライズ
        ▲UAC初期値では、(6年前ですら)あっさりとウイルスに感染する事が報告されています。
      • UACについて補足
        • 最初にウイルスに感染する時、特権昇格で感染PCの管理者権限を奪うものと思われる
        • 今回のウイルスの場合、その後のファイルの暗号化や破壊活動に対しては、UACは無意味と思われる (一般フォルダ/一般ファイルの書き換えに対してはUACは反応しないため)

追記&注意:AdBlock など広告非表示ツール(非推奨)

AdBlock系ツールは、広告の一部を一旦メモリ内にロードしてから非表示にする場合があります。元々が画像やjavascript を「選択的に排除する」プログラムなので、ウイルス入りのコードを広告と判断してくれる保証も、ブロックしてくれる保証もありません。

  • 以下、手元で挙動を確認した結果
    • AdBlock Plus・・・ 見かけ上はGoogle Analytics のコードもブロックしているように見えるが、Google Analyticsは作動している。
      (どこまでブロックして、どこから許可しているのか不明)
    • μBlock・・・・多くの広告スプリプトが「最初のコード」は読み込まれる。そこから実行orブロックを判断する仕様。
  • 当初(1回目の追記)から「これでウイルスもブロック出来ている気分になるのはマズイ模様。」とは書いていましたが、これを信頼するのは思った以上に危険だと感じました。

注意点1

上記の対策を行っても、感染する時は感染する。

  • 攻撃者は 多くの場合、IE、Flash、JAVAの未修正の脆弱性を利用し攻撃します。(ゼロデイ攻撃)
  • ゼロデイ攻撃の場合、以下の対策は意味がない
    • ウイルス対策ソフトを最新の状態にする
    • Flash Player / Adobe Reader / JAVA を最新の状態にする
    • Windows Updateで常に最新の状態にする

注意点2

安易に海外サイトへ情報を求めにいかない。
ミイラ取りがミイラになる場合がある模様。

  • ファイルをVVVに書き換えるランサムウェアの蔓延とWin10の強制アップグレードで感染する事例が急増!? - Windows 2000 Blog
    • このウイルスの情報を求めて海外サイトを巡回し、逆にvvvウイルスを貰ってしまう場合がある。
    • 偽セキュリティソフトの SpyHunter 4 が効果があるように説明されていたり、SpyHunter 4 が勝手にインストールされる場合がある。
    • そして現時点では大半がニセ情報

vvvウイルスとは

  • 感染するとパソコンの主要なファイルが暗号化される
  • 「.vvv」という拡張子がつく。暗号化され、ファイルが開けなくなる。
    • ロックされる主なファイル
      文書ファイル・・・xls、xlsx、doc、docx、pdf、txt
      画像ファイル・・・ jpg、psd
      音楽・動画ファイル・・・・wav、mp3、mp4、mpg、avi、wmv
      圧縮ファイル・・・ zip,rar
      など、ユーザーが作成するデータのほぼ全てが暗号化される。
      ※ちなみに 今回 @kankitsu0氏が感染したものは音楽ファイル(mp3、wav、flacなど)は無事だった模様。
    • USB接続の外付けHDDのデータなども根こそぎ暗号化される
  • 暗号化 解除のために身代金の支払いを要求する
    (支払っても解除される保証はない)
  • その他
    • 復元ポイントが破壊される
    • セキュリティソフトが無効化される

感染するデバイス

  • (現時点では)主に64bit版のWindows。
    • Windows XP から Windows 10まで感染報告がある模様。
  • (現時点では) Android、Mac、iPhoneなどの感染報告なし。
    ※今回は発生していない、というだけで、過去にはAndroid、Mac、iPhoneでもランサムウェアの被害はある。

感染後の対処方法

暗号化されているため、復号キーが入手できない限り ファイルの復旧は無理。

FBIも金払えと言うレベル。
(しかも金払っても復旧できる保証はない)

いつから発生しているのか?

何をもって「いつから?」と定義するかによって答えは異なる

  • 今回のウイルスについて
  • 感染手口について
    • 「サイトの改ざんを行い」「Web感染型のウイルス」を仕込む。
      ドライブバイダウンロード」という手法が使われていると思われる。
    • Webサイト上に悪質なプログラムが仕組まれ、そのWebサイトで全くクリックしなくても、閲覧しただけで感染する
    • 2009年頃には既に存在していた。
      古くは「Gumblar(GENOウイルス)」が有名。
      • ※Gumblarの場合はFTPアップロード機能を備えており、Webサイト管理人が感染するとそのサイトも感染するという感染力の非常に強いものだった
  • ウイルスのタイプについて
    • PCやファイルをロックして、身代金を要求するタイプ。
      ランサムウェアと呼ばれる。(ランサム・・・身代金、という意味)
    • これも古くから存在している。2005年頃にはすでに存在している。
      似たタイプのウイルスは 2013年頃にも猛威を振るっている

主な感染原因

  • インターネット経由(ウェブサイト)
    ハッキングされた (ウイルス感染した) 広告バナーを「表示させる」だけで感染する。
  • どのサイトで感染したのか?
    • 現時点では、海外(特にアダルト)サイトで感染するのがメインと思われるが、
      特定するのは難しい。
      最近の「ドライブバイダウンロード攻撃」は、感染後10~60分程度潜伏してから破壊活動を始める。
      (サイト内関連:ウイルスの仕組みを理解してみる(やや雑文) )
    • 上記の様な「タイマー」を仕掛けられると、特定はまずムリ。

一般的なウイルスの感染経路やトレンドについて学ぶ

同系のランサムウェアの「一般的な」情報

このページの情報は 以上です。