web広告に潜む新種のウイルスさんが猛威を振るっているようです。【.vvv】 2015/12/06 (Sun)

97週目、酒匂出ました、コンプです。

さて、12月になってインフルエンザのオンシーズンに入りましたね。
【1/10追記：復号化スクリプトが公開されてた】 

それは別の話として、PC界隈の間でもどうやら新しいウイルスが流行っているようです。

それも非常に危険な。ヘタしたらOS一発で逝く類のものです。重要なデータが吹っ飛ぶ類のものですね。



12月に入ってからでしょうか。このような内容の被害報告がTwitter上で大量に上がってきているのです。

”ファイルの拡張子が勝手に.vvvというものになってる”

というものです。



元のファイルにvvvという拡張子が付くだけじゃないか・・・と思ったのですが、

どうやら暗号化しているらしく、拡張子を戻すことも出来ず、勿論閲覧、編集もできません。
Cドライブだけでなく、外付けしたHDDなども全部やられるみたいですね。ローカルネットワーク内のPCは不明ですが悪く考えるべきでしょう。



ちょっと調べてみたところ、これは最近流行っている身代金型ウイルスというものだそうです。
正式名称はランサムウェア。今回問題になったのはTeslaCryptというウイルスの最新版のようです。


簡単に説明すると、ウイルスが勝手にPC内のファイルを暗号化して開けなくさせてしまい、

ファイルの暗号化を解いて欲しければ以下の所に金を払え！というものです。
大体フォルダの何処かにテキストファイルかなんかが勝手に増えてて、そこに脅し文句が書いてあります。


実はこれ、結構昔からある手法だったようなのですが、もっぱら主流は海外なので

身代金を払うクレジットやネットバンキングも大体海外のものが使われていました。

しかも、日本で使われていないようなものばっかり指定するケースが殆どだったので

これまで日本人は殆ど攻撃対象にされていなかったのですが・・・


・・・最近倒産騒ぎとなった某社のサービスのお陰で日本でも去年辺りから段々増え始めてきた手口です。
つい最近某F◯Iが金払うのが良いとか抜かして問題にもなりましたね。


で、感染した際の対処法ですが、

この手のものは復号化するソフトウェアができてしまったら意味が無いので

その対策としてコロコロと暗号化方式が変わっていきます。


つまり、暗号化されてしまったファイルの直近での復号化（再生）はまず不可能でしょう。
そのうち復号化ソフトとかも出てくる可能性はありますね。セキュリティ関連企業のahnlabに色々書いてありました(´・ω・｀)

金を払うのは論外としても、じゃあ実効的な対処があるのかというと、バックアップの再生くらいしかありません。


実際、このウイルスは感染と同時に片っ端からファイルを暗号化していくのですが、

逆に言えばそれしかしていないのでバックアップで感染前の状態に戻してしまえば何の問題もありません。


しかし、システムファイルが改竄されてしまったら・・・？

この手のウイルスがOS動作に影響するレベルのファイルを改竄することがあるのかは疑問ですがお金払えなくなるしね！

もしそうなったら完全に詰みです。バックアップを行う部分だけ改竄とかしてくる頭いいやつはまだいないっぽい？それが一番厄介ですね


12/6追記：
やっぱり文書ファイルとか画像ファイルとか、ユーザーが一般的に使うファイルを
拡張子で判断して自動で置換しているようです。

普通ならほっとくと5-6時間で置換対象のファイルは全部置換されるようですが、
システムファイルをいじる類のものは今のところ報告されていないようですね。
長時間ネットサーフィンだけしてると気づかない間に全部やられてそうだ。。。
※勿論ですが、この速度はマシン性能や総ファイル数に依存します。
　5-6時間も報告例の平均であり、母数から言ってまともな統計ではありません(´・ω・｀)



で、感染を防ぐ方法についてです。

色々言われていますが、どうやらvvv君はflashからやってきてるみたい。海から釣られてきている疑惑もありますが・・・。


Adobe FlashPlayer,ReaderやらJava（JRE）が最新の状態でない、

WindowsUpdateを行っていないなどの問題があると、あっさりと入ってこられてしまうようです。

Adobe FlashPlayerのバージョン確認はこちらから行えるようです。


どうにもvvvに関しては怪しいサイトを踏んだ踏んでないはあまり関係ないもののようで、

正式な広告に忍び込んでくる一番厄介なタイプみたい。その広告乗っけてるサイト開いたアウトってやつですね


つまりこれといってピンポイントな対策はないというのが正直なところ。
有効なのはChrome拡張のAdblock Plusくらい？非表示にするだけっぽいし意味ない可能性が高いですね(´・ω・｀)


残念ながら例え上記のものが最新版だろうと突破してくるときは突破してきます。
一応どこのサイト見ると引っかかるのかは特定しましたが、まぁうんって感じ。知りたい方はメールかなんかで連絡してね♪

しかも、コロコロ変わるせいでアンチウイルスソフトも基本的にスルーしてしまいます。


前述しましたが、ある程度被害が広がると対策ソフトとかも出てくる可能性もありますので

直ぐないと困るデータがやられたりした場合以外は解除ソフトを待つのが良いのでしょうか。


幸いこの手の暗号化にはちょっと時間がかかるので、あれ？と思った時点で

即シャットダウンすれば感染後でもある程度の被害は防げると思います。


多分再起動の際にBIOSからデータバックアップして引っ張りだせばOS再起動させずに中のデータ救出できるので、

そうやってデータ救出後にゆっくりとウイルスファイルを消すか、

アンチウイルスソフトが対応してくるまで待つのがベターなんじゃないかな。

とりあえずCでドライブ開いて*.vvvと検索して何もなければvvvに関しては大丈夫。他の拡張子のやつは知らん

ここに何かしらのファイルが出てくるようですと、ヤバイです。

被害が広がる前に即シャットダウン推奨です。電源ぶっちでもいいくらい(´・ω・｀)




どちらにしても重要なファイルは常に別の所にバックアップをとっとけというのが

非常に大事な予防策となり得ることは間違いないでしょう。




あとは、あまり謎広告の表示されるようなサイトには、最低でもここ数日はアクセスしないほうが吉かと思われます。

とりあえず現状の情報から判断すれば、改竄された広告のあるサイトにアクセスさえしなければ大丈夫なので・・・
結局急に流行りだした原因は日本人が比較的よく見るサイトの広告が改竄されたからですね。


という訳で今日は急に流行りだした.vvv拡張子のお話でした。男性の皆さん特に気をつけてね！


※ブログの情報は12/6 02:00(JST)時点のものになります。


（＾・ω・）ノ curonet at RadiumProduction



12/5追記：

真偽不明ですが、安易にvvvで検索して検索結果の先で広告開いてウイルスに入られたという報告が上がっています。

個人的にデマだとは思いますが、安易な検索は避けたほうが良いかと思われます。

また、改竄広告掲載サイトについてもデマ情報も広がっているようですね。


【1/10追記：復号化スクリプトが公開されてた】 

https://github.com/Googulator/TeslaCrack

TeslaCrackという、TeslaCrypt専用の復号化スクリプト。

Pythonのインストールが必要ですが、gitに書いてある通りにやれば復元できるっぽいです。