ファイルをVVVという拡張子に書き換えるウイルスへの対策について【ランサムウェア】

  • 投稿 : 2015-12-07

本記事は広告およびアフィリエイトプログラムによる収益を得ています

被害報告がTwitterなどで拡散して話題となっているランサムウェア“vvvウイルス(通称)”について、セキュリティベンダーのトレンドマイクロ株式会社は、詳細を調査中であるとしながらも、「国内のユーザー向けに差し迫った脅威ではない」との見方を示した。12月7日の時点で、「ウイルスの挙動や確認されている感染経路から、現状、日本を狙った攻撃とは当社ではみておらず、世界的にみて被害状況は、他のウイルスと比べても取り立てて大きくないことが確認されている」という。
話題の“vvvウイルス”、「日本で被害が急増した形跡は見当たらない」とトレンドマイクロ、とにかくパッチ適用など基本的なセキュリティ対策をしっかりと -INTERNET Watch

状況はそんな感じで、できることは普通のウイルス対策と同じことしかできないという話かとは思う。

ランサムウェアとは

ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。パソコンに保存されている特定のファイル(オフィスドキュメントや圧縮ファイル、音楽、画像など)に勝手に暗号化処理を行い、読みとれない状態にしてしまう不正プログラムで、ファイルを暗号化した後にそのファイルの復元と引き換えに金銭を要求するような文面が表示されます。この現象が、あたかもファイルが身代金を要求するための人質の様であることからランサムウェアと呼ばれます


ランサムウェアの感染経路は、一般的なウイルスの感染経路と同様です。メール内のURLをクリックしたり、攻撃者が用意したウェブサイトを閲覧したりすることで感染※4します。


このことから、パソコンにインストールされているソフトウェアの脆弱性を悪用し、ウェブサイトにアクセスしただけでウイルスに感染するドライブ・バイ・ダウンロード※5による被害と、IPAでは推測しています。
2015年6月の呼びかけ:IPA 独立行政法人 情報処理推進機構

・ファイルを暗号化して読めなくする
・ファイルを元に戻したかったら、金払え
・感染経路は、ウイルスやアドウェアと同じだと思ってよい

暗号化されたファイルを元に戻すのは、事実上不可能だと思われる。

ウイルスに感染してない時に、ファイルを外部メディア(USB、外付けHDD、DVD-R)とかにバックアップ取っておくしかないと思う。

感染していると、接続されているHDD、ネットワークドライブ(共有ファイル)のファイルも対象になり暗号化されてしまうので要注意っていう部分がありますね。

ドライブ・バイ・ダウンロードというのは、ブラウザで表示させただけで感染するタイプのもので、そのサイト自体やそこに表示されている広告経由で感染します。

対策方法

・ウイルス対策ソフトが動作しているかどうかを確認する
・Javaを最新にするか、使ってない場合はアンインストールする
・Adobe Readerを更新して最新にする
・Adobe Flash Player を更新して最新にする
・Windows Updateを実施する

ゼロデイでない既知の脆弱性を利用する攻撃は、使用するソフトウェアを脆弱性が解消された最新バージョンにアップデートしておくことにより、100% 防げるものです。特に、Adobe Flash、Java、各種インターネットブラウザなど、インターネット利用時に使用されるアプリケーションのバージョンは必ず最新にしてください。
2015年10月30日:ランサムウェア拡散を狙うWeb改ざん、国内サイト70件以上で被害を確認 | トレンドマイクロ セキュリティブログ

>ゼロデイでない既知の脆弱性を利用する攻撃は、使用するソフトウェアを脆弱性が解消された最新バージョンに
>アップデートしておくことにより、100% 防げるものです。

逆にいうと、ゼロデイの既知でない脆弱性を利用されると、防げないってことなんですけど・・・。

【MS無償提供】脆弱性緩和ツール EMET(エメット)をインストールしてみる

上記みたいなものもあるにはある。けど、効果のほどはよくわからないし、使ってる人が少なそう。

怪しいサイトをみない
これが重要な気はするけど、難しいかなぁとは思う。

■セキュリティソフトを導入する
セキュリティソフトを導入し、定義ファイルを最新に保つことで、ランサムウェアの感染リスクを低減させることができます。
■OSおよび利用ソフトウェアを最新の状態にする
OSおよびソフトウェアのバージョンを常に最新の状態に保ち、脆弱性をなくすことでドライブ・バイ・ダウンロードによる感染リスクを低減します。
■重要なファイルを定期的にバックアップする
基本的にはランサムウェアによって暗号化されたファイルは復元できません。そのため、重要なファイルについては、定期的にバックアップする必要があります。
2015年 6月 1日:2015年6月の呼びかけ:IPA 独立行政法人 情報処理推進機構

上記でも似たようなことは書かれています。

信頼のできないものは、なるべく導入しない

今回の件関係なく、そうしたほうが良いと思う。

アドウエアとかに感染したかなぁと思って、ファイル名で検索すると、逆に怪しげな除去ツールとか対策ソフトを使えばよいみたいな情報が見つかったりするのですが、そういうのを安易に導入しないほうが良いかもと思います。

個人的には、窓の杜Vectorとか経由でダウンロードするようにはしています。ない場合は、直接公式?サイトになるわけですけどね・・。

感染してないか?!

 すべてのダウンロードファイルとアーチファクトは、次のパスに保存されます。
・C:\Users\[username]\AppData\Roaming\
ASCII.jp:「Tox」:一般ユーザーが利用できるランサムウェアが登場

上記場所を「*.exe」で検索して、英数字の羅列のexeが発見されたら、たぶんやばい感じ・・。


[username]のところはユーザー名に置き換えてください。
エクスプローラーで、Cドライブ->ユーザーという風にたどっていけばOKかと。
AppDataフォルダは隠しフォルダになっていて、直接アドレスバーに入力しないと表示されないかと思います。

C:\Users\kuro\AppData\Roaming

私の場合は上記の場所でした。

ウイルス対策ソフトは、市販ソフトを使うべき?!

これは、ちょっと私にはわからないです。

avast 2016 無料の1年用ライセンス登録の仕方
私は、avastの無料版を使用しています。

無料のMicrosoft Security Essentials(MSE)は、私は使ったことないですが評判を聞く限りではダメな部類だと思います。

その他の情報

 第2段階では悪名高いエクスプロイトキットの「Angler」を使って、ランサムウェアの新手の亜種「CryptoWall 4.0」に感染させる。CryptoWallは感染先のPCのファイルを暗号化して身代金を要求するランサムウェアで、11月初旬に新手の亜種が出現していた
ランサムウェア「CryptoWall」に新手の亜種、2段階攻撃で拡散 - ITmedia エンタープライズ

ファイルをVVVに書き換えるランサムウェアの蔓延とWin10の強制アップグレードで感染する事例が急増!? - Windows 2000 Blog
危険度を増したランサムウェア「TeslaCrypt 2.0」 | Kaspersky Daily - カスペルスキー公式ブログ
情報窃取型不正プログラムと連携するランサムウェア「Cryptowall 3.0」 | トレンドマイクロ セキュリティブログ
ファイルを暗号化するランサムウェア、新種確認 | トレンドマイクロ セキュリティブログ
Javaのゼロデイ脆弱性を狙った攻撃が観測 | マイナビニュース
スポンサーリンク