読者です 読者をやめる 読者になる 読者になる

四十三庵

蔀の雑記帳

情報が錯綜してる感じのvvvウィルスについて整理したい記事

IT
  • VVVウィルスの症状


なんか話題になってたんですが、vvvウィルスというウィルスが出回っているそうです。
症状としては、

・ストレージのすべてのファイルの拡張子をvvvに変更
・すべてのファイルを勝手に暗号化→使用不可能に
・外付けHDDとかもやられる
・「この鍵をつかわないと、ファイルを復号化できません」という脅し(金銭目的なんかな?)
・チェックポイントも消されるので、復旧もできない

という酷いことになる模様。

  • VVVウィルスの感染源

@rey1229さんが注意喚起してた内容をそのままコピペすると、

VVVウイルスに関する注意喚起

※※※※※※※※※※※※※※※※※※※※※※※※※※※※※
当該内容に関して、検索エンジンなどでの検索は控えてください
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※

新型のコンピューターウイルスに関する注意喚起です。

前の土曜日から、急速なスピードで、通称「vvvウイルス」というランサムウェア(コンピューターウイルス)が拡散しています。

手口は「ドライブバイダウンロード」でWebサイトの広告を閲覧しただけで感染するというものです。
現在、ウイルスを検出できるウイルス対策ソフトが「カスペルスキー」(2015/12/6 AM4時現在)となっています。

今回のウイルスで驚異な点として、現時点で全く対処方法がなく、感染した場合の被害が尋常ではないところです。

詳細は下記に箇条書きベースでまとめています。

【vvvウイルスの特徴】
1.感染ルートはWebサイトを閲覧するだけ
  ※Webサイトにある広告が原因
2.感染時、ウイルス対策ソフトで検出できるものは無し
  (2015/12/6 AM4時現在。事後検出はカスペルスキーのみ可能)
3.Webサイト閲覧時、任意のコードが実行可能なあらゆるもの(FlashJavaなど)で試され、ほぼ強制的に感染する。
4.感染後の被害が大きい、かつ早すぎる。
  ①感染後1~2分でドライブ全体のファイル名を「拡張子 *.vvv」にリネーム、及び暗号化。
  ②当該PCに接続されている外部記憶媒体・及びネットワークドライブにも感染。
  ③どう考えても通常では考えられないスピードで感染が拡大する。
5.Windowsの復元ポイントも削除される。
6.セキュリティの専門家が、当該ウイルスに関して情報収集のため、検索エンジンで検索して、
  ミイラ取りがミイラになっている始末。
7.BitDefenderがワクチンを配布しているが、速報ベースのモノで、検証が不十分な模様
8.今までのウイルスやマルチウェアと動作原理が違い、一般のウイルス対策の知識では対応できない。


【感染の流れ】
1.Webサイトを閲覧
2.Webサイトに含まれる広告から感染
3.該当する広告は任意のコードが実行可能なあらゆるもの(FlashJavaなど)から実行を試みる
4.感染後1~2分でドライブ全体のファイル名を「拡張子 *.vvv」にリネーム、及び暗号化
5.外付けHDDや、ネットワークドライブなどWindows上でアクセスできる、あらゆるファイルに感染。


【暗号化対象となるファイル】
sql, .mp4, .7uit, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp,
.ritssluiting, .zij, .som, .iBank, .t13, .t12, .QDF, .gdb, .belasting,
.pkpass, .BC6, .BC7, .BKP, .Qin, .BKF, .sidn, .Kidd, .mddata, .ITL,
.itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .Gho, .geval,
.svg, .kaart, .wmo, .itm, .sb, .fos, .mov, .VDF, .ztmp, .zus, .sid,
.NCF, .menu, .lay-out, .DMP, .bobbel, .esm, .vcf, .VTF, .dazip, .FPK,
.MLX, .kf, .IWD, .LSC, .tor, .psk, .rand, .w3x, .fsh, .ntl, .arch00,
.lvl, .SNX, .cfr, .ff, .vpp_pc, .LRF, .m2, .mcmeta, .vfs0, .mpqge,
.KDB, .db0, .dba, .rofl, .hkx, .bar, .kve, .de, .mensen, .litemod,
.aanwinst, .smeden, .LTX, .bsa, .apk, .RE4, .weken, .lbf, .slm, .bik,
.EPK, .rgss3a, .vervolgens, .groot, portemonnee, .wotreplay, .xxx,
.desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b,
.p12, .pfx, .pem, .crt, .hemel, .de, .X3F, .SRW, .PEF, .ptx, .r3d,
.RW2, .RWL, .rauw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .KDC, .dcr,
.CR2, .CRW, .bay, .SR2, .SRF, .ARW, .3fr, .DNG, .JPE, .jpg, .cdr,
.indd, .aan, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .WPD,
.DXG, .xf, .dwg, .pst, .accdb, .CIS, .PPTM, .pptx, .ppt, .XLK, .XLSB,
.xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc,.odb, .Ep, .odm,
.Reageer, .paragraaf, .odt

Webサイトにある広告が原因、という説がまことしやかに囁かれてるんですが、僕は結構疑わしいんじゃないかと思っています。
Flash脆弱性を突いて、任意のコード実行させるとかは過去あったみたいなんすけど、
www.ipa.go.jp
ブラウザ経由でシステムファイルまで拡張子書き換えられるような強権限での実行はさすがに無理なんじゃないかなあ、と。
とはいえ僕も感染源が何なのか、確たることはわかっていないので、「無理な気がする」というレベルなんですけども。

こういうときに真っ先に注意喚起してくる、トレンドマイクロとかIPAとかが何のアナウンスもなく、
変なまとめサイト先行で話題になっているのも、感染源が特定できていないからなんじゃないかなと思います。

  • 情報ソース

www.yomiuri.co.jp
WEB広告を経由したランサムウェアについては読売新聞に出ているけど、VVVウィルスの話というわけではない。

pc.nikkeibp.co.jp
これも同上。

vvvウィルスについては、大手2chまとめサイトがとりあげているだけで、
今んとこあんまり信頼できるソースがなく、「WEB広告経由で感染!」というのも噂に尾ひれがついている段階です。

  • 対策

対策としてあげられている、「外付けHDDにバックアップをとる」「Adobe Flash Playerのバージョンを最新版にする」とかは、
今回のvvvウィルスに限らず、いい習慣だと思うので、vvvウィルス対策というよりは普通にやったらいいと思います。
AdBlockを入れる」という対策は、プラグイン入れても、一回コード自体は読み込んでから非表示にする動きな気がするので、あんま意味ないんじゃないすかね。

※また情報が追加され次第、追記します
(了)