»

TeslaCrypt(vvvウイルス)に感染してみました。

Posted by ntsuji on 2015年12月7日 – 11:26 PM      
Filed under memo

先日から話題になっている「TeslaCrypt」(通称:vvvウイルス)ですが、広告から感染したのか、動画サイトの動画から感染したのか、メール経由か、はたまた改ざんされたサイトからの攻撃によるものなのか。もしくは、それら複数なのか。といった感染経路がなかなかよく分からない状況です。そんな中、自分も何かをしたいと思ったので感染するとどうなるのかということを検証してみました。もちろん、普段利用しているコンピュータではなく、個人情報やそのほかの気密性の高い情報を保持していないテスト用の環境で行いました。利用したウイルスは国内で感染された方と全く同じものではないかもしれませんが同じような挙動をすると思われるものです。

【実行】
当該ウイルスを実行すると感染し、システム内の特定の拡張子を持つファイルを暗号化し、そのファイルを元に戻したければ… といったインフォメーションがテキスト、HTML、画像で表示されます。
first(できるだけ見やすいようにウインドウ位置などは整えてあります)

ファイルの状態を見ると実行前と実行後では以下のような変化があります。

[実行前]
b

[実行後]
a

実行前にはあった[TC.exe]が消え、ファイルが増える(インフォメーションが書かれたファイルです)と共に[.txt]の拡張子だったものに「.vvv」という拡張子が付いて暗号化されてしまい、読めなくなってしまいました。

[暗号化される前のテキストファイル]
testB

[暗号化された後のテキストファイル]
testA他のファイルもテキストファイルではあるのですが暗号化はされていませんでした。おそらく拡張子のみをチェックして暗号化するかどうかということを決めているのだとここから推測できます。であれば拡張子を変更しておけば感染しても大丈夫じゃないか?と思われるかもしれませ。もちろん、現時点ではそうなのですが、今後、ファイルタイプをチェックして暗号化してくるものも登場する可能性があるので根本的な対策とは言い難いと思います。

【復号テスト】
前述したインフォメーションの中には復号したければここにアクセスするようにという指示が書かれていましたのでそちらにアクセスしてみました。

以下はそのサイトにアクセスしてHTMLを保存して再表示させたものです
2015-12-07_030452

カウントダウンがはじまっており、そのカウントダウンが終わるまでであれば1.4BTC = 500USDで暗号化されたファイルを元に戻せるようになるとのことです。
カウントダウンが終わるとその倍の料金が必要になるということも書かれています。
このページの中に気になるところを一つ見つけました。
freedec
[Decrypt 1 File for FREE]と書かれたところです。1つのファイルであれば無料で復号してくれるようですので試してみることにしました。[Decrypt 1 File for FREE]をクリックすると以下のようなファイルアップロードのウインドウが表示されます。
2015-12-07_124609

こちらに先程、暗号されて[.vvv]の拡張子の付いた[test.txt.vvv]ファイルを指定し、暫く待つとダウンロードリンクが表示されました。
dl

上記ファイルをダウンロードし表示したところが以下のものになります。
004

問題なく元通りに復元されたことが分かるかと思います。
これにより、復元可能なキーを相手側はもっており、復元そのものは可能であるということが分かります。
(もちろん、お金を振り込んだ後どうなるかの保証はありません。現時点では事実として可能であるということが分かったというだけです)
基本的にランサムウェアを用いる攻撃者は金銭を得ることが目的です。したがって、復号してもらえないとユーザが考えてしまっては攻撃者は金銭を手に入れることができなくなります。もちろん、元に戻る100%の保証はありませんが、基本的に攻撃者は元に戻すように対応すると個人的には考えています。この[Decrypt 1 File for FREE]は攻撃者が被害者からある種の信頼を得るためのデモンストレーションだとボクは考えています。

【考えられる対策】
もちろん、ウイルス対策ソフトで感染を防ぐことができればいいのですが、どうしても検知できない可能性はついて回ります。ウイルス対策ソフトの話になるとついて回るのがどこのウイルス対策ソフトだと検知できた。できなかった。というお話しです。しかし、今回検知したからといって次回以降検知できる保証はどこにもありません。ですので、検知しない可能性を常に考えておく必要はあると思っています。ウイルス対策ソフトをどこのものを使用するかといったことよりもまず、自身のシステムに内在する脆弱性を解消しておくことのほうが先決であると思います。今回のウイルスがどういった経路で感染したかは分かりませんが、Webのアクセスにより感染したというのであればブラウザやそのプラグインであるFlashなどが古いことにより攻撃を受け、感染してしまうというケースは十分に考えられます。怪しいサイトには近寄らないということだけでは防ぐことのできない攻撃もあります。不正な広告や水飲み場のような攻撃です。そういったものを避けることが難しくなってきている以上は自身のシステムに内在する脆弱性を解消し、そういったサイトにアクセスしても大丈夫な状態にしておくことを強くお勧めします。

しかし、それでも添付ファイルを実行してしまったり、未解消の脆弱性やゼロデイを受けてしまい感染することが避けられないケースがあります。そういったときのために可能な限り短い間隔で自身のファイルのバックアップを取得しておくことも併せて行っておく必要があると思います。この場合には感染する端末がアクセス可能な場所、例えば、ファイルサーバなどに置いていては暗号化されてしまう可能性が大ですので、お勧めはできません。企業内であればクライアントコンピュータからアクセスできないところにバックアップを取るようにし、個人であれば自動同期せずクラウドに個別に保存するか物理的にDVDなどのメディアに保存することをお勧めします。
そうしていれば金銭を支払わずともある程度の復旧が可能となります。

上記のことを実施しておらず、感染を許してしまった場合は攻撃者に金銭を支払うという選択肢しか残されていないということとなります。
もちろん、攻撃者に金銭を支払うことは決して推奨されるようなことではありません。
しかし、支払う金額と自身のシステム内にあるファイルの価値を天秤にかけ後者が大きく勝るようであれば金銭を支払うという選択肢を選ばざるをえない場合もあると個人的には考えています。

Comments RSS Feed   Comments are closed   Trackback URL   Share on Twitter   Share on Facebook

Comments are closed.