2015-12-06
【ランサムウェア】VVVウイルスという広告を見ただけでパソコン内のファイルが暗号化され身代金を要求されてしまうマルウェア
|
まず感染するとデータがこのように〜〜〜.vvvとなってしまうようです。
最悪やコレ
一晩の間にCドラ含む全部のHDDとか外付けUSBとか全部のデータが拡張子vvvになったわ pic.twitter.com/1g1eh6Ex1Y
— 柑橘.vvv (@kankitsu0) 2015, 12月 5単に拡張子を戻せばいいじゃないかと思うかもしれませんが、中身が暗号化されてしまっていて簡単に戻すことは出来ないようです。
暗号化されて再起不能になったファイルを元に戻したかったら金払えってFBIが言ってるの草生える pic.twitter.com/ves8X2zDWp
— 柑橘.vvv (@kankitsu0) 2015, 12月 5FBIも身代金を払ってしまったほうがいいとアドバイスするほど。
正直ウイルス舐めてたよね
Aviraのセキリティ設定を最高にして、大切なデータは別のHDDにバックアップして、復元ポイントもマメに作って、変なサイトに気をつけてれば大丈夫だと思ってたもん
一晩で全部お釈迦になるんだもんね
— 柑橘.vvv (@kankitsu0) 2015, 12月 5柑橘.vvvさんはセキュリティが低かったようではないみたいです。
簡単に概要
- どんな被害?
パソコン内のファイルが暗号化され、vvvという拡張子に変わる。
復元ポイントも破壊されてしまうようです。
犯人にビットコイン等で身代金を支払えば治る場合もあるとのこと。(支払ったという体験をまだ確認したことがないのでわかりません。)
こういったウイルス、マルウェアをランサムウェアのファイル暗号化タイプというようです。
他にはPCの画面をロックして操作不能にするタイプ、ブラウザをロックしてwebを見れなくさせるタイプどもあるようです。
- ランサムウェアとは何か?
ランサムウェア(英語: Ransomware)とはマルウェアの一種である。 これに感染したコンピュータはシステムへのアクセスを制限される。 この制限を解除するため、マルウェアの作者へ身代金の支払いが要求される。
- どうやって身代金払うの?
一時期ニュースで流れた仮想通貨のBitcoinや、電子決済サービス、プリペイド番号等のようです。(払っても復旧してくれるかは不明です)
- 感染経路は?
主にWEBページの広告。広告をクリックしたら・・・ではなく、広告を表示したらになる。
- 何の脆弱性を利用しているのか?
FLASHのようです。またFLASHか。GENOウイルスとかありましたよね。GENOウイルスと違うのはサーバーが乗っ取られたりWEBページが改変されているわけではなく、広告主がウイルスを仕込んでいるということです。
なので、WEBサイトオーナー側では対策が難しいようです。
-予防方法は?
javaを消すか、最新版にする。
Adobe Readerを最新版にする。
Adobe Flash Playerを最新版にする。
WindowsUpdateをきちんと実施しておく。
上記の4点は完璧にしている人は意外にも少ないのではないでしょうか?
セキュリティソフトを入れてるだけではこういった攻撃は防げません。
- 復旧方法は?
こちらから引用。。。問題あればコメントください。
CryptoWallランサムウェアウイルス感染被害 ファイル暗号化HELP DECRYPT - Let's Emu!
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware-cryptowall.htm
■ 「以前のバージョン」機能 − VSS(ボリューム シャドウコピー サービス)
Windows Vista(Bussiness や Ultimate といった企業向けエディションのみ)、Windows 7 に実装されてる「以前のバージョン」機能を使うと、破壊される前のデータが残ってる場合に限ってファイルを復元・復旧できる”可能性”があります。
ファイルやフォルダを選択し右クリック → [プロパティ]項目 をクリック → [以前のバージョン]タブ を開く
以前のバージョンのファイル: よく寄せられる質問 (Microsoft サポート)
http://windows.microsoft.com/ja-jp/windows/previous-versions-files-faq
マルウェアバイト アンチマルウェア Malwarebytes Anti-Malware
http://www.malwarebytes.org/products/ (使い方はコチラ)
マイクロソフト セーフティスキャナー Microsoft Safety Scanner
http://www.microsoft.com/security/scanner/ (使い方はコチラ)
ネット上には「SpyHunter」という海外製の有償ウイルス駆除ツールをインストールさせて、クレジットカードで決済させるのを狙らったSpyHunter宣伝ブログが検索結果に大量に露出するのでご注意を! (;´Д`)
■ 起動用レジストリと本体ファイル
CryptoWall ウイルスの起動用パラメータがレジストリに設定されます。ランダム文字列は、アルファベット小文字と数字の組み合わせで、長さが7〜8文字らへんです。
- 俺感染してる?
インストール済みのセキュリティソフトで検知出来ないor不安であれば、以下の無料セキュリティソフトで
ツイッターの方は、カスペルスキーで検知・駆除出来たようです。
マルウェアバイト アンチマルウェア Malwarebytes Anti-Malware
http://www.malwarebytes.org/products/ (使い方はコチラ)
マイクロソフト セーフティスキャナー Microsoft Safety Scanner
http://www.microsoft.com/security/scanner/ (使い方はコチラ)
●ダラダラ書きましたが、こちらを参照していただくと早いようです。有能すぎてKOWAI。
CryptoWallランサムウェアウイルス感染被害 ファイル暗号化HELP DECRYPT - Let's Emu!
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware-cryptowall.htm
こんなPCがランサムウェア被害! 身代金ウイルス感染経路はサイト閲覧で 無料対策してる? - Let's Emu!
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
- ここまで簡易まとめ
ギガジンさんから引用。
複数のアダルトサイトでマルウェアが広告経由で感染する被害が大規模発生中 - GIGAZINE
http://gigazine.net/news/20151204-malware-adxpansion/
特定のページを訪れた際に表示される広告を乗っ取ることで、ユーザーのPCがマルウェアに感染する被害が広がっていることが発表されました。 海外のアダルトサイトを中心に汚染が広がっています。
この問題を公表したMalwarebytesによると、マルウェアはアダルト広告ネットワークをホストするAdXpansionが配信するFlash広告を乗っ取る形で拡散されているとのこと。この手法は「不正広告」を意味する「マルバタイズ」と呼ばれており、関係がないように見えるxmlファイルに隠された悪意のあるFlashを発動することで、マルウェアに感染させる仕組みとなっている模様です。
このマルバタイズ攻撃は少なくとも11月21日から開始されているとみられ、数多くのアダルトサイトが影響を受けています。汚染されたFlash広告が表示されると、クリックの有無に影響されずにマルウェアがPCに感染してしまうとのこと。主な汚染されたサイトとしては「drtuber.com(5530万アクセス)」「nuvid.com(4190万アクセス)」「eroprofile.com(1400万アクセス)」「iceporn.com (690万アクセス)」「xbabe.com(420万アクセス)」などがリストアップされています。
まぁアダルトサイトを中心にってだけで、いろんな広告でやってるんだろうなぁ。
大事な資料を作ってる人は特に気をつけたほうが良さそうだね。。。
このMalwarebytesって企業はサブウイルス対策ソフトみたいなのを作ってて、フリー版だとリアルタイム保護はないけれども検知出来るようだ。
※上の方でもリンク貼ったね
Vector 新着ソフトレビュー 「Malwarebytes Anti-Malware Free」 - 悪質なスパイウェアやアドウェアを高い精度で検出・駆除できるマルウェア対策ソフト
http://www.vector.co.jp/magazine/softnews/130719/n1307191_reviewer.html
Malwarebytes | Internet Security Product Downloads from Malwarebytes
https://www.malwarebytes.org/downloads/
- 2chから簡単に抜粋
81 :番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイW 7c9f-hqun):2015/12/06(日) 01:40:57.51 ID:NQ/6ZOJB0.net
マジかよVVVフェンロ最低だな
85 :番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ b806-wtBR):2015/12/06(日) 01:41:53.21 ID:ujBUIfh90.net
マジかよVVVVVV最低だな
87 :番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイW 599d-p92M):2015/12/06(日) 01:41:58.65 ID:LdFNg+g20.net
フェーフェーフェーフェンロ最低だな
89 :番組の途中ですがアフィサイトへの\(^o^)/です (オッペケ Sr70-p92M):2015/12/06(日) 01:42:02.22 ID:Iz0JsrEQr.net
本田クソだな
((※日本代表の本田選手はオランダ時代にVVVフェンロというチームに所属していました。
また、このチームでカラブロという選手に出会い、「お前が決めているのはYouTubeの中だけ」という有り難い言葉をいただき見事覚醒し、南アフリカの大活躍や、現在の日本代表での連続得点力につながったと言われていま〜))
100 :番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 9a13-Xq2b):2015/12/06(日) 01:43:38.11 ID:0OHW76Mk0
ublockは一度表示してメモリかなんかに置いてから
非表示にしてるっぽいからnoscriptとか入れないと効果ない
104 :番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイW 9dfa-hqun):2015/12/06(日) 01:44:03.60 ID:A+mFzGCu0.net
これフラッシュ経由じゃなく割れ経由やぞ
拡張子がvvvに変るのはかなり前からある
ttp://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm
ttp://blogs.yahoo.co.jp/fireflyframer/33357406.html
107 :番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 94da-tK2W):2015/12/06(日) 01:44:21.76 ID:VStIU9St0.net
まじかよVW最低だな
120 :番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 2bd6-Gtd5):2015/12/06(日) 01:45:44.38 ID:Qy71+Q770.net
>>100
俺もUBlockのその挙動に気付いて、Adblockに戻したわ
なにDLしてんじゃこん畜生
134 :番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 65c9-tK2W):2015/12/06(日) 01:47:30.04 ID:iYbuAZtl0.net
142 :番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 9d4a-tK2W):2015/12/06(日) 01:48:30.54 ID:Zl2NpNSD0.net
>>134
正規表現知らないから無理だろw
189 :番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 7f15-tK2W):2015/12/06(日) 01:54:33.85 ID:gnVjW8450.net
金払わなくても複合化できるとか欠陥品じゃねーか、はい解散
ttps://jp.ahnlab.com/global/upload/download/asecreport/PressAhn_201506_Vol18.pdf
280 :番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 7c9f-tK2W):2015/12/06(日) 02:09:41.80 ID:RR8D8+IO0.net
http://headlines.yahoo.co.jp/hl?a=20151203-00050185-yom-soci
利用者のパソコンには正規サイトが表示されたままで、不正広告も通常の広告と
見分けがつかない。気付かないうちにウイルスを送り込まれ、パソコン側に脆弱性
があると突然画面がロックされるなどし、解除の代わりに金銭を支払うよう脅され
ることもあるという。
289 :番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイW a306-60V+):2015/12/06(日) 02:10:39.54 ID:P+UQ5FzS0.net
これWindows10なら防げるらしいや
316 :番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 4587-Xq2b):2015/12/06(日) 02:15:05.09 ID:13Pil1Ya0
今時ウイルスに感染するのとかよほどのアホじゃない限り脆弱性関連だから
普段使いのセキュリティソフトに追加してMBAEかEMET入れとけ
ただのセキュリティソフトじゃ用途が違うから全く意味ない
321 :番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイW 65e1-G46F):2015/12/06(日) 02:15:50.75 ID:eSQilZrt0.net
ログあった
16 � 22,36,71,76: 番組の途中ですがアフィサイトへの転載は禁止です >(オッペケ Sr8d-BOL+) [sage] 2015/12/04(金) 15:32:09.18 ID:8iBPeja9r (1/2)
これにやられたっぽい
PCつけっぱなしで寝て朝起きたら色んなファイルにvvvって拡張子ついているのが大量にあって
how recoverってテキストファイルが色んなフォルダに作られてた
どんどん作られていってるのにビビって電源落として出かけちゃったんだけどどうしよう?
33 � 37: 番組の途中ですがアフィサイトへの転載は禁止です >(オッペケ Sr8d-BOL+) [sage] 2015/12/04(金) 15:48:36.68 ID:8iBPeja9r (2/2)
>>22
ごめんちゃんと確認してない
とりあえずダウンロードとドキュメントフォルダが荒らされまくってたのは見た
569 :番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 2b52-tK2W):2015/12/06(日) 02:40:41.40 ID:gS1VmHDa0.net
「アダルト」はわずか2%
一方で普通は信頼してしまいそうな「企業・ビジネス」が7%もある
http://ascii.jp/elem/000/001/087/1087354/DSC_9490_480x359.jpg
-被害の様子を録画した動画
疲れたので今日はここまで〜
よかったらはてブしていただけると嬉しいです。
- 17 https://www.google.co.jp/
- 13 http://b.hatena.ne.jp/
- 13 http://www.google.co.uk/url?sa=t&source=web&cd=1
- 8 https://www.google.co.jp
- 4 http://b.hatena.ne.jp/entrylist
- 3 http://labs.ceek.jp/hbnews/
- 2 http://b.hatena.ne.jp/entrylist/economics/仮想通貨
- 2 http://b.hatena.ne.jp/entrylist?sort=hot&threshold=2
- 2 http://dlvr.it/Cwqfwy
- 2 http://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&source=web&cd=9&cad=rja&uact=8&ved=0ahUKEwjlxOit5MXJAhXKEpQKHXXTDywQFghNMAg&url=http://d.hatena.ne.jp/testa021/20151206/1449350713&usg=AFQjCNFT1zhCiYya1vcEnK_mEG61x_I9kA