黒翼猫のコンピュータ日記 2nd Edition

New TelsaCrypt version adds the .VVV Extension to Encrypted Files

新しいバージョンのTeslaCryptは暗号化されたファイル名に.VVV拡張子を追加します 新しいバージョンのTeslaCryptのランサムウェアがリリースされましたが、ほとんどの部分は、以前のバージョンと同じです。 最も顕著な違いは、この新しいバージョンは暗号化されたファイル名に.vvv拡張子を追加することです。 その他の変更は、新たな身代金ノートのファイル名と異なるTOR支払いサイトのゲートウェイが含まれています。 身代金ノートの新しい名前は、形式how_recover + abc.htmlとhow_recover + abc.txtです。 TeslaCryptの.VVV版は無料で復号化することができません 残念ながら、TeslaCryptのこのバージョンは、唯一のTeslaCrypt開発者に知られている秘密鍵​​なしで自由に復号することはできません。 あなたがTeslaCryptのこのバージョンに感染している場合は、今の時点であなたのファイルを回復する唯一の方法は、バックアップを介して、または身代金を払うことです。

ランサムウェア（身代金要求ソフト）みたいですねgooのやつは11月29日の投稿。
これは11月30日の記事なので同じウィルスでしょう。

ところが…。

VVVのウイルスなんだなんだ？？と調べた人が感染してデータおじゃんになってるみたいなので興味本位で調べないこと 12/06 1:37:35

閲覧しただけで感染する不正ネット広告が急増、トレンドマイクロが注意喚起

トレンドマイクロは2015年12月3日、インターネット広告を閲覧しただけでパソコンをマルウエアに感染させる「不正広告」の被害が国内で深刻化しているとして、注意喚起した（写真）。「見た目だけでは攻撃に気づけない上、複雑な広告配信ネットワークに紛れ込むことで、追跡も困難だ」（同社 シニアスペシャリストの森本純氏）。

どうも、検索サイトで、VVV について調べただけで感染してる人が居る模様。
広告経由らしい？

このサイトに詳しく書いてる
Verwijder TeslaCrypt en herstel .vvv gecodeerde bestanden |

ランサムウェアTeslaCrypt は以下のファイルを暗号化する sql, .mp4, .7uit, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .ritssluiting, .zij, .som, .iBank, .t13, .t12, .QDF, .gdb, .belasting, .pkpass, .BC6, .BC7, .BKP, .Qin, .BKF, .sidn, .Kidd, .mddata, .ITL, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .Gho, .geval, .svg, .kaart, .wmo, .itm, .sb, .fos, .mov, .VDF, .ztmp, .zus, .sid, .NCF, .menu, .lay-out, .DMP, .bobbel, .esm, .vcf, .VTF, .dazip, .FPK, .MLX, .kf, .IWD, .LSC, .tor, .psk, .rand, .w3x, .fsh, .ntl, .arch00, .lvl, .SNX, .cfr, .ff, .vpp_pc, .LRF, .m2, .mcmeta, .vfs0, .mpqge, .KDB, .db0, .dba, .rofl, .hkx, .bar, .kve, .de, .mensen, .litemod, .aanwinst, .smeden, .LTX, .bsa, .apk, .RE4, .weken, .lbf, .slm, .bik, .EPK, .rgss3a, .vervolgens, .groot, portemonnee, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .hemel, .de, .X3F, .SRW, .PEF, .ptx, .r3d, .RW2, .RWL, .rauw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .KDC, .dcr, .CR2, .CRW, .bay, .SR2, .SRF, .ARW, .3fr, .DNG, .JPE, .jpg, .cdr, .indd, .aan, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .WPD, .DXG, .xf, .dwg, .pst, .accdb, .CIS, .PPTM, .pptx, .ppt, .XLK, .XLSB, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, いｗ.odb, .Ep, .odm, .Reageer, .paragraaf, .odt

ただし、このサイト、偽セキュリティソフトの SpyHunter 4 で除去することを薦めてるのがやばいｗ
何信じていいのかわからないっすねｗｗｗｗ
未だに SpyHunter に引っかかる人がいる件


SpyHunter-Installer.exe が出てきたらそっと閉じましょう


Teslacrypt v8 Infection, possible private Key - Virus, Trojan, Spyware, and Malware Removal Logs
Virus hangt an alle Dateien .vvv
Cryptolocker new and improved: Cryptowall 4.0 - fixedByVonnie
感染対象は不明だけど、Windows 7や8.1や10のx64 で感染してる人が居る
セキュリティソフトいくつか試してるみたいだけど、検出できてないね･ω･；

で、問題なのが、Windows 7や8.1を使ってる人のPCのWindows 10への強制アップデート

AVG ニュースルーム - 重要なセキュリティ情報 | セキュリティ対策ソフト、ウイルス対策ソフトのAVG

Windows 10 のインストール後、AVG がご利用できなくなる場合があります。 これは通常、Windows 10 へのアップグレード前にインストールされていたAVGのバージョンが、互換性のないものであったことが原因です。 この場合は、AVG 2015 を改めてインストール、アクティベートしてください。

Windows 10の環境でウイルスバスター クラウドが起動しない | サポート Q&A：トレンドマイクロ

一部のWindows 10 環境において、ウイルスバスター クラウドが起動できなくなる事象を確認しています。本事象は「トレンドマイクロ コネクト」または「セキュリティ脅威マップ」がインストールされている場合に発生する可能性があります。 本事象が発生した場合、下記の方法で「トレンドマイクロ コネクト」または「セキュリティ脅威マップ」がインストールされているかご確認ください。

一部の Windows 10 環境でOSのメジャーアップデートをおこなうと、ESET製品が正常に動作 | ESETサポート情報 | 個人向け製品 | キヤノンITソリューションズ

ESET製品をご利用の Windows 10 環境において、2015年11月12日より順次配信が開始されております、Windows 10 のメジャーアップデート（ビルド番号 10586）を適用した際に、ESET製品に以下の不具合などが発生する可能性があります。     ウイルス・スパイウェア対策機能が無効になる     ESET製品のアイコンが表示されなくなる

どうも、アップグレードしたら、一部のセキュリティソフトが動作しなくなるケースがあるみたいなんだけど、 Windows 10には Windows Defender がインストールされていると、アンチウィルスが入っていなくても警告が出なくなるというお節介機能があるらしい。

つまり、Windows 10にアップグレードしたPCがセキュリティソフトが入ってるつもりでも動作していないというユーザーが急増しているのだ

もう、こうなると、欠陥OS以外の何ものでもないと思うんだけどｗｗ


追記

Delete Trojan:Win64/Patched.AZ.gen!dll Virus Thoroughly - RemoveAllThreats.com
Trojan:Win64/patched.az.gen!dll HELP - Microsoft Community

SpyHunter 4の技術者が書いてる記事なんであれなんですけど、 VVVウィルスは
Win64/Patched.AZ.gen!dll という名前から、64bit ターゲットのウィルスみたいで Windows XPから10まで観戦するっぽい。同名のウィルスが Windows 10でも感染報告が上がっている

つまり、Windows 2000は安全 #そうじゃない

※どうも、除去方法に名前を出さずに、除去ツールとして、SpyHunter 4 のインストールを薦めてるサイトが激増してるので、入れないように


海外ではニュースサイトに掲載され始めた模様
Remove and decrypt .vvv file extension virus | Nabz Software
Nabz Software Suite Integrates Removal of the New TeslaCrypt Ransomware Virus | Virtual-Strategy Magazine

例えば、『vvv』をキーワードで検索したサイトを表示すると、セキュリティホールがあるPCの場合感染する恐れがあります


追記と訂正  9:00
ニュースサイトのTeslaCrypt と CryptoWall の記事が同時に出てた上、TeslaCrypt の感染を CryptoWall って呼んでるサイトがあった ので、ウィルスベンダーみたいに呼び方を変えてる同じものだと思ってたんですが、 CryptoWall を模倣したのが TeslaCrypt で、別物ですね。すみません
Heimdal Security Blog



New TeslaCrypt version Released with Minimal Changes
2015年5月ごろ CryptoWall が感染方法の強化を行い、TeslaCrypt 2.0 が同じアプローチをとるようにリリース。誘導サイトは CryptoWall ものを流用して作成されている
2015年10月13日に TeslaCrypt 2.2.0がリリースされ、拡張子が ccc して身代金を要求するものとして作成、2015年11月下旬に拡張子を cccではなく vvv にするものがリリース
12月上旬から猛威をふるってるのがCryptoWall とTeslaCrypt  の最新版の2種類

Linux.Encoder.1 - Wikipedia, the free encyclopedia
Linuxランサムウェアが登場--だが「設計上の大きな欠陥」も - ZDNet Japan
ちなみに、11月5日、Linux にも類似したマルウェアが登場してるので、Windows じゃなかったら安心というわけでもないっす
このLINUXのランサムウェアとTeslaCrypt 2.0には暗号化のアプローチに同じ問題があって、フリーソフトで復元できてしまうという話でした。

しかし、10月に修正されたバージョンでは復元はできないそうです。

CryptoWall の記事とごちゃ混ぜになってるので分離しました

ランサムウェア「CryptoWall」に新手の亜種、2段階攻撃で拡散 - ITmedia エンタープライズ Bitdefender Releases Cryptowall 4.0 Ransomware Vaccine - Spiceworks Cryptolocker Canary - detect it early! - Spiceworks ウィルス名は CryptoWall 4.0 で確定みたい。発生時期は 11月上旬 VVVという拡張子を付けるのは CryptoWall 4.1か4.2 で11月下旬に機能追加されたらしい どうやら、Exploit KitのAnglerやNuclearを使って感染させてるみたいですね。 IEを使ってたり、Java / Flash が古いと確実にアウト ですね。 Bitdefender Offers CryptoWall Vaccine | Bitdefender Labs SpyHunter 4 じゃなくて、BitDefender がワクチン出してるのでこっちの方が信頼できますね CryptoWall は vvv の拡張子はつけません

なお、TeslaCrypt系の亜種は CryptoWall や CryptoLocker を名乗ってるものもあり、一部のベンダーはTeslaCrypt の検出名がそれに準じているそうです

Trojan.GenericKD.2876052 - Installs itself for autorun at Windows startup
ここからたどったところ、ウィルスの正式名が下のやつ

NUEVA VARIANTE DE TESLACRYPT QUE ANADE VVV A LA EXTENSION DE L...

Avira TR/Crypt.Xpack.335834 20151202
Bkav HW32.Packed.5B79 20151202
ESET-NOD32 a variant of Win32/Kryptik.EGTX 20151202
Kaspersky Trojan.Win32.Yakes.npmg 20151202
Panda Generic Suspicious 20151201
Qihoo-360 QVM07.1.Malware.Gen 20151202
Sophos Mal/Ransom-DK 20151202

これっぽいですね・ω・

12月2日の時点で、57社中7件のみ検出可能

ESETのセキュリティ更新見たら亜種が12月1日に10数個登録されてる…。

ESET / Avira / Kaspersky / Sophos なら検出できるのかも

Updated PClock Ransomware Still Comes Up Short - Palo Alto Networks BlogPalo Alto Networks Blog
UAC あるから、Windows Vista 以降なら安心とかいう人を見かけましたが、
暗号化されるのは、ユーザーファイルで普通の権限で読み書きされるやつです。
ファイルの書き換えにはUACは不要です。

必要なのは復元ポイントの削除位･ω･？
このサイトの説明だとUAC出てくるって言ってますね(古いバージョンですが）

ただ、TeslaCryptの亜種というか、オリジナルである CryptoWall 4.0 にはセキュリティホール探す機能もあるようなので、セキュリティホールをついて、UACをバイパスして権限を昇格してダイアログが出ない恐れもありますね


間違ったランサムウェア対策について

対策については
・こまめにバックアップを取る（復元ポイントはウィルスに削除されたら意味がないので信頼しない）
・Java/Flash は（クリックしないと動作しないようなQupZilla や Otter Browser がおすすめ）
・古い Java/Flash は使わない
・IEを使うなんてとんでもない！

と書きましたが、対策として

１：Javaを常に最新版にする ２：Adobe Reader /Flash Playerの更新 ３：WinUpdateを最新にする

を挙げていた人が居たので補足。

最近は、Adobe 製品や Java のゼロディをついてくるマルウェアも出現しています。
だから、最新にすれば対策になるかというと、残念ながら気休め程度にしかなりません。

・FlashなどのAddonが自動実行されないように設定する
・FlashなどのAddonが自動実行されない QupZilla や Otter Browser  などのブラウザを使う
・広告をブロックする
を行わないと意味がありません。