目次
- 前置き
- DefensePlatformって何?
- 実験
- 検体が本物か確認
- DefensePlatformで防げるのか確認
- DefensePlatformはvvvウイルスからの被害を防げる!と言っていいのではないでしょうか?
- 怪しいプロセスを止めるのに役立つタスクマネージャー強化版フリーソフト
- まとめ .vvvウイルスの被害を防げるDefensePlatformは有用
- おまけ:防ぐシーンと感染シーン動画に撮りました。
前置き
前回のエントリーでDefensePlatformというセキュリティソフトをインストールしたよって記事を頑張って書きました。
※そしたらステマ臭いとかなんかさんざん言われたので悲しかったですが、率直な意見はありがたかったです。僕個人に対しては力量不足で何と言われてもありがたいとしか言いようがないんですが、DefensePlatformの印象まで悪くなってしまっていたら申し訳ないし悲しいです。
さて、今回は使用感というか実際にvvvウイルスを手に入れてDefensePlatformが防いでくれるのかを実験してみたいと思います。
DefensePlatformって何?
従来のブラックリスト型セキュリティソフトではなく、ホワイトリスト型の日本国東京都内月島産セキュリティソフトらしいです。
また、API監視に特許を持っている会社なので本当に深いところで怪しい挙動を検知出来るようです。
詳しくは公式サイトか、私の前のエントリーを見てください。
本当はインストールして実際に試すところまでやろうと思ってたんですがインストールするまでで力尽きました。
【ランサムウェア】DefensePlatformならVVVウイルス他ゼロデイ攻撃も防げるという噂なのでインストールしてみた - testa021の日記
http://testan.hatenablog.com/entry/2015/12/08/014509
VVVウイルス(TeslaCrypt)って何?
凄い怖いウイルスです。でもトレンドマイクロさんいわく日本ではそんなに流行ってないみたいです。ツイッター上ではすごく流行りました(盛り上がり的な意味で)。
ただ、海外サイトを良く見る国際的な紳士の方は気をつけたほうがいいかもしれないです。
もう少し知りたい方は前のエントリーを見てください。
実験
では実験してみましょう!僕のように知識も何もない人はやってみるしかないんです!
環境
ハード:仮想マシン
プラグイン:javaFLASHなし
セキュリティソフト:DefensePlatform
使用ツール:Process Monitor、WhatChanged、QuickStartup
使用検体:test.exe(詳細は伏せます)
検体が本物か確認
偽物で実験しても仕方ないよね!
1.test.exeを実行
ファイル数も少ないので、すぐに僕の大事なポエムが.vvvになっていきます。
テキストエディタにドロップしてもこんな感じに・・・。
世界に一つだけのポエムは失われてしまいました。
何やら英語だらけのページがでてきて日本語も分からない僕にはもうお手上げです。
2.テキストファイルが暗号化されて拡張子がvvvになっていること、身代金請求ページが表示されるという大きな特徴を確認出来たのでこの検体は本物と判定。
身代金ページにはtor入れないとだめみたいですね。もしかしていわゆるダークウェブって奴ですか?
面倒なのでそこまではやりませんでした。たぶん本物でしょう!!!!
※SSが違う時間なのは何回もやり直しているからです。
DefensePlatformで防げるのか確認
1.test.exeを実行
2.DefensePlatformが反応し警告を表示してくる。
Process Monitorで確認すると、Roaming配下にexeを作成しようとしてたり、レジストリを書き換えようとしているがDefensePlatformが止めてくれて出来ないようです。
3.DefensePlatformで止めるを選択。
ウイルスはリトライするようで、すぐにまた同じ警告が出てきます。
4.DefensePlatformでブラックリストに登録(アプリ)を選択。
警告画面はやみますが、ウイルスが裏でものすごい勢いでリトライするみたいでCPU使用率が100%になってしまいます。
ウイルスだと確信を持てるなら隔離を押したほうがいいかもしれないですね。
5.タスクマネージャーでtest.exeを終了。
終了です!
6.ここまででテキストファイルの暗号化、身代金要求ページの表示はありません。
ブラックリストにはこのように登録されていてこんな感じでプロセス名が見れます。
また、システム的にもWhatChangedでファイルの変更の差分、QuickStartupでスタートアップの変更を確認しましたが変更はありませんでした。
WhatChangedのファイル変更分。
DefensePlatformの関連ファイルと思われる1ファイルのみ。
レジストリは時間かかりすぎで諦めました。
スタートアップは変更されたものが一切ないもよう。
DefensePlatformはvvvウイルスからの被害を防げる!と言っていいのではないでしょうか?
正直止めれるだろうとは思ってましたが、驚きました。
気になったところというか、仕方ないと思いますがアプリをブラックリスト登録してもプロセスは止まらないので、直近でブラックリスト登録したプロセスを止めるというボタンもあるといいかもしれないですね。
いきなり隔離はどうかなーと思うので。
隔離を押せばちゃんとプロセスも止まります。ファイルの復旧も簡単。
あと隔離のボタンの位置が、続けるの横にあるとタッチパネルの際に誤操作しやすいかなと思いました。
どっちかというと止めるの横にあったほうがいいんじゃないかと個人的に思います。
※私がまだ使い始めたばかりなのでもしかしたらそういう設定もあるのかもしれないです。
怪しいプロセスを止めるのに役立つタスクマネージャー強化版フリーソフト
一応普通のタスクマネージャの使い方
怪しいプロセスを止めるにはタスクマネージャーが一般的ですが一応URLの紹介だけ。
パソコンの動作が重い原因を「タスクマネージャー」で突き止める!|エンジョイ!マガジン
http://enjoy.sso.biglobe.ne.jp/archives/pc-slow/
2つフリーソフト紹介
今回の場合、CPU使用率が高くなるのが本体ではなくsvchost等最初からwindowsで動いているプロセスなので、中々判断が難しいと思います。そういう場合にはkillswitch等のタスクマネージャーの機能を強化したようなフリーソフトを活用すると良さそうです。
そういったソフトはいくつもあると思うので、ご自身で調べて頂いたほうが良いと思いますが2つ紹介しておきます。
1.Process Explorer マイクロソフトのアプリなので安心かもしれないです。
https://technet.microsoft.com/ja-jp/sysinternals/bb896653
2. killswitch (Comodo Cleaning Essentialsの中にあります)
窓の杜 - 【REVIEW】マルウェア検出に加え2つの強力なツールを備えた「Comodo Cleaning Essentials」
http://www.forest.impress.co.jp/docs/review/20120110_502718.html
正直、両方ともそんなに使ったことがないのであまりいえませんが、セキュリティ対策ということでしたら、killswitchのが良いと思います。安全なプロセス以外は終了させるという機能があるそうです。
まとめ .vvvウイルスの被害を防げるDefensePlatformは有用
私の調査能力不足で残念ながらドライブバイダウンロードの状態から防御出来るかは検証出来ませんでした。
しかし、vvvウイルスが実行されてからでも被害を止めれるということが分かりました。
これは既存のウイルス対策ソフトの仕組みのままブラッシュアップしても辿りつけない領域なんじゃないかなと。
インストールして最初のうちは(ホワイトリストに登録されて落ち着くまでは)ブラウザでツイッターに投稿するにもいちいち警告出てきてウザいくれるレベルなので、おそらくドライブバイダウンロードにもある程度対応してくれるんじゃないかなーと思います。
パソコンいじるのが好きな人でしたら今まで当たり前に使っていたソフトの知らない挙動を見つけられたりして面白いです。おまけにセキュリティも高くなる良いソフトだと思います。
私はモノグサなので、とりあえずホワイトリスト1000件貯まるまで試用させていただこうかなと思います。
まだ旧式ウイルス対策ソフトで感染してるの?
すいません言ってみたかっただけです。
ここ3日間素人なりに一生懸命セキュリティのことを調べた僕がvvvウイルスに感染すると人生\(^o^)/オワタな人にオススメしたいこと
国際的紳士行為はwindows以外のOSでしましょう。あとは仮想マシン入れるとか・・・・。
どうしてもメインで使ってるwindowsで見たいなら、基本的なことは全部やって既存のウイルス対策ソフトも入れて、更にDefensePlatformなどを使うといいと思います。
あとは存在忘れてましたが、peerblockとか入れるとウイルスがネット通じて新たなウイルス拾ってくるっていうのも止めれる可能性が高まるんじゃないでしょうか。
注意 この記事や情報に誤りがあって.vvvウイルスの被害にあっても責任はとれないのでよろしくお願いします。あくまで私の実験で止めれたと思うという程度でお願いします。
※前回のエントリーで私の文章力が足りずDefensePlatformを悪い印象で受け止められる方もいたようで、DefensePlatformの関係者の方には申し訳ないです。お詫びいたします。
おまけ:防ぐシーンと感染シーン動画に撮りました。
撮りっぱなしで編集ゼロのゴミ動画です。
30秒に無理やりまとめた防ぐシーンのみ
長い方 【ランサムウェア】DefensePlatformでVVVウイルス(TeslaCrypt)防げたよ2(長編) - YouTube
最後に
この程度の記事ですが、僕にとっては中々大変でとっても時間がかかりました。
はてブや読者登録していただけると大変嬉しいです!!!!
批判感想大歓迎です!