VVVウイルスって何？

あくまで俗語で、一般的には、TeslaCrypt 2.2.0のようです。トレンドマイクロはCryptTeslaと呼んでるようです。

【セキュリティ ニュース】「vvvランサムウェア」はFlash脆弱性で感染、「Angler EK」で拡散 - カスペが分析
http://www.security-next.com/064949

ランサムウェア「CrypTesla」を拡散させる一連のマルウェアスパム攻撃を詳細分析 | トレンドマイクロ セキュリティブログ
http://blog.trendmicro.co.jp/archives/12713

どんな被害？

パソコン内のファイルが暗号化され、vvvという拡張子に変わる。
暗号化されているため、拡張子を元に戻すだけでは直せない。
復元ポイントも破壊されてしまうようです。※12/13追記　ボリュームシャドウコピーの画面をいいえを押すか、放置しておけば破壊されない可能性があります。絶対に「はい」を選ばないで下さい。

犯人にビットコイン等で身代金を支払えば治る場合もあるとのこと。（支払ったという体験をまだ確認したことがないのでわかりません。）
こういったウイルス、マルウェアをランサムウェアのファイル暗号化タイプというようです。
他にはPCの画面をロックして操作不能にするタイプ、ブラウザをロックしてwebを見れなくさせるタイプなどもあるようです。

• ランサムウェアとは何か？

ランサムウェア（英語: Ransomware）とはマルウェアの一種である。 これに感染したコンピュータはシステムへのアクセスを制限される。 この制限を解除するため、マルウェアの作者へ身代金の支払いが要求される。

• どうやって身代金払うの？

一時期ニュースで流れた仮想通貨のBitcoinや、電子決済サービス、プリペイド番号等のようです。（払っても復旧してくれるかは不明です）
身代金を払えば、クラッカーの資金源となり更に強力なマルウェアを手に入れてより迷惑な行為をされるかもしれません。出来る限り身代金を払うという選択肢は社会のためにもやめましょう。
※torブラウザをインストールして身代金ページにいけば一つだけ復旧出来るという情報があります。金さえ払えば復旧できるということを信用させるためにだと思います。

感染経路は？

１．WEBページの広告を表示した。広告をクリックしたら・・・ではなく、広告を表示したらになる。因みにadblockでは防げないとの情報（2chより）
※見た目は表示されてなくてもメモリに読み込んでるからダメだという説と、いや大丈夫という説があります。どちらにせよ、対策としては不十分です。
２．WEBページが改ざんされて悪意のあるコードを埋め込まれている。

• 何の脆弱性を利用しているのか？

１．２についてはFlashの脆弱性CVE-2015-7645のようです。またFLASHか。
広告か改ざんされたページのJSによりAngler EKという悪意のあるツールキットが設置されたページに転送され脆弱性をスキャン。
Flashを更新してないコンピュータに対してこの脆弱性を突き、強制的にTeslaCrypt 2.2.0（exeファイル）をダウンロード、実行させるという流れ。
GENOウイルスとかありましたよね。GENOウイルスと違うのはサーバーが乗っ取られたりWEBページが改変されているわけではなく、広告主がウイルスを仕込んでいるということです。
なので、WEBサイトオーナー側では対策が難しいようです。２についてはWordpressのVERが古くて脆弱性放置ってパターンですね。これはサイトのオーナーが悪いです。Wordpress設置したまま放置してる人は更新するかサイトたたむなり対処したほうが良いと思います。犯罪の片棒担ぐのと同じになってしまいます。

※2015/12/25追記：日本向けサイトでも、WordPressのシステムを使っているブログサイトがteslacryptの感染源になっているようです。
これは２のパターンと同じですね。
Tokyo SOC Report

３．メールの添付ファイル。
12/13追記　メールの添付ファイルからの感染が増えているようです。
以下のようなjsファイルを実行すると、インターネットからウイルス本体をダウンロード実行してしまいます。
絶対にjsファイルを実行しないでください。

12/17追記　.docタイプも出てきたようです（ワード）
マクロが使えるオフィス形式のファイルは同様に危険な可能性があります。
知らない人からもらったor知ってる人からでもオフィスファイルを開く際は注意しましょう。
また、オフィスソフトのセキュリティ設定も見直しましょう。

予防や対策方法は？

12/13　予防や対策に使えるセキュリティソフトなどをまとめた記事を書きました
testan.hatenablog.com

復旧方法、駆除方法は？　12/13　大幅に追記

重要　ボリュームシャドウコピーのUAC画面が出てきても、絶対に「いいえ」を押して下さい。何回も出てきますが、絶対に「いいえ」にして下さい。

１．ウイルスの駆除をして下さい　
・ウイルス対策ソフト自体が未インストールならカスペルスキー体験版を
現在どのソフトでも駆除出来る可能性が高いと思いますが、最新の亜種に対応が早いのはやはりカスペルスキーだと思います。　　
http://home.kaspersky.co.jp/store/kasperjp/ja_JP/html/pbPage.v16_trial_kis_thanks/ThemeID.37143000

amazon広告

・ウイルス対策ソフトが入っているのに駆除出来ないのであればMalwarebytes Anti-Malware Freeを
非常駐型なので既存のセキュリティソフトと共存出来ます。無償版あり。
www.malwarebytes.org

２．以下でファイルの復旧を試みて下さい。　　
【ランサムウェア】VVVウイルス(TeslaCrypt)の被害が場合によってはShadowExplorerというフリーソフトで復旧出来る？ - てすたんの日記
http://testan.hatenablog.com/entry/TeslaCrypt_ShadowExplorer

３．今後の予防や対策は以下を見て下さい　12/13　追記　
testan.hatenablog.com

４．無料で復号自体は出来ないのか？　12/13追記
torブラウザをインストールして身代金ページにいけば１つだけ出来ます。

また、今回の騒ぎの前のバージョン－TeslaCryptの以前のバージョンは無料で復号できるツールがありましたが、TeslaCrypt2.0以降はできなくなってるようです。

以前のverのツール
Threat Spotlight: TeslaCrypt – Decrypt It Yourself

カスペの技術情報

blog.kaspersky.co.jp

• • • 12/13の追記ここまで---

こちらから引用。。。問題あればコメントください。　2015/12/13追記：以下はCryptoWallなのでvvvウイルス（TeslaCrypt）とは違います。参考程度にして下さい。
CryptoWallランサムウェアウイルス感染被害 ファイル暗号化HELP DECRYPT - Let's Emu!
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware-cryptowall.htm

■ 「以前のバージョン」機能 − VSS（ボリューム シャドウコピー サービス）

Windows Vista（Bussiness や Ultimate といった企業向けエディションのみ）、Windows 7 に実装されてる「以前のバージョン」機能を使うと、破壊される前のデータが残ってる場合に限ってファイルを復元・復旧できる”可能性”があります。

ファイルやフォルダを選択し右クリック → [プロパティ]項目 をクリック → [以前のバージョン]タブ を開く

以前のバージョンのファイル: よく寄せられる質問 （Microsoft サポート）
http://windows.microsoft.com/ja-jp/windows/previous-versions-files-faq
■ 無料ウイルス駆除ツール （フリーソフト）

マルウェアバイト アンチマルウェア Malwarebytes Anti-Malware
http://www.malwarebytes.org/products/ （使い方はコチラ）
マイクロソフト セーフティスキャナー Microsoft Safety Scanner
http://www.microsoft.com/security/scanner/ （使い方はコチラ）
ネット上には「SpyHunter」という海外製の有償ウイルス駆除ツールをインストールさせて、クレジットカードで決済させるのを狙らったSpyHunter宣伝ブログが検索結果に大量に露出するのでご注意を！ (；´Д｀)

SpyHunter はNG！！！！

■ 起動用レジストリと本体ファイル

CryptoWall ウイルスの起動用パラメータがレジストリに設定されます。ランダム文字列は、アルファベット小文字と数字の組み合わせで、長さが7〜8文字らへんです。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
　名前 → [ランダム文字列]
　値のデータ → [実行ファイルのフルパス]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
　名前 → [ランダム文字列]
　値のデータ → [実行ファイルのフルパス]

CryptoWall ウイルスの実行ファイル本体（拡張子 *.exe）は3ヶ所に投下されます。

C:\[ランダム文字列]\[ランダム文字列].exe
C:\Users\[ユーザー名]\AppData\Roaming\[ランダム文字列].exe
C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[ランダム文字列].exe

2015/12/06　追記：
上記の起動レジストリと本体ファイルの削除は、今回のVVVウイルスに対応しているか不明です。また、サービスにも登録されている可能性があります。

警告

例：howtoremove.guideは偽セキュリティソフトのインストールを促すらしいです。

VVVファイルの除去ツールとして、偽セキュリティソフトで有名な SpyHunter 4のインストールをこっそりすすめているサイトが激増しています、絶対入れないでください

— |黒翼猫|ω･)｡o(水西へ08a) (@BlackWingCat) 2015, 12月 5

だ…か…ら！偽セキュリティソフトSpyHunter 4のダウンロードページに誘導するのはやめんかいｗｗｗｗ https://t.co/BrscOqr0vt QT @szl1a: vvvに拡張子変更するウイルスの対処法らしい https://t.co/KYCpqQSrEA

— |黒翼猫|ω･)｡o(水西へ08a) (@BlackWingCat) 2015, 12月 5

俺感染してる？確認方法は？

インストール済みのセキュリティソフトで検知出来ないor不安であれば、以下の無料セキュリティソフトで
ツイッターの方は、カスペルスキーで検知・駆除出来たようです。

マルウェアバイト アンチマルウェア Malwarebytes Anti-Malware
http://www.malwarebytes.org/products/ （使い方はコチラ）
マイクロソフト セーフティスキャナー Microsoft Safety Scanner
http://www.microsoft.com/security/scanner/ （使い方はコチラ）

●ダラダラ書きましたが、ランサムウェアについてはこちらを参照していただくと早いようです。有能すぎてKOWAI。
※追記12/13　TeslaCrypt 2.2.0についてではないので、あくまでランサムウェアについて参考に見てください。

CryptoWallランサムウェアウイルス感染被害 ファイル暗号化HELP DECRYPT - Let's Emu!
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware-cryptowall.htm
こんなPCがランサムウェア被害！ 身代金ウイルス感染経路はｻｲﾄ閲覧で 無料対策してる？ - Let's Emu!
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/virus-ransomware.htm

• • • • ここまで簡易まとめ

GIGAZINEさんからの引用　海外のアダルトサイトを中心に汚染が広がっています

複数のアダルトサイトでマルウェアが広告経由で感染する被害が大規模発生中 - GIGAZINE
http://gigazine.net/news/20151204-malware-adxpansion/

特定のページを訪れた際に表示される広告を乗っ取ることで、ユーザーのPCがマルウェアに感染する被害が広がっていることが発表されました。 海外のアダルトサイトを中心に汚染が広がっています。

この問題を公表したMalwarebytesによると、マルウェアはアダルト広告ネットワークをホストするAdXpansionが配信するFlash広告を乗っ取る形で拡散されているとのこと。この手法は「不正広告」を意味する「マルバタイズ」と呼ばれており、関係がないように見えるxmlファイルに隠された悪意のあるFlashを発動することで、マルウェアに感染させる仕組みとなっている模様です。

このマルバタイズ攻撃は少なくとも11月21日から開始されているとみられ、数多くのアダルトサイトが影響を受けています。汚染されたFlash広告が表示されると、クリックの有無に影響されずにマルウェアがPCに感染してしまうとのこと。主な汚染されたサイトとしては「drtuber.com(5530万アクセス)」「nuvid.com(4190万アクセス)」「eroprofile.com(1400万アクセス)」「iceporn.com (690万アクセス)」「xbabe.com(420万アクセス)」などがリストアップされています。

まぁアダルトサイトを中心にってだけで、いろんな広告でやってるんだろうなぁ。
大事な資料を作ってる人は特に気をつけたほうが良さそうだね。。。

このMalwarebytesって企業はサブウイルス対策ソフトみたいなのを作ってて、フリー版だとリアルタイム保護はないけれども検知出来るようだ。
※上の方でもリンク貼ったね
Vector 新着ソフトレビュー 「Malwarebytes Anti-Malware Free」 - 悪質なスパイウェアやアドウェアを高い精度で検出・駆除できるマルウェア対策ソフト
http://www.vector.co.jp/magazine/softnews/130719/n1307191_reviewer.html

Malwarebytes | Internet Security Product Downloads from Malwarebytes
https://www.malwarebytes.org/downloads/

2chから簡単に抜粋　なぜか日本代表本田選手が批判の的に。

81 ：番組の途中ですがアフィサイトへの＼(^o^)／です (ﾜｯﾁｮｲW 7c9f-hqun)：2015/12/06(日) 01:40:57.51 ID:NQ/6ZOJB0.net
マジかよVVVフェンロ最低だな

85 ：番組の途中ですがアフィサイトへの＼(^o^)／です (ﾜｯﾁｮｲ b806-wtBR)：2015/12/06(日) 01:41:53.21 id:ujBUIfh90.net
マジかよVVVVVV最低だな

87 ：番組の途中ですがアフィサイトへの＼(^o^)／です (ﾜｯﾁｮｲW 599d-p92M)：2015/12/06(日) 01:41:58.65 id:LdFNg+g20.net
フェーフェーフェーフェンロ最低だな

89 ：番組の途中ですがアフィサイトへの＼(^o^)／です (ｵｯﾍﾟｹ Sr70-p92M)：2015/12/06(日) 01:42:02.22 id:Iz0JsrEQr.net
本田クソだな

※日本代表の本田選手はオランダ時代にVVVフェンロというチームに所属していました。
また、このチームでカラブロという選手に出会い、「お前が決めているのはYouTubeの中だけ」という有り難い言葉をいただき見事覚醒し、南アフリカの大活躍や、現在の日本代表での連続得点力につながったと言われていま〜

100 ：番組の途中ですがアフィサイトへの転載は＼(^o^)／です (ﾜｯﾁｮｲ 9a13-Xq2b)：2015/12/06(日) 01:43:38.11 ID:0OHW76Mk0
ublockは一度表示してメモリかなんかに置いてから
非表示にしてるっぽいからnoscriptとか入れないと効果ない

107 ：番組の途中ですがアフィサイトへの＼(^o^)／です (ﾜｯﾁｮｲ 94da-tK2W)：2015/12/06(日) 01:44:21.76 id:VStIU9St0.net
まじかよＶＷ最低だな

120 ：番組の途中ですがアフィサイトへの＼(^o^)／です (ﾜｯﾁｮｲ 2bd6-Gtd5)：2015/12/06(日) 01:45:44.38 id:Qy71+Q770.net
>>100
俺もUBlockのその挙動に気付いて、Adblockに戻したわ
なにDLしてんじゃこん畜生

134 ：番組の途中ですがアフィサイトへの＼(^o^)／です (ﾜｯﾁｮｲ 65c9-tK2W)：2015/12/06(日) 01:47:30.04 id:iYbuAZtl0.net
こいつら池沼か？拡張子直せばいいだろｗｗ

142 ：番組の途中ですがアフィサイトへの＼(^o^)／です (ﾜｯﾁｮｲ 9d4a-tK2W)：2015/12/06(日) 01:48:30.54 id:Zl2NpNSD0.net
>>134
正規表現知らないから無理だろｗ

189 ：番組の途中ですがアフィサイトへの＼(^o^)／です (ﾜｯﾁｮｲ 7f15-tK2W)：2015/12/06(日) 01:54:33.85 id:gnVjW8450.net
金払わなくても複合化できるとか欠陥品じゃねーか、はい解散
ttps://jp.ahnlab.com/global/upload/download/asecreport/PressAhn_201506_Vol18.pdf

280 ：番組の途中ですがアフィサイトへの＼(^o^)／です (ﾜｯﾁｮｲ 7c9f-tK2W)：2015/12/06(日) 02:09:41.80 id:RR8D8+IO0.net
バナー広告表示すると感染…ＰＣウイルス新手口
http://headlines.yahoo.co.jp/hl?a=20151203-00050185-yom-soci

利用者のパソコンには正規サイトが表示されたままで、不正広告も通常の広告と
見分けがつかない。気付かないうちにウイルスを送り込まれ、パソコン側に脆弱性
があると突然画面がロックされるなどし、解除の代わりに金銭を支払うよう脅され
ることもあるという。

316 ：番組の途中ですがアフィサイトへの＼(^o^)／です：2015/12/06(日) 02:15:05.09 ID:13Pil1Ya0
今時ウイルスに感染するのとかよほどのアホじゃない限り脆弱性関連だから
普段使いのセキュリティソフトに追加してMBAEかEMET入れとけ
ただのセキュリティソフトじゃ用途が違うから全く意味ない

321 ：番組の途中ですがアフィサイトへの＼(^o^)／です (ﾜｯﾁｮｲW 65e1-G46F)：2015/12/06(日) 02:15:50.75 id:eSQilZrt0.net
ログあった
16 � 22,36,71,76: 番組の途中ですがアフィサイト＼(^o^)／です >(ｵｯﾍﾟｹ Sr8d-BOL+) [sage] 2015/12/04(金) 15:32:09.18 ID:8iBPeja9r (1/2)
これにやられたっぽい
PCつけっぱなしで寝て朝起きたら色んなファイルにvvvって拡張子ついているのが大量にあって
how recoverってテキストファイルが色んなフォルダに作られてた
どんどん作られていってるのにビビって電源落として出かけちゃったんだけどどうしよう？

33 � 37: 番組の途中ですがアフィサイトへの転載は＼(^o^)／です >(ｵｯﾍﾟｹ Sr8d-BOL+) [sage] 2015/12/04(金) 15:48:36.68 ID:8iBPeja9r (2/2)
>>22
ブラウザはchrome
ごめんちゃんと確認してない
とりあえずダウンロードとドキュメントフォルダが荒らされまくってたのは見た

569 ：番組の途中ですがアフィサイトへの＼(^o^)／です (ﾜｯﾁｮｲ 2b52-tK2W)：2015/12/06(日) 02:40:41.40 id:gS1VmHDa0.net
「アダルト」はわずか2%
一方で普通は信頼してしまいそうな「企業・ビジネス」が7%もある
http://ascii.jp/elem/000/001/087/1087354/DSC_9490_480x359.jpg

被害が拡大している一因にWindows10が？

黒翼猫のコンピュータ日記 2nd Editionさんから

ファイルをVVVに書き換えるランサムウェアの蔓延とWin10の強制アップグレードで感染する事例が急増！？ - Windows 2000 Blog
http://blog.livedoor.jp/blackwingcat/archives/1917527.html

感染対象は不明だけど、Windows 7や8.1や10のx64 で感染してる人が居る
セキュリティソフトいくつか試してるみたいだけど、検出できてないね･ω･；

どうも、アップグレードしたら、一部のセキュリティソフトが動作しなくなるケースがあるみたいなんだけど、 Windows 10には Windows Defender がインストールされていると、アンチウィルスが入っていなくても警告が出なくなるというお節介機能があるらしい。

つまり、Windows 10にアップグレードしたPCがセキュリティソフトが入ってるつもりでも動作していないというユーザーが急増しているのだ

もう、こうなると、欠陥OS以外の何ものでもないと思うんだけどｗｗ

とりあえず、感染を防ぐためには

・こまめにバックアップを取る（復元ポイントはウィルスに削除されたら意味がないので信頼しない）
・Java/Flash は（クリックしないと動作しないようなQupZilla や Otter Browser がおすすめ）
・古い Java/Flash は使わない

そんな馬鹿なことあるのか〜？ｗ
本当にマイクロソフトさんたらもう・・・

また、以下のような注意喚起も

例えば、『vvv』をキーワードで検索したサイトを表示すると、セキュリティホールがあるPCの場合感染する恐れがあります

うーん、現状感染していないなら下手に海外サイトなどを回ってVVVウイルスの情報を集めたりしないほうが良さそうですね。
また、ブラウザも上記のようなオススメのものにするか、ブラウザのプラグインをいっそ一時的に無効にしちゃうのもいいかも。

あとはもうメインマシンでブラウジングはやめるとか・・・

今日はこれにて力尽きました。
ダラダラ長くなってしまって見て頂いた人には申し訳ないです。
ここまでお付き合いいただいてありがとうございました。

※あまりにも見づらいのと、結局どうすりゃいいんじゃいってのが分かりづらいので、目次とまとめを追加しました。

OS、プラグイン等最新に保つ　※ただしデロデイ攻撃は防げません。

※　追記　2015/12/13　予防については新しく記事を書いたので、以下のページを参考にして下さい。
testan.hatenablog.com

Windows Updateをきちんとする。
JAVA、FLASH、READERなどプラグイン関係は最新に保つ。

以下のようなMyJVN バージョンチェッカ等のツールを使うのがいいかも？
MyJVN - 一般利用者の方へ
http://jvndb.jvn.jp/apis/myjvn/personal.html

可能であればホワイトリスト形式にプラグインを動かすように設定する。（あとで調べてのせる予定）
設定が難しいようであればいっそプラグインを無効にしてしまうのもいいかも。

JAVA無効化
WebブラウザでJavaを無効にするにはどうすればよいですか。
https://www.java.com/ja/download/help/disable_browser.xml

FLASH無効化
Tech TIPS：セキュリティのために、Google ChromeでFlash Playerを一時的に無効化する - ＠IT
http://www.atmarkit.co.jp/ait/articles/1502/23/news087.html

FLASH無効化が不便ということであれば、chromeではFLASHを「クリックしてから再生する」という設定もあるようです。
Chromeの設定ひとつでYouTube動画の自動再生を止める方法 ｜ ライフハッカー［日本版］
http://www.lifehacker.jp/2012/10/121029google-chrome-youtube.html
※記事の書かれた時点ではyoutubeがクリックしないと再生されないように見えますが、現在はHTML5で再生されるのでyoutubeに関しては不便もなさそう？

評判のいいセキュリティソフトを入れる

個人的にはカスペルスキー等がいいと思います。

バックアップ

大事なファイルはバックアップというのは耳にタコかもしれませんが、注意点があります。
Cドライブ以外のドライブのファイルも攻撃対象のようなので、それ以外の場所に保存しておく仕組みを作るといいと思います。
※ただしドライブとしてマウントしておくとウイルスがアクセス出来てしまい結局ファイルがvvvになってしまう可能性もあるということです。

現在は海外サイトでの検出が多いようです

単純に海外サイトや、無料アダルト、割れ系に行かないのも手だと思います。

2chまとめサイトがウイルス感染経路なのではないか

2chまとめサイトがvvvウイルス感染経路という情報がありましたが、もしそうであれば単純にもっと感染者は多いと思います。
それにしては感染者が少なすぎますし、根拠が薄いですね。
ネタか、単なるアフィ叩きだと思います。
GIGAZINEさんの記事のように、日本人の場合は海外のサイトで感染するパターンが多いのではないでしょうか。
※もちろん国内サイトがゼロなわけではないと思います。

そもそもvvvウイルス自体なんて存在はなくデマなのではないか？

１．まずランサムウェアという種類のマルウェアは以前から存在します。
２．VVVウイルスはその中の一つの種類で、あくまで俗称に過ぎません。youtubeの感染動画もありますし、国内外でツイッターの以外の情報源も多々あります。
３．VVVウイルスという名前や深刻なダメージのインパクトにおどらされるのではなく、セキュリティ意識を高めるきっかけ程度に捉えれば良いと思います。
４．ただし感染の報告数自体はそれほど多くなく、感染元のサイトも海外ということなのでそれほど神経質になることではないと思います。

※ただし業務や卒論など人生の分岐点に関わる作業をパソコンでしている方は可能なかぎりの対策をしたほうがいいとは思います。

Windows10、8なら感染しない？

残念ながら実験動画でも感染しているようです。

ニュース等追記

【セキュリティ ニュース】「vvvランサムウェア」はFlash脆弱性で感染、「Angler EK」で拡散 - カスペが分析（1ページ目 / 全1ページ）：Security NEXT
http://www.security-next.com/064949

※筆者は敬虔なホンシン（本田選手のファン）です。