「vvvウイルス」、12月8日より日本でも急増 44
ストーリー by hylom
Webを見るだけで感染、とは違う模様 部門より
Webを見るだけで感染、とは違う模様 部門より
あるAnonymous Coward 曰く、
先日『ネットで過度に騒がれた通称「vvvウイルス」』という話があった。そのときは「日本で被害が急増した形跡は見当たらない」とされていたが、トレンドマイクロの調査によると、12月8日以降、「vvvウイルス」と呼ばれているランサムウェア「CrypTesla」を拡散させるスパムが急増しているそうだ(トレンドマイクロセキュリティブログ)。
問題となっているスパムは「Invoice」や「Payment」といったタイトルで請求書を偽装したものだという。このメールにはJavaScriptファイルがZIP圧縮されて添付されており、これを実行するとマルウェアのダウンロードや実行が行われてしまうという。もちろんメールを受け取っただけでは感染しないので、送信元が明らかでない、心値のない添付ファイルを開いたり実行しない、という対策で対処できるだろう。
昨日届いた (スコア:3, 参考になる)
会社のメールに届いてた
添付に[Invoice_9xxxxxx_scan.zip]
たぶんこれだろう
ゲートウェーのメールチェックをスルーし、ローカルのマカフィーEnt8.7.0iでZIPをファイルチェックしても引っかからない
Re:昨日届いた (スコア:2, おもしろおかしい)
そのZipファイルにJSだけ入ってるならば、このマルウェアですね。
で、ちょっとそのファイルを開いてみて、CrypTesla本体もローカルのマカフィーで検出しないかチェックしてみてくれる?w
#やるなよ。絶対にやるなよ。絶対だぞ。
Re:昨日届いた (スコア:3, 興味深い)
怖いので、オフラインのmac上で解凍してみた。
中身は50KBほどのJSファイルだけでした。
トレンドのブログの通り、難読化されてて、普通に中身を見ても意味不明でした。
Re:昨日届いた (スコア:1)
Re:昨日届いた (スコア:1)
さっき、似たような命名センスなzip添付メールを削除しましたけど、これでしたか。
ついでに、spamフィルタもすり抜けてますな。結構優秀。
Re: (スコア:0)
同じく。
thunderbirdの迷惑メールフィルタを素通りしてきました。
タイトルにinvoice~とあったので「きたかー」と思いました。
Re: (スコア:0)
うちにも12/8からいくつか来てるようだ。
こっちでは全部スパムのフォルダにあった。
Re: (スコア:0)
>ローカルのマカフィーEnt8.7.0iでZIPをファイルチェックしても引っかからない
http://blog.trendmicro.co.jp/archives/12713 [trendmicro.co.jp]
Re:昨日届いた (スコア:3)
JScriptに加え、*.exeなマルウェアを配信元で微妙に更新しているケースも有ったりするする。
#とりあえずevalをWScript.Echoにでもすれば読めるふいんき
Re: (スコア:0)
トレンドマイクロのみ検出してますねこっちも
メールプロバイダ側でもトレンドマイクロのチェック入ってるはずですがそれはすり抜けてきてます
Re: (スコア:0)
うちには、12月8日に .ar ドメインから初めてきているなぁ。今朝(12/15)のにも付いているようだ。
linux 上の emacs で読んでいるし、英文メールは一切無視しているので全然気付かなかった。
Re: (スコア:0)
こちらにもいくつも届いています。
ウイルスチェックで弾かれるものもある一方、そのままInboxに入るものもあります。
Linux上でのWEBからダウンロードしてみましたが、xxx.js と言うファイルで
JAVAスクリプトを知らない私には中身は分かりませんでした。
Re: (スコア:0)
先週から8通くらい来てます。 一応住所は書いてあるものの実在しない通りばかりです。
Re: (スコア:0)
linuxも危ないんじゃなかった?
Re: (スコア:0)
12/8から届いてましたが、
・McAfeeのローカルスキャンはNG、メールサーバ上のMcAfeeウィルスチェックもNG
ただし、12/12頃から検出できるようになった
・Gmailのウィルスチェックは12/8時点で検出
McAfeeの信用度が落ちました、なんちゃって。
Re: (スコア:0)
毎日数通届きますね。
結構IPではじいてこれなので実際はもっと多いのかも。
ちなみに、とある低価格レンタルサーバー屋さんは、
「SPAM報告するならこちらの情報を送信元サーバーのレンタル者に流すので住所本名電話番号ちゃんと書かないと受け付けないよ」
というすてきな注意事項が報告フォームのところに書かれていたので完全にブロックしました。
あれ?Flashの脆弱 (スコア:0)
で見ただけで感染するぞ!
って触れ込みじゃなかったっけ?
しょぼくなってないか
Re:あれ?Flashの脆弱 (スコア:1)
Angler ExploitKitを利用してFlashの脆弱性をついて見ただけ感染するドライブバイダウンロード経路と、SPAM経由での経路の2つの感染経路有る事は、前から言われてました。
Re: (スコア:0)
その攻撃コードのあるwebページへの誘導手段が色々出てきているという話。
ランサムウェアに感染してもそこからさらに被害をまき散らすタイプではない
(だからこそ増殖手段を持つウイルスではないのだけど)ので、
被害を拡大させる手法は別途いるのよ。
Re: (スコア:0)
件のブログではメールによる拡散、日本への流入を示しているってだけでFlashもあるよ。
http://blog.trendmicro.co.jp/archives/12649 [trendmicro.co.jp]
日本向けのサイトで感染源になっているなっているところがあるのかは知らんが。
Re: (スコア:0)
これはゼロデイ攻撃だ!最新パッチでも対応できない!って断定してた人もいましたな。
Re:あれ?Flashの脆弱 (スコア:2)
そもそも、Twitterで感染した人は、Flashのセキュリティ更新も当てており、Javaもインストールしていない。そこそこのITリテラシーのある人で、感染ルートがはっきりわからずゼロディでなかったとは断言できない。
TesraCrypt は脆弱性を探してそれをダウンロードしてきて実行する仕組みになっていて、ゼロディのあるアプリケーションがあればそれにも対応できるようになってるのだ。
ちなみに、TesraCrypt の感染レポートには Flash/Java だけでなく、Silverlightの脆弱性を利用したものもある。
TesraCrypt自体が利用しているツールキットが最新のゼロディにも対応できる以上『ゼロディで感染するのはデマでセキュリティ更新さえしていれば安全』と断言する方がデマだと思う
Re: (スコア:0)
JRE入れてる奴は情弱とかいうなよー、JDKもいれてるよー。
Re: (スコア:0)
これどうやって確認したの?まさか確認した人の自己申告?エビデンスあるの?
Flashのセキュリティ更新なんて情シスとかで常時チェックしてる人でもない限り、明確に「最新のを当ててた」と言い張れるとは思わないんだけど。
これは「悪魔の証明」だ
Re: (スコア:0)
断定は行き過ぎだがそういう前提で行動する方が安全だよ。
Re:あれ?Flashの脆弱 (スコア:2, すばらしい洞察)
まさにその通りで、個人が最悪の事態を想定するのと、考えられる最悪の事態をさも事実であるかのように喧伝するのは、全く別の問題なんだよ。
「ゼロデイ攻撃の可能性があるから気をつけてね」というだけなら(どう気をつければいいかって話は置いといて)有益な情報の部類だろう。
でも、「ゼロデイ攻撃だ!」って未確定なのに(ついでに結果論で言うなら間違った)情報を流すのは、「vvvウイルスなんてデマ」「アフィリエイトブログが流してる」「中国人による日本人を狙った攻撃」という類の情報と同程度に有害だよ。
Re: (スコア:0)
時系列的にはこうだからFlash見ただけで感染の経路もあるよ。
時系列
11月下旬から海外で改竄されたWebサイト急増、Webサイトを見ただけでランサムウェア感染
↓
海外某有名新聞社のサイトのWebサイトが改竄される、閲覧しただけでランサムウェア感染
↓
米国を中心にランサムウェアへ感染させようと試みるメールスパム確認
↓
海外エロサイト5つで不正広告確認、観覧しただけでランサムウェア感染
↓
海外某有名動画サイトで不正広告確認、観覧しただけでランサムウェア感染
↓
12月9日に日本国内で同ランサムウェアへ感染させようと試みる十数件のメールを確認
vvvの感染者が企業で出たら (スコア:0)
vvvの感染者が企業で出たら
ネットワーク共有先までvvv化しようとするので
権限が足りてれば共有先が死にます。
ザル管理なところは一発で廃業の可能性も?
Re:vvvの感染者が企業で出たら (スコア:2, 興味深い)
今回のやつはしないんじゃないかな。
Cドライブ?少なくともOSのインストールドライブしか暗号化しない。
OS以外の別ドライブやネットワークドライブにしていても暗号化はしない。
感染者は語る…
絶対ACww
Re: (スコア:0)
しっかりファイルサーバーまでvvvにされました。
ファイルサーバー上で標的になったのはExcelファイルで、その他のDOCやTXTやHTMLは無事でしたが。
Re: (スコア:0)
突っ込んでたUSBメモリも、しっかりVVV化されましたよw
#ランサムウェアはめったに扱わないので油断してた
Re: (スコア:0)
最後の語尾はv なのか w なのか
Re: (スコア:0)
つまり日本国株式会社がヤバイわけですね
回りくどくて面倒くさい手口。 (スコア:0)
メールの添付ファイルにするなら実行ファイルにして件名を「ウイルスを駆除する必要があります添付ファイルを実行してください」なんかにした方が効果的な気がしないでもない。
Re: (スコア:0)
実行形式のファイルだと、メールゲィトウェイで駆除されたり、メーラーでブロックされるので、あまり効果的ではないです。
なので、またWordやエクセルを使ったマクロウィルスがはやり始めてたりします。
Unix系でも (スコア:0)
http://eset-support.canon-its.jp/faq/show/4082?category_id=170&pag... [canon-its.jp]
Unix系も被害にあうって製作者頑張ったな
これを回避するには BeOSのHaiku とか OS/2 に移行すれば怖くないな
4通届いてた (スコア:0)
全部、Gmailが迷惑メールフォルダに移していた上に3つはマルウェア判定されててダウンロードもできず。
※仕方ないのでソースを表示させてテキストエディタ通して、opensslで復号w
たしかに中身は.jsだし、妙な難読化がされているのでアヤシイことを確認
どっちがウィルスだか (スコア:0)
もはやトレンドマイクロは何を言ってもお前の存在がウィルスだろ?としか思えん
Re: (スコア:0)
自分はドヤ顔でデマだとか言ってないけど、
「vvvウイルスは(あの時点では)日本ではそんなに流行していなかった」ってことであって、「vvvウイルスの存在自体はデマではない」と解釈してましたよ。
「なんだ、そんなに流行してなかったんじゃん」からの日本流入ってことで。
Re: (スコア:0)
あれ、事実とデマを織り交ぜて拡散したから、デマでもあって、事実でもある。
日本で流行して被害続出ってのはデマ。
見ただけで感染するというのは事実。
ただゼロデイではないからちゃんとアップデートしてれば感染しない。
国内にもあったというマルウェア広告はデマっぽい。現物を誰も確認できず。
その後、手口を変えてメールで連鎖的に拡散していく方式にしたのか、日本にも魔の手が及んできた。
日本にもたくさん届き始めたのは今月の初めごろから。
賢明なデモ指摘者は、「vvvウィルス(TeslaCrypt)は実在するから注意は怠らないこと」って言ってた。
Re: (スコア:0)
んだな。
1)vvvは昔からあった、vvvのExploitはゼロデイを使ったこともある、故に今回のvvvはゼロデイだ、と馬鹿な三段論法を提唱する奴が出る
2)1を読んだ奴が「ゼロデイだ、従来の対策じゃ防げない、とにかくヤバいんだ」みたいな画像を拡散する
3)2の画像の技術的・状況的におかしい点が複数箇所で指摘される
4)「画像がおかしいならウイルスがデマだ」と読解力が残念な人達が別ベクトルのデマを広げる
という流れだったからなあ
デマの主犯は1と2だけど、どっちも開き直ってるから責任とか取るつもりないんじゃね?
どちらにせよ中途半端に拡散して騒いだ情報の責任なんて個人で取りようが無いんだしな
# まあ経済的に実害が(おそらくほとんど)出てないだけ、原発云々とかのデマに比べりゃかわいいモノだが
Re: (スコア:0)
>>国内にもあったというマルウェア広告はデマっぽい。現物を誰も確認できず。
トレンドマイクロでは、「CrypTesla」の感染経路として、マルウェアスパム経由と脆弱性攻撃サイト経由の2種の攻撃の存在を確認しています。国内にはこれらの感染経路でこのランサムウェアが流入したことが推測されます。
Re: (スコア:0)
> トレンドマイクロ リージョナルトレンドラボ(RTL)では、日本に関連する脅威情報を調査しています。
> 2015年12月8日のブログ(「vvvウイルス」の正体とは? ランサムウェア「CrypTesla」の流入は限定的) で、
> ZIP圧縮された JavaScript を添付したマルウェアスパムが全世界的に拡散している旨をお知らせしました。
> ブログ執筆時点ではこのマルウェアスパムの 日本への流入は少量と見ていましたが、12月9日時点において
> この手口に関連する不正URL のブロック数が国内で急増しており、日本にも相当数が流入していることが
> 確認できました。