VVVウィルス ってなに？対策は？

VVVウィルス というのが数日前から一部で騒ぎになっているらしいので、Twitter や某掲示板、セキュリティ関連サイトの情報を元に自分なりにまとめてみました。

最新の Adobe Flash Player でセキュリティホールは修正されています。

VVVウィルス ってなに？

VVVウィルス とは、悪質なサイトのFlash広告などに埋め込まれた身代金要求型のウィルス（ランサムウェア）。Windows系OSのみに感染し、有志の実験で 7、8 や最新の 10 への感染も確認されています。アダルト動画サイトが 感染源と見られていますが、特定に至っていません。

最初に発見されたのは何時か

11月29日付で 教えて！goo にて VVVウィルスに感染したと思しき書き込みがありました。調べた限り、この書き込みが日本語サイト上での初情報。Youtubeでも動画をアップロードしている人もいるので、デマというわけではなさそうです。

症状・被害

特定のサイトのFlash広告などを表示すると、広告内に組み込まれたコードが自動的に実行されるようです。このコードは Flash や Java などのプラグインの脆弱性を悪用し、PCにマルウェア本体をインストールします。インストールされたマルウェアは動画、画像、圧縮ファイル、PDFやドキュメントファイルなどを暗号ファイルに変換してしまいます。外付のドライブやUSBメモリ、ネットワークドライブ内のファイルも罹患したPCと繋がっていれば例外なく変換します。その際、 .vvv という拡張子が付与されることから、ツイッター界隈では VVVウィルスと名付けられました。

危険度を増したランサムウェア「TeslaCrypt 2.0」KASPERSKY LAB

被害者の方がカスペルスキーでスキャンしたところ、正式名は Teslacrypt （テスラクリプト）と判明。 Antivirのフリー版を導入していたのですが、システムの復元ポイントも削除されてしまったそうです。（後にUACを切ってしまうと復元ポイントが削除されてしまうことがわかりました。）

データの復元は可能か

Teslacrypt は2014年7月に登場した CTB-Locker の亜種とも呼ぶべきものです。出現当初は暗号化アルゴリズムが単純なことから解析は容易とのことでしたが、改良改悪を重ねられ、より複雑で強度な「楕円曲線暗号」アルゴリズムを取り入れたことで非常に厄介なウィルスへと変貌を遂げしました。ウィルス本体は除去できますが、ファイルの復号方法は現時点では見つかっていません。同種のウィルスは米国やドイツを中心に猛威を振るっているらしいです。

ちなみに上記の CTB-Locker 開発キットは誰でもオンラインで購入することができたらしいです。このウィルスの自体はさほど新しいものではなく、感染者も少ないですが、多種多様なバージョンが存在します。このことがセキュリティソフトの対応を遅らせてるのではないかと考えられます。今回ウィルスを検出できたのはKasperskyのみでした。

CTB Locker ランサムウェアまたは暗号化されたファイルの解読法

被害者の動画

　本人はいつウィルスに感染したか全くわからなかったそうです。

　こちらは海外の方が検証用にアップロードした動画。

動画のタイトルにもあるように、このVVVウィルスは Teslacrypt 系統でも比較的新しいものだそうです。ファイルがVVV形式に変わっていることと、警告文が酷似していることがわかります。.onion リンク（Torネットワーク）に飛ぶとタイムリミットと支払い方法が表示されます。

　被害者のツイート

最悪やコレ 一晩の間にCドラ含む全部のHDDとか外付けUSBとか全部のデータが拡張子vvvになったわ pic.twitter.com/1g1eh6Ex1Y

— 柑橘.vvv (@kankitsu0) 2015, 12月 5

こんなファイルが自動的に追加されとる 典型的なウイルスやんけ pic.twitter.com/vjNBSPtZsZ — 柑橘.vvv (@kankitsu0) 2015, 12月 5

暗号化されたファイルを復号する解除キーを入手するには、6万円相当の Bitcon を Tor ネットワーク経由で払わなければなりません。支払い方法についてはテキストファイルが自動生成されるのでその手順に従えとのこと。実際に入金して復号化できるかどうかは不明ですが、お試しに一つだけファイルを復号できるようです。    注意喚起のテンプレを作った方がいました。   

VVVウイルスに関して注意喚起用文章を作成しました。 当該内容に関する著作権を永久に放棄します。本内容は転載・改変・転送・送信は自由です。 職場等での注意喚起にお使いください。 pic.twitter.com/2tyArzPebh — REY@FGO/ガジェット (@rey1229) 2015, 12月 5

追記：
最新のAdobe Flash Playerではセキュリティホールは修正されています。どうやら10月のアップデート時に修正され脆弱性に対し「Angler Exploit Kit（Angler EK）」を用いた攻撃だったことがカスペルスキーの解析で判明しました。Flash Playerのアップデートを怠ったために感染してしまった可能性が高いです。 「vvvランサムウェア」はFlash脆弱性で感染、「Angler EK」で拡散 – カスペが分析

予防・対策

OSだけでなくインストールしたソフトウェア・プラグインを最新の状態にしておくのが最も重要です。

知らないサイト、ではFlashプレイヤーを使用しないようにしましよう。Flashblockなどの無効化ツールを使うと便利です。Javaも使わないならプラグインを削除した方が良いです。ブラウザの設定からプラグインを無効化できます。これらは普段からやっておくべき設定でもあります。

特にFlashプレイヤーは多くのサイトで使われているため油断しがちですが、メジャーな分攻撃対象にされやすいです。また開発元のAdobeは数年前からFlashの開発・保守に消極的です。毎年何度も脆弱性をIPAから指摘されています。

Photo by Dimitri Karastelev on Unsplash