VVVウィルス ってなに?
VVVウィルス とは、悪質なサイトのFlash広告などに埋め込まれた身代金要求型のウィルス(ランサムウェア)です。Windows系OSのみに感染し、有志の実験で 7、8 や最新の 10 への感染も確認されています。アダルト動画サイトが 感染源と見られていますが、特定に至りませんでした。
このウィルスは日本では VVVウィルスと呼ばれていますが、 TeslaCrypt というのが正式な名称です。
Teslacrypt は2014年7月に登場した CTB-Locker の亜種とも呼ぶべきものです。出現当初は暗号化アルゴリズムが単純なことから解析は容易とのことでしたが、改良改悪を重ねられ、より複雑で強度な「楕円曲線暗号」アルゴリズムを取り入れたことで非常に厄介なウィルスへと変貌を遂げしました。同種のウィルスは米国やドイツを中心に猛威を振るっていたようです。
ちなみに元となった CTB-Locker の開発キットは誰でもオンラインで購入することができたらしいです。このため CTB-Locker は多種多様な亜種が存在します。このことがセキュリティソフトの対応を遅らせていたではないかと考えられます。
調べた限り、この書き込みが日本語サイト上での初情報のようです。(2015年)11月29日付で「教えて!goo」にて VVVウィルスに感染したと思しき書き込みがありました。
症状・被害
Flashプラグインには特定のサイトの Flash広告などを表示すると、広告内に組み込まれた悪意のあるコードが自動的に実行されてしまう脆弱性がありました。このコードは Flash や Java などのプラグインの脆弱性を悪用し、PCにペイロード(マルウェア本体)をインストールします。後に「Angler Exploit Kit(Angler EK)」が使われたことが判明します。
「vvvランサムウェア」はFlash脆弱性で感染、「Angler EK」で拡散 – カスペが分析 – Security NEXT
システムに侵入したマルウェアは動画、画像、圧縮ファイル、PDFやドキュメントファイルなどを暗号化されたファイルに変換してしまいます。外付のドライブやUSBメモリ、ネットワークドライブ内のファイルも罹患したPCと繋がっていれば例外なく変換します。システムの復元ポイントも削除してしまいます。
その際、ファイルの拡張子がすべて .vvv に変更されてしまうことから、日本のツイッター界隈では VVVウィルスと名付けられました。バージョンによっては様々ですが 500米ドル相当のビットコインの支払いを要求され、一ヶ月後には1000ドルに倍増するというものです。微妙に払えそう額なのが嫌らしいです。
危険度を増したランサムウェア「TeslaCrypt 2.0」 – KASPERSKY LAB
日本で VVVウィルスが流行ったのは 2015年11月ですが、「Angler EK」がこの時利用した Flashプラグインの脆弱性は2015年10月には修正されていました。プラグインのアップデートを怠った人が感染したのではないかと言われています。
データの復元は可能か
2023現在、 TeslaCrypt の作者が復号ツール「TeslaDecrypt」を公開したことにより除去および復号は簡単に行うことができます。詳しくは「ID Ransomeware」をご覧ください。
予防・対策
この手のウィルスにかからないためには OS だけでなくインストールしたソフトウェア・プラグインを常に最新の状態にしておくのが最も大事です。
Flashプレイヤーは多くのサイトで使われていました。また開発元の Adobe は Flash の開発・保守に消極的で HTML5 が策定されると見やるやセキュリティアップデートすら対応を渋っていました。このためクラッカーの標的となってしまいました。
もうすでに Flash はサポートが打ち切られているため、利用している人はごくごく少数の方だと思いますが、知らないサイトでは Flashプレイヤーを使用しないようにしましょう。Flashblock などの無効化ツールを使うと特定のサイトのみ許可することができ、便利です。Javaも使わないならプラグインを削除した方が良いです。ブラウザの設定からプラグインを無効化できます。
今後も同様の身代金要求型ウイルス、いわゆるランサムウェアの増加が予想されます。Windows に搭載されているランサムウェア対策の設定を見直すだけでなく、定期的なバックアップも必要になってくるでしょう。
おわり
Photo by Dimitri Karastelev on Unsplash
コメント
怖いです