拡張子をvvvなどにするランサムウェアとExploit Kitに関する概要と対策
最近になってTwitterを中心として、PCや接続している外付けメディア内のファイル拡張子が.vvvになって暗号化されてしまうランサムウェア(マルウェアの一種)が流行り始めていることが確認されています。
ちなみに、「.vvv」というのはランダムなもので、他の拡張子も存在すると考えられます。
RSA-2048 の暗号化アルゴリズムを利用してファイルを暗号化した後、元のファイル名にランダムなファイル拡張子を末尾に追加し
一度これに感染してしまうと、復旧はほぼ不可能であり、概要を知ったうえで対策することが大切です。
追記:
今回の件に関してデマがかなり飛び交っているので、ソースを確認したうえで情報を取捨選択してください。
まとめサイトで感染って調べてないから何とも言えないけど嘘だと思うのですが……
感染の流れ
- 悪意のある広告・URLを表示(広告が置いてあるサイト自体は悪意のない普通のサイトで広告提供主が悪い)
- 1で表示した悪意のあるものはExploit Kitが埋め込まれている(Exploit Kit=PCにある脆弱性を探すもの)
- 脆弱性のあるPCは1を表示しただけで今回のランサムウェアに感染
まず、Exploit Kitについてですが、今回流行っているものは”Angler””Nuclear”と呼ばれているものです。
「Angler Exploit Kit」「Nuclear Exploit Kit」、「Pawn Storm作戦」で利用されたFlash脆弱性の利用を確認 | トレンドマイクロ セキュリティブログ
Exploit KitはPCに脆弱性がないかを探すツールで、今のところはFlash PlayerやJAVA(Java Scriptではない)が標的になっているようです。
Exploit Kitは脆弱性を見つけた場合、PCにマルウェア(ウイルスなどを含む広義の悪意あるソフトウェア)を感染させます。
そしてそのマルウェアが今回の場合、.vvvなどにしてしまうランサムウェア(TeslaCrypto,Cryptowall)やその他バックドア(BEDEPなど)だったというわけです。
注意したいこと
- 今回はExploit Kitによって感染するマルウェアが「拡張子をvvvなどランダムなものにして暗号化するランサムウェア」などであったが、今後同様のExploit Kitによって別なマルウェアに感染する可能性がある
- Exploit Kitの悪用は広まっており、ウイルス対策ソフト等では対策が追い付かない(ヒューリスティックでも検知が難しい)
- Exploit Kitは過去にFlash Playerのゼロデイ脆弱性(セキュリティ対策のアップデートが配布前で塞がれていない脆弱性)を突いてきたことがある
これはすなわち、Flashなどを最新にしている人でもゼロデイのExploitが出現したときに今後感染する可能性があるということです。
対策~上記の注意点を踏まえて~
- Flash PlayerやJAVA、Adobe Readerなど各ソフトウェアを最新版に
必要最低限の対策です。無効にしないまでも、必ずしましょう(でもJAVAはあまり使わないし無効でいいかな)
- ウイルス対策ソフトを最新のものに
Exploit Kitに対応が追い付かなくても、その後落ちてくるマルウェアに対処できる可能性があります。
- ブラウザをGoogle Chromeに
Chromeは拡張機能をサンドボックス上で動かしており、マルウェアに感染する可能性をグッと下げることができます。
- ペイロードの実行防止
EMETやMBAEの導入。次の項目で説明します。大事
- Adblockの導入
今回Exploit Kitを含んだ広告を配信してしまったAdXpansionはAdblockにおいてドメインでブロックされていました。
既存の広告は読み込む前にほぼAdblockでブロックされますし、仮に未知の広告ドメインがExploit Kitを配布したとしてもサイト自体に悪意がなければその広告ドメインは使われませんし、もしくはサイト自体が改ざんされている場合ですからめったにないと思います。
- HIPSの導入
マルウェア実行後の被害を最小限にします。余裕がある人だけでOK
ゼロデイ脆弱性を防ぐ~ペイロードの実行防止~
上にも書きましたが、今後ゼロデイ脆弱性が出てきたときに、いくらFlashなど各ソフトウェアを最新にしていても感染してしまう可能性が考えられます。実際、Flashのゼロデイ脆弱性はしょっちゅう出てきているので注意が必要です。
そこで今回は、脆弱性があたっとしてもペイロードを実行させないことで攻撃を防ぐソフトウェアを紹介します。
- Enhanced Mitigation Experience Toolkit(EMET)
https://technet.microsoft.com/ja-jp/security/jj653751
Microsoft製。ダウンロードは上記ページの右カラムにある「関連リンク」から。
バージョン5.5からWindows 10に対応。
インストールは「次へ」をクリックし続けるだけでOK
インストール後に、「Import→Popular Software→開く」で設定完了です。
- Malwarebytes Anti-Exploit(MBAE)
https://www.malwarebytes.org/antiexploit/
EMETよりシンプルですが、無料版はAdobe Readerなどに対応していないのでお勧めしません。
ちなみに、これを作っているのいるのはMalwarebytes
聞いたことがない方もいるかもしれませんが、ここのマルウェア削除ソフトは数年前にFake AV系(Trojan.Vundo系)が流行したときに有効とされ、だいぶ重宝されました。信頼できる会社です。
まとめ
各ソフトウェアのアップデートとウイルス対策ソフトの導入は絶対!
できればEMETを入れるなどしてゼロデイアタックに備えましょう。
それとマルウェアの挙動を知りたいからと言って下手なことすると感染してしまう可能性があるのでお勧めしません。
bleepingcomputerあたりにマルウェア感染者がヘルプを求める掲示板があるのでその辺を見たほうがいいです。
以前であれば日本でもhigaisatiaku.com(アダルトサイト被害対策の部屋)の質問掲示板(青板)があったのですが……