ランサムウェア vvvウイルス(TeslaCrypt/CryptoWall)の感染対策、駆除方法についてまとめ

広告

『vvvウイルス』と呼ばれるランサムウェアの感染報告が上がり、Twitter で情報が急増しているようです。

vvvウイルス自体正式名称がはっきりせず、TeslaCryptやCryptoWallと呼ばれるランサムウェアの新種や亜種という情報もありますが、ここでは特にvvvウイルス、TeslaCrypt、CryptoWallと対象を限定していません。

感染経路などの情報をみると Flash 広告の脆弱性を突いたもののようで、2chまとめサイトなどが配信しているアドネットワークがこの vvvウイルスの感染源だという話も出ているようです。

情報源が局所的で出始めたばかり。騒ぎに乗じた煽りニュース記事やデマ情報もあるようなのでいったん対策して落ち着きましょう。スマホでの対策なども出回っていますが、スマホにvvvウイルスは感染しません

個人的にはこのウイルスの蔓延自体懐疑的ですが。。。参考までにこのエントリを公開しておきます。vvvウイルス、TeslaCrypt、CryptoWallに限らずランサムウェア全般の情報としてご覧ください。

vvvウイルス (TeslaCrypt/CryptoWall)の傾向と対策について

コンピュータウィルスの感染経路は各種存在しますが、vvvウイルスは主に悪意のあるサイトへのアクセスやメールの添付ファイルから感染します。

ウイルス対策の基本として、不明な添付ファイルを開かないことはもちろん、身に覚えのないメールは本文の確認もせず一切開かないことが重要です。中にはプレビューしただけで感染するウイルスも確認されているため、添付ファイルを開かない、という対応だけでは不十分な場合もあります。

また、今回話題に上がったvvvウイルス (TeslaCryptやCryptoWallの新種とも) の感染経路は Adobe Flash Player を使用した広告だといわれています。Flash は「艦これ」などのPCブラウザ用ゲームやニコニコ動画などのWebサービスなどで利用されていますが、特に決まった用途がないようであれば、Adobe Flash Player の動作を無効にすることで感染を抑制することができます。

また、vvvウイルスはWindows OS を対象にしたウイルスのため、Android や iPhone (iOS) 搭載のスマートフォン、タブレットおよび Mac には感染しません。

ニュース記事などではウイルス対策ソフトの購入を急ぐように煽っている記事や、広告ブロックの対策を行うようソフトウェアの導入を促すようなものもありますが、このvvvウイルスのニュースを見て今更ウイルス対策に焦り、上記の情報を鵜呑みに実行してしまう方、騙されますよ。。。

情報収集している間に感染拡大した、なんて笑い話にもならないので、まずは Adobe Flash Player の動作を無効にした上で落ち着いて情報収集しましょう。

情報がある程度収束してから設定を元に戻し、ソフトウェアのバージョンアップや脆弱性対策を行ってください。

vvvウイルスとは

vvvウイルスは、Windows OS をターゲットとした「TeslaCrypt」や「CryptoWall」というランサムウェアの新バージョンとの情報が上がっています。

想定される感染経路は広告表示。アドネットワークに仕込まれた Flash 広告が原因と言われています。そのため、ブラウザで Web サイトを閲覧するだけ(ネットサーフィンをしているだけ)で感染する、と言われています。

仮に広告ネットワークを感染経路とした場合、感染手段として旧バージョンの Flash の脆弱性を突いている可能性が高く、何らかのリンクやポップアップから誘導されたフィッシング系サイトの案内(ウイルスチェックソフトウェアと称してインストールを促される、など)を誤ってユーザー自身が実行してしまったことによる感染が主な経路と想定されます。

一部 Java が利用されているような情報もありますが、信憑性は低いと思われます。Windows 10 での感染は未確認です(個人調べ)。

感染すると、特定のデータファイル(すべてではないが、ほとんど)のファイル拡張子が「vvv」に変更され、同時にファイル内容が暗号化されます。拡張子だけを元に戻しても内容が暗号化されており読み取ることができないため、事実上使用できない状態となります。また、 Windows のシステム復元機能で使用される復元ポイントも削除されるため、同機能で復旧することも困難となります。この拡張子変更と暗号化の範囲はローカルドライブだけでなく、探索可能なネットワークドライブにも及ぶため、バックアップをネットワークドライブに行っている場合でも、バックアップファイルが暗号化されてしまい復元できない状況なども発生しているようです。

このような動作を行うウイルスは『ランサムウェア (Ransomware)』と呼ばれ、暗号化されたファイルを復元するために、金銭(身代金)の要求を行うような仕組みがとられたものが多いのですが、このvvvウイルスにおいては同様の身代金要求の情報は未確認です。

また、現在はウイルス情報も錯綜しているため、専門家が情報を収集しているうちに感染した、などという例も上がっています(これもデマくさい)。不慣れな情報収集にも気を付けてください。

vvvウイルスに感染した場合の駆除方法について

具体的な方法は確認されていません(個人調べ)。

ランサムウェアへの対応については、金銭(身代金)を支払うことで解決できるケースもありますが、このvvvウイルスでは具体的な方法が上がっていません(特定の Twitter アカウントで情報が上がっていますが、真偽は不明)。

過去のランサムウェアでは、ウイルス対策ソフトウェアベンダーにより暗号化されてしまったファイルの複合プログラムが提供されているものがありますが、このvvvウイルス (新TeslaCrypt/CryptoWall) については暗号が強化されており復号がほぼ (開発元から復号鍵の情報が漏れない限り) 不可能との情報もあります。

いずれにしても、これからウイルス対策ソフトウェアなどを導入したところで、今後の感染の予防はできたとしても、すでにvvvウイルスに感染している場合は暗号化されたファイルを元のファイルに復号することは困難と思われます。

vvvウイルスへの感染対策について

ランサムウェアへの対策として、最も基本的なことは不明なサイトにはアクセスしない、不要なメールは開かない(プレビューもせずにゴミ箱へ)、という事です。ウイルス対策ソフトウェアを重要ですが、普段の意識がなければその隙を疲れて感染するリスクは変わりません。

また、今回話題に上がったvvvウイルス(TeslaCrypt/CryptoWall)の感染経路は Flash Player とされているため、Flash Player の動作を無効にすることで感染被害にあう危険性を減らすことができます。

スパムメールからの感染も増えているとのことなので、メールの受信についても注意してください。

スパムメールによるvvvウイルス被害が日本でも拡大中
vvvウイルス(TeslaCrypt/CryptoWall)の攻撃が拡大しているとニュースになっています。 Twitterで拡散されていた情報はWebサイトの広告などから感染の疑いがあるとの内容でし...

いろんな情報に振り回されるまえに、Flash Player の動作設定を見直しましょう。このウイルスのためだけに新しいウイルス対策ソフトウェアを買い替える必要はありません

ただもし現在 Windows PC をお使いで、全くコンピュータウイルス対策を行ってないということであれば、今からでも遅くないので何か対策ソフトウエアの導入をおすすめします。下記のウイルスバスター クラウドのようなダウンロード版であればオンラインで購入してすぐに今日から対策できます。

なお、スマホをご利用の方は、そもそもこのウイルスの攻撃対象にはならないので感染の心配はありません。特定のサイトにアクセスさせようとするデマ情報などにも注意してください。

いずれにせよ、このニュースを見て今になってソフトウェアアップデートや広告ブロック、ウイルス対策に焦っている方は、そもそも日頃の備えが不十分なので、今後早めに Windows 10 の搭載された最新 PC や Mac、タブレットへ乗り換えていただくのが得策だと思います。。。最新 OS やモバイル機器であれば、今回のようなアップデート漏れの脆弱性を突いた攻撃被害を受ける可能性も抑えることができますし、デマに騙されても被害を抑えることができます(旧製品を使い続ける場合などと比較して)。

Windows 10 や最新の Chrome などで感染報告は確認していませんが、Microsoft Edge および Google Chrome で Flash Player を無効化する設定方法を以下に記載します。

Adobe Flash Player の動作を無効にする方法

注意

この操作を行うことにより、対象のブラウザで Adobe Flash Player の動作が全面的に無効になります。Flash 対応の広告を抑制すると同時に、DMM社の「艦隊これくしょん」のような Flash Player を使用したブラウザゲームなども同様に動作しなくなりますのでご理解の上設定してください。

操作手順:Google Chrome の場合

  1. Google Chrome を起動します。
  2. 新しいタブを開き、アドレスバーに「chrome://plugins」と入力し、エンターキーを押します。
  3. 「プラグイン」の一覧の「Adobe Flash Player」の項目の中にある、[無効にする] リンクをクリックします。
    chrome
  4. タブを閉じます。
  5. 操作は以上です。

操作手順:Microsoft Edge の場合

  1. Microsoft Edge を起動します。
  2. ウィンドウ右上のメニューボタン「…」をクリックし、[設定] をクリックします。
    edge
  3. 「詳細設定」にある [詳細設定を表示] ボタンをクリックします。
    edge2
  4. [Adobe Flash Player を使う] チェックボックスをクリックしてオフにします
    edge3
  5. 操作は以上です。

操作手順:Adobe Flash Player の動作を確認する方法

  1. https://helpx.adobe.com/jp/flash-player/kb/235703.html にアクセスします。
  2. 「以下のムービーが正しく表示されますか?」と表示された場所のすぐ下に「Flash Player はインストールされています。」という表示がされなければ Flash Player の動作は停止しています。
    flash_verify
  3. Flash Player が動作している場合は、以下のように表示されます。
    flash_verify_NG

設定を元に戻すには

設定を元に戻すには、各手順の Flash Player の使用設定を元に戻します。

  • Google Chrome の場合、操作手順 3. の「プラグイン」の一覧の「Adobe Flash Player」の項目の中にある、[有効にする] リンクをクリックします。
    chrome2
  • Microsoft Edge の場合、操作手順 4. の [Adobe Flash Player を使う] チェックボックスをクリックしてオンにします
    edge3

関連情報

Flash を悪用してマルウェアに感染させる例が海外のアダルトサイトを中心に発生しているようです。

アダルトサイトを閲覧するだけでウイルスに感染する被害が発生
Flash 広告を乗っ取り、サイトを閲覧するだけでウイルス(マルウェア)に感染する被害が広がっているようです。 Twitterでは『vvvウイルス』の話題が拡散していますが、この件はまた少し違う...

また、スパムメール経由からのvvvウイルスに感染例も増えているようです。

スパムメールによるvvvウイルス被害が日本でも拡大中
vvvウイルス(TeslaCrypt/CryptoWall)の攻撃が拡大しているとニュースになっています。 Twitterで拡散されていた情報はWebサイトの広告などから感染の疑いがあるとの内容でし...

以上、最後までお読みいただきありがとうございました。

クラベルでは読者を大募集中です

気に入っていただければ、TwitterのフォローRSSの登録、ブックマークなどをしていただければ大変うれしいです。Twitterでは日頃のつぶやきやブログの最新情報などを更新しています。

コメントをどうぞ

メールアドレスが公開されることはありません。

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)