パスワードを忘れた? アカウント作成
12618949 story
セキュリティ

「vvvウイルス」、12月8日より日本でも急増 44

ストーリー by hylom
Webを見るだけで感染、とは違う模様 部門より
あるAnonymous Coward 曰く、

先日『ネットで過度に騒がれた通称「vvvウイルス」』という話があった。そのときは「日本で被害が急増した形跡は見当たらない」とされていたが、トレンドマイクロの調査によると、12月8日以降、「vvvウイルス」と呼ばれているランサムウェア「CrypTesla」を拡散させるスパムが急増しているそうだ(トレンドマイクロセキュリティブログ)。

問題となっているスパムは「Invoice」や「Payment」といったタイトルで請求書を偽装したものだという。このメールにはJavaScriptファイルがZIP圧縮されて添付されており、これを実行するとマルウェアのダウンロードや実行が行われてしまうという。もちろんメールを受け取っただけでは感染しないので、送信元が明らかでない、心値のない添付ファイルを開いたり実行しない、という対策で対処できるだろう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 昨日届いた (スコア:3, 参考になる)

    by ma2aki (43078) on 2015年12月15日 11時47分 (#2934981) 日記

    会社のメールに届いてた
    添付に[Invoice_9xxxxxx_scan.zip]
    たぶんこれだろう
    ゲートウェーのメールチェックをスルーし、ローカルのマカフィーEnt8.7.0iでZIPをファイルチェックしても引っかからない

    • Re:昨日届いた (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2015年12月15日 12時08分 (#2934992)

      そのZipファイルにJSだけ入ってるならば、このマルウェアですね。

      で、ちょっとそのファイルを開いてみて、CrypTesla本体もローカルのマカフィーで検出しないかチェックしてみてくれる?w
      #やるなよ。絶対にやるなよ。絶対だぞ。

      親コメント
    • by Anonymous Coward on 2015年12月15日 12時17分 (#2935003)

      さっき、似たような命名センスなzip添付メールを削除しましたけど、これでしたか。
      ついでに、spamフィルタもすり抜けてますな。結構優秀。

      親コメント
      • by Anonymous Coward

        同じく。
        thunderbirdの迷惑メールフィルタを素通りしてきました。
        タイトルにinvoice~とあったので「きたかー」と思いました。

      • by Anonymous Coward

        うちにも12/8からいくつか来てるようだ。
        こっちでは全部スパムのフォルダにあった。

    • by Anonymous Coward

      >ローカルのマカフィーEnt8.7.0iでZIPをファイルチェックしても引っかからない

      http://blog.trendmicro.co.jp/archives/12713 [trendmicro.co.jp]

      微妙に件名の文字列や数字列を変化させたり、添付ファイルのファイル名とハッシュ値を変化させたりしながら攻撃を継続しており、セキュリティベンダによる検出を逃れようとする様子が伺えます。

    • by Anonymous Coward

      トレンドマイクロのみ検出してますねこっちも
      メールプロバイダ側でもトレンドマイクロのチェック入ってるはずですがそれはすり抜けてきてます

    • by Anonymous Coward

      うちには、12月8日に .ar ドメインから初めてきているなぁ。今朝(12/15)のにも付いているようだ。
      linux 上の emacs で読んでいるし、英文メールは一切無視しているので全然気付かなかった。

    • by Anonymous Coward

      こちらにもいくつも届いています。
      ウイルスチェックで弾かれるものもある一方、そのままInboxに入るものもあります。
      Linux上でのWEBからダウンロードしてみましたが、xxx.js と言うファイルで
      JAVAスクリプトを知らない私には中身は分かりませんでした。

      • by Anonymous Coward

        先週から8通くらい来てます。 一応住所は書いてあるものの実在しない通りばかりです。

      • by Anonymous Coward

        linuxも危ないんじゃなかった?

    • by Anonymous Coward

      12/8から届いてましたが、
      ・McAfeeのローカルスキャンはNG、メールサーバ上のMcAfeeウィルスチェックもNG
       ただし、12/12頃から検出できるようになった
      ・Gmailのウィルスチェックは12/8時点で検出

      McAfeeの信用度が落ちました、なんちゃって。

    • by Anonymous Coward

      毎日数通届きますね。
      結構IPではじいてこれなので実際はもっと多いのかも。
      ちなみに、とある低価格レンタルサーバー屋さんは、
      「SPAM報告するならこちらの情報を送信元サーバーのレンタル者に流すので住所本名電話番号ちゃんと書かないと受け付けないよ」
      というすてきな注意事項が報告フォームのところに書かれていたので完全にブロックしました。

  • by Anonymous Coward on 2015年12月15日 12時14分 (#2935000)

    で見ただけで感染するぞ!
    って触れ込みじゃなかったっけ?
    しょぼくなってないか

    • by Anonymous Coward on 2015年12月15日 12時28分 (#2935011)

      Angler ExploitKitを利用してFlashの脆弱性をついて見ただけ感染するドライブバイダウンロード経路と、SPAM経由での経路の2つの感染経路有る事は、前から言われてました。

      親コメント
    • by Anonymous Coward

      その攻撃コードのあるwebページへの誘導手段が色々出てきているという話。

      ランサムウェアに感染してもそこからさらに被害をまき散らすタイプではない
      (だからこそ増殖手段を持つウイルスではないのだけど)ので、
      被害を拡大させる手法は別途いるのよ。

    • by Anonymous Coward

      件のブログではメールによる拡散、日本への流入を示しているってだけでFlashもあるよ。

      http://blog.trendmicro.co.jp/archives/12649 [trendmicro.co.jp]

      日本向けのサイトで感染源になっているなっているところがあるのかは知らんが。

    • by Anonymous Coward

      これはゼロデイ攻撃だ!最新パッチでも対応できない!って断定してた人もいましたな。

      • そもそも、Twitterで感染した人は、Flashのセキュリティ更新も当てており、Javaもインストールしていない。そこそこのITリテラシーのある人で、感染ルートがはっきりわからずゼロディでなかったとは断言できない。
        TesraCrypt は脆弱性を探してそれをダウンロードしてきて実行する仕組みになっていて、ゼロディのあるアプリケーションがあればそれにも対応できるようになってるのだ。
        ちなみに、TesraCrypt の感染レポートには Flash/Java だけでなく、Silverlightの脆弱性を利用したものもある。 

        TesraCrypt自体が利用しているツールキットが最新のゼロディにも対応できる以上『ゼロディで感染するのはデマでセキュリティ更新さえしていれば安全』と断言する方がデマだと思う

        親コメント
        • by Anonymous Coward

          JRE入れてる奴は情弱とかいうなよー、JDKもいれてるよー。

        • by Anonymous Coward

          そもそも、Twitterで感染した人は、Flashのセキュリティ更新も当てており、Javaもインストールしていない。

          これどうやって確認したの?まさか確認した人の自己申告?エビデンスあるの?
          Flashのセキュリティ更新なんて情シスとかで常時チェックしてる人でもない限り、明確に「最新のを当ててた」と言い張れるとは思わないんだけど。

          そもそも、Twitterで感染した人は、Flashのセキュリティ更新も当てており、Javaもインストールしていない。そこそこのITリテラシーのある人で、感染ルートがはっきりわからずゼロディでなかったとは断言できない。

          これは「悪魔の証明」だ

      • by Anonymous Coward

        断定は行き過ぎだがそういう前提で行動する方が安全だよ。

        • Re:あれ?Flashの脆弱 (スコア:2, すばらしい洞察)

          by Anonymous Coward on 2015年12月15日 14時11分 (#2935079)

          まさにその通りで、個人が最悪の事態を想定するのと、考えられる最悪の事態をさも事実であるかのように喧伝するのは、全く別の問題なんだよ。

          「ゼロデイ攻撃の可能性があるから気をつけてね」というだけなら(どう気をつければいいかって話は置いといて)有益な情報の部類だろう。
          でも、「ゼロデイ攻撃だ!」って未確定なのに(ついでに結果論で言うなら間違った)情報を流すのは、「vvvウイルスなんてデマ」「アフィリエイトブログが流してる」「中国人による日本人を狙った攻撃」という類の情報と同程度に有害だよ。

          親コメント
    • by Anonymous Coward

      時系列的にはこうだからFlash見ただけで感染の経路もあるよ。

      時系列
      11月下旬から海外で改竄されたWebサイト急増、Webサイトを見ただけでランサムウェア感染

      海外某有名新聞社のサイトのWebサイトが改竄される、閲覧しただけでランサムウェア感染

      米国を中心にランサムウェアへ感染させようと試みるメールスパム確認

      海外エロサイト5つで不正広告確認、観覧しただけでランサムウェア感染

      海外某有名動画サイトで不正広告確認、観覧しただけでランサムウェア感染

      12月9日に日本国内で同ランサムウェアへ感染させようと試みる十数件のメールを確認

  • by Anonymous Coward on 2015年12月15日 12時36分 (#2935018)

    vvvの感染者が企業で出たら
    ネットワーク共有先までvvv化しようとするので
    権限が足りてれば共有先が死にます。

    ザル管理なところは一発で廃業の可能性も?

    • by Anonymous Coward on 2015年12月15日 13時30分 (#2935045)

      今回のやつはしないんじゃないかな。
      Cドライブ?少なくともOSのインストールドライブしか暗号化しない。
      OS以外の別ドライブやネットワークドライブにしていても暗号化はしない。

      感染者は語る…
      絶対ACww

      親コメント
      • by Anonymous Coward

        しっかりファイルサーバーまでvvvにされました。
        ファイルサーバー上で標的になったのはExcelファイルで、その他のDOCやTXTやHTMLは無事でしたが。

      • by Anonymous Coward

        突っ込んでたUSBメモリも、しっかりVVV化されましたよw

        #ランサムウェアはめったに扱わないので油断してた

      • by Anonymous Coward

        最後の語尾はv なのか w なのか

    • by Anonymous Coward

      つまり日本国株式会社がヤバイわけですね

  • by Anonymous Coward on 2015年12月15日 14時43分 (#2935102)

    メールの添付ファイルにするなら実行ファイルにして件名を「ウイルスを駆除する必要があります添付ファイルを実行してください」なんかにした方が効果的な気がしないでもない。

    • by Anonymous Coward

      実行形式のファイルだと、メールゲィトウェイで駆除されたり、メーラーでブロックされるので、あまり効果的ではないです。
      なので、またWordやエクセルを使ったマクロウィルスがはやり始めてたりします。

  • by Anonymous Coward on 2015年12月15日 18時08分 (#2935225)

    http://eset-support.canon-its.jp/faq/show/4082?category_id=170&pag... [canon-its.jp]

    Unix系も被害にあうって製作者頑張ったな
    これを回避するには BeOSのHaiku とか OS/2 に移行すれば怖くないな

  • by Anonymous Coward on 2015年12月15日 18時14分 (#2935231)

    全部、Gmailが迷惑メールフォルダに移していた上に3つはマルウェア判定されててダウンロードもできず。
    ※仕方ないのでソースを表示させてテキストエディタ通して、opensslで復号w

    たしかに中身は.jsだし、妙な難読化がされているのでアヤシイことを確認

  • by Anonymous Coward on 2015年12月15日 21時05分 (#2935344)

    もはやトレンドマイクロは何を言ってもお前の存在がウィルスだろ?としか思えん

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...