1 名前:海江田三郎 ★[] 投稿日:2015/12/06(日) 12:45:53.65 ID:CAP_USER.net
http://bylines.news.yahoo.co.jp/mikamiyoh/20151206-00052167/


パソコンの主要なファイルが暗号化され、「.vvv」という拡張子がついて、一切読めなくなるという悪質ウイルスが出回っています。
しかも感染原因は、ウェブサイトを表示しただけ、バナー広告が原因という厄介なもの。
現象:画像やエクセルファイルが暗号化して読めなくなる。戻るには金を払えという脅迫文が
Twitterで続々と被害が報告されている「.vvv」ウイルス。@kankitsu0柑橘.vvv氏が、詳細な被害報告を上げてくれています。

ちなみにvvvウイルスだけど、なぜか音楽(mp3、wav、flac)は全部無傷だった
txt、画像、動画、オフィス系が全部アウト

出典:http://twitter.com/kankitsu0/status/673269355518410752
とのこと。10万個以上のファイルがやられてしまい、一切復元できず。画像もすべてやられしまったそうです。

他にもTwitter上で、12月3日頃から複数の被害報告が上がっており、被害が拡大しているように思えます。

原因はランサムウェア。悪質なネット広告が原因で、サイト表示だけで感染する
原因は、人質ソフトとも呼ばれているランサムウェアと呼ばれるコンピュータウイルスです。
今回の場合、CryptoWall 4.0と呼ばれるウイルスである可能性が高くなっています。
(裏取れず、あとで詳しく調べますので一旦取り消しさせて下さい。11時50分)
こいつは感染すると、パソコンにあるデータファイルの多くを勝手に暗号化し、読めなくしてしまいます。
Windowsの復元ファイルもやられてしまい、復活できません。その上で「元に戻すにはお金を払え」と脅迫してきます。
仮にお金を払ったとしても、元に戻せる保証はありません。相手は犯罪者であり、お金だけとって逃げてしまう可能性が高いためです。

犯人は「悪質な不正広告」。ウェブサイトを表示しただけで、ソフトが古いと感染する
原因はサイト上にある広告(主にバナー広告)です。詳しい解説は、筆者の別の記事にまとめていますが、以下のことが原因です。
広告表示したら感染…ソフト最新化を急げ(読売オンライン:サイバー護身術)

●「.vvv」ウイルス=ランサムウェアの感染原因
・犯人はウイルスに感染させるサイトの宣伝を、広告業者に出す
・広告を貼ってあるサイトでランダムに表示される
・広告を表示するだけ(=サイトを表示するだけ)で、見えないところでウイルスに感染させるサイトへ自動誘導される
・パソコンに入っているソフトで攻撃されやすい弱点(脆弱性)がみつかると攻撃
・ランサムウェアに感染
・即座にパソコンのデータファイルを暗号化
という流れです。セキュリティ会社のデモンストレーションでは、サイト表示から、わずか50秒でファイルが暗号化されてしまっていました。
表示しだけでやられてしまうので万事休すです。
対策は「ソフト最新化」。「MyJVNバージョンチェッカ」で確かめて、最新版に変更する
対策は3つ。まずは対象のパソコンですが、Windowsはソフトが古いと感染する可能性があります。今すぐ対策を。
MacとiPhone・Androidでは、現状では被害報告なしなので、急ぐ必要はありません。
しかしウイルスに感染させるサイト(脆弱性攻撃サイトでのエクスプロイトキット)が、対応していないというだけなので、
今後は警戒する必要があります。

2: 海江田三郎 ★ 2015/12/06(日) 12:46:00.73 ID:CAP_USER.net

●「.vvv」ウイルスを防ぐ対策
1:ソフトを最新化する
脆弱性を防ぐために、OS=Windows、ブラウザ、Flash、Java、PDF表示ソフトウェアを最新版にします。
自動更新の設定にして、警告が出たらすぐに更新してください。
とは言え、どれが最新版かわからない人が多いでしょう。最新版のチェックには、下記のツールが有効です。
これで古いバージョンですと表示されたら、元のソフトの配布サイトへ行き、更新しましょう。
2:Windows Defenderをやめ「ふるまい検知」「不正なURLをブロックする機能」がある有料ウイルス対策ソフトに切り替え
Windowsデフォルトのウイルス対策ソフト、Windows Defenderでは防ぎきれません。怪しい動きをするプログラムをブロックする
「ふるまい検知」、既知の攻撃サイトをブロックする機能があるソフトをお勧めします。

具体的には、カスペルスキー、トレンドマイクロ、マカフィー、シマンテックあたりが良いでしょう。
3:SDメモリーなどに重要ファイルをバックアップ。DropBoxなどクラウドの自動更新を一時的に切り、手動バックアップしておく
データファイルをバックアップすること。外付けのハードディスクやメモリーに保存しておくのがベストです。
パソコンに接続したままのハードディスクでは、暗号化されてしまうのでアウト。物理的に外せるメディアにバックアップしましょう。

またDropBoxやiCloudなどのクラウドだけでバックアップしている人は、いったん自動更新を切り、
手動で別の場所に保存することもしてください。自動更新では暗号化されると、クラウド上のファイルも暗号化されてしまうためです。
まとめ:広告自動切り替えのサイトならどこでも感染の可能性あり
今回のランサムウェアでは、ソフトの弱点=脆弱性が狙われており、各種ソフトが最新なら感染しません。
なので、上記の対策1を実行すれば、安全性が高まります。
ただし知られていない脆弱性(ゼロデイと呼ばれる)があった場合、ソフトが最新でもやられる場合があります。
ですので、対策2と対策3は欠かせません。

●「.vvv」ウイルスまとめ
・ファイルの拡張子が「.vvv」になってしまい、読めなくなる悪質ウイルス=ランサムウェア
・ソフトが古い場合、サイトを表示しただけ=不正広告表示だけで感染
・対策は「ソフト最新化」「高機能のウイルス対策ソフト」「バックアップ」
なお不正な広告は、どこに出るのか明確にはわかりません。バナー広告の複雑なネットワーク場で動いているため、
どのサイトが黒か白かを判別できないためです。単一の広告配信業者を使っているところは大丈夫でしょうが、
複数のバナー広告を自動切り替えで出しているところは、すべて被害に遭う可能性があります。

詳しい情報が分かり次第、更新します。


関連
不正広告3700サイトの衝撃、トレンドマイクロ「ブログやまとめサイトなどが多い」
http://ascii.jp/elem/000/001/087/1087367/


4: 名刺は切らしておりまして 2015/12/06(日) 12:49:05.22 ID:UvnUCJdx.net

なんでトレンドにヴァルヴレイヴが入ってるのかと思ったらこいつのせいだった


7: 名刺は切らしておりまして 2015/12/06(日) 12:50:36.23 ID:sFj5IVR2.net

 
これが本当なら打つ手無いじゃん


9: 名刺は切らしておりまして 2015/12/06(日) 12:51:31.14 ID:8yFxs2al.net

これデマなんじゃないのか?


11: 名刺は切らしておりまして 2015/12/06(日) 12:52:33.68 ID:x8Ve56+q.net

エフセキュアのソフトを使って対策しようず


12: 大島栄城 ◆n3rBZgRz6w 2015/12/06(日) 12:53:29.77 ID:tq3+2ivU.net

>MacとiPhone・Androidでは、現状では被害報告なしなので、急ぐ必要はありません。

そうですかあ


13: 名刺は切らしておりまして 2015/12/06(日) 12:53:38.35 ID:+2/E4dsS.net

superfishの件も攻撃手段に入ってるだろうなぁ


14: 名刺は切らしておりまして 2015/12/06(日) 12:54:10.37 ID:BtSMBv0p.net

MSがウィルス対策ソフト屋と組んでやらせてるとしか思えない


15: 名刺は切らしておりまして 2015/12/06(日) 12:56:14.84 ID:h3x7DYKM.net

まじかよvw最悪だな


16: 名刺は切らしておりまして 2015/12/06(日) 12:56:31.46 ID:bqa92cPz.net

楽天とかバナーだらけだからな


18: 名刺は切らしておりまして 2015/12/06(日) 13:02:12.46 ID:KrJXnObt.net

よかったMacでw


19: 名刺は切らしておりまして 2015/12/06(日) 13:03:33.31 ID:Es3PkjpZ.net

早速こいつから復帰した俺が通りますよ
無料セキュリティ入れてたけど無駄だったわ
反応はしたんだけどなー
復元もセーフモードもやられるから
OS再インスコしか道はなし
まあPC汚れてたから調度良かった
快適だぜ


21: 名刺は切らしておりまして 2015/12/06(日) 13:03:43.97 ID:Clzk3zXM.net

草ウィルスか


22: 名刺は切らしておりまして 2015/12/06(日) 13:04:40.49 ID:8yFxs2al.net

デマとは思うがXvideoとドロップブックスとかヤバイらしい 


24: 名刺は切らしておりまして 2015/12/06(日) 13:06:30.17 ID:XdA/Qq3J.net

アドブロック+スクリプトブロック必須やね。


25: 名刺は切らしておりまして 2015/12/06(日) 13:06:31.28 ID:7OunF9nb.net

いつも思うが
こういうのて誰が作るの?
作ってもなんの利益にもならんだろうに
標的をピンで狙えるならわかるか


29: 名刺は切らしておりまして 2015/12/06(日) 13:09:13.00 ID:XdA/Qq3J.net

>>25
ものによって理由はいろいろだろうけど、これはデータを人質にした身代金詐欺だろ。


26: 名刺は切らしておりまして 2015/12/06(日) 13:06:46.91 ID:nXKdI/hX.net

これって大事だと思うんだが、なんでBiz板にスレ建ってんの?
それに凶悪なウィルスのわりにスレに勢いが無いし、
そもそも本当なのかコレ?


27: 名刺は切らしておりまして 2015/12/06(日) 13:07:29.15 ID:NL1o/n2W.net

こういうのってテロとして取り締まっていいんじゃないのか


30: 名刺は切らしておりまして 2015/12/06(日) 13:11:07.94 ID:u+VlaepJ.net

広告表示しないとサイト閲覧させねえ!

なんだと!?じゃあ嫌がらせしてやらあ!


かねえ


元スレ:http://anago.2ch.sc/bizplus/1449373553/