※当記事内にはめぼしい技術情報は無いからね。単なる体験記だよ。スクショとかもめんどくさいから貼らないよ。おのれこちとら感染してマジで悩んでるんじゃぁボケアホカスという心の余裕の無い方は他所へどぞー。

 

さて、あらゆるファイル拡張子がvvvに改変されてRSAで暗号化されてしまうランサムウェアがいたけれど、すっかり人気(笑)が落ちてしまったようなので、海外フォーラムを中心に情報集め。

vvv版はすでにPythonスクリプトで復号可能。詳しいことは日本語でも解説しているブログが多数あるので、それらを参照。

しかし亜種のver3.0？であるmp3版は未だ復号化の情報が見当たらない。

 

ってことで、ウイルスばら撒きで怪しいとされていた某サイトへれっつらごーｗ

そのサイト内からとあるリンクをクリックすると、5秒待ったらリダイレクト出来るよ！っていう広告表示。んで、リンク先へ無事到着。おいおい。

ワクテカしながら待っても何も起こらんので、またそのサイトに戻り、今度は片っ端からリンクを踏んでいく。

 

なんだよ、何もならん、デマ情報かよ。って思ってたところへ、タスクバーにお知らせ。「書き込み準備が出来たファイルがあります」？？

いやいや、ディスクとか焼こうしてないから！ってのも束の間。DropBoxがファイル同期を始める。

 

キターーーー！！拡張子がガンガンmp3に更新されていくよ！！どうもこのウイルスちゃん、あらゆるドライブにあるファイルを改変していくみたいだから、書き込み準備が～、ってメッセージはインスコしてあったVirtualCloneDriveか、あるいは既存の光学ドライブのファイルも何かいじろうとしたってことかな？

 

というか微妙にPCの動作が緩慢になるし、一瞬スクリプト走ったような感じだったから、感染した瞬間って実はわかりやすいのかも。どんなプロセスなのか見ようとしてもタスクマネージャーが開かんｗｗうはｗロックされてるｗ

仕方ないのでしばし待ってあげると、ブラウザ上にhtmlファイルと、そしてデスクトップに画像ファイルが表示された。

 

ランサムウェア特有のの身代金要求だね！ｗｗご丁寧に同一内容のテキストファイルもある。うーん、もしこれを英語じゃなくて日本語で書いてくれたら、かなりのジャパニーズが引っかかってくれると思うがｗ

あらゆるフォルダにそれら3ファイルが置かれた状態。mp3に改変されたものはもちろん暗号化されていてまともに内容見れないし、音楽鳴るのかな？なんて思って再生しても当然動かないｗ

 

txtやxlsx、docxはもちろんのこと、音楽ファイルや動画ファイルなどほぼ全滅ｗｗｗ

しかし不思議なことに、単なるテキストファイルであるはずのiniなどは無事。システムフォルダ内も改変しているくせに、そこらへんはスルーしているっぽい。あとはある程度大きな容量のファイルもスルー。例えば300MBの動画は改変されたけど、400MBの動画は無事。

 

んでもって、システムドライブ直下にいかにも怪しいランダム英文字列のexeファイルが置かれてる。ウイルス本体っぽい。別にそのexeの移動などは妨げられてない様子なので、ひとまずUSBに退避させておく。いま何か新しいファイルを作成しても改変される様子無し。

レジストリ開いてスタートアップ自動起動であるRUN部分を見ると、そのexeのパスが記載されてる。ってことはいったん全ドライブの処理が終わってしまえば、あとはひっそりなりを潜めていて、また起動時に何か新しいファイルがあったら改変していく気満々らしい。

 

一通り楽しんだところで、バイツァ・ダスト発動！！

はい、私、Comodo Time Machineをインスコしてます。実験直前にスナップショットとってあるので、全部なかったことに出来るんですよｗいやー、ウイルスちゃん、めんごめんごｗ

 

ここまでで、ひとまず感染時の構成まとめ。

Win7更新パッチ全当て。ただしUACは切ってる。Aviraちゃんの最新版でヒューリスティック高レベルでもウイルスをスルーした。ChromeとFireFoxはそもそもそのリンクを踏んでもリダイレクトしてくれなかった。しかたないのでネグレクトしていたIE8で踏んだらきちんと？リンク発動。FlashPlayerはバージョン19。

 

USBに退避させたものをPCに戻して、VirusTotalでチェック。ESETとQihoo-360とやらが反応した。ESETは事前情報で検出できるっぽかったからまだ分かるとして、Qihoo？聞いたことないよな、ってことでググると中華様製ｗｗまさかのマッチポンプってことはないよね？ｗｗ

 

強力なマルウェアには度々お世話になったことがあるMalwarebytesをインスコしてチェックしたらスルー。スクリプト系には強いと私が勝手にお気に入りのPanda Anti Virusでもチェックしたけど残念ながらスルー。パンダかわいいのに。。ｗ

まー単にファイルを暗号化してくだけっちゃだけだからねぇ。。正常な操作との区別付きにくいし、検出は難しいのか。 

 

さて追跡実験。UACをアクティブに。さらに今度はアンチウイルスをAvastにして同様にリンクを踏んでいく。インスコしているのはファイルシールドとWebシールド。IE8のFlashPlayerは20にした。

 

、、、、、、、、、、

 

何も起こらねぇ！！！Avastは要らんところでちょこちょこ反応してめんどくさいので(笑)、結局はシールドを全部無効にした状態で、かたっぱしから前回同様リンクを踏んでいくんだけど、まるでファイル改変が起こらない。。

なに、FlashPlayerのバージョンの問題だけなの？脆弱性突かれただけ？

 

というかね、そもそも感染時はIEのFlashアドオンは無効にしてあったはずなんだけどなぁ。このへんは記憶が正直定かじゃない。UACは機能するのかとか、Javaプラグインの穴も突かれるのかとか、Avastちゃんは反応してくれるのかとか、そもそもIEを9以上にしたらどうか、とか色々実験したかったんだが。

 

小一時間くらいリンク踏みまくったんだけど、ちっとも再現できませんでした。ちゃんちゃん。

それにしても、追跡実験での5秒リダイレクト広告に出てくる内容が、どうも変わってしまったんだよねぇ。初回時は結構アダルト系が出てきてくれたんだが、2回目はゲーム系とか懸賞系や怪しいソフトのインスコお誘いとかばかりなってしまったｗ

 

これを素直に解釈すれば、感染の成否には広告の提供元が関係してるってことだよねぇ。私が感染状態を楽しんでいるうちに、サイト側がきちんと対策を施したのか、または広告提供元がトンズラしたか、あるいは。。

 

さて、めんどくさいのでこれで実験は終了なんだけど、おそらく私が使用しているComodo Time Machineじゃなくても、類似のToolWizとかRoolBackRXとかでも、スナップショット機能あるいはサンドボックス的な仮想化機能のあるソフトがあれば、万が一感染してしまっても余裕でバイツァダストで解決できると思う。

 

あとはドキュメントドライブとしてDropBoxみたいなクラウドストレージ機能を使っていれば、改変されてクラウド上のファイルさえも同期されてしまっていても、それらの"以前のバージョン"はきちんと履歴に残されているわけでｗ

 

まー、たびたびこういうファイル改変の面白ウイルスはいるけれど、アンチウイルスや更新パッチで防ぐってことはもちろんのこと、ゼロデイ攻撃を見越して"もし被害を受けたらどう元に戻せるか"を考慮して、環境を構築しておいたほうがいいんじゃないかな。

 

しかしぶっちゃけ、ほぼtwitter"だけ"で話題になったTeslaCryptに関しては、怪しいサイト彷徨ったせいじゃねーの？と思うよ。だからこそ日本語での情報が少なくて、そして局地的だった。だって私が今回実際にリンク踏みまくってみたのは、そういう類のサイトだったからねｗ

 

触らぬ神に祟り無し。ってことで、おしまい。