「vvvランサムウェア」はFlash脆弱性で感染、「Angler EK」で拡散 - カスペが分析

拡張子を「vvv」に変更するランサムウェアの被害が報告され、注目が集まっているが、カスペルスキーは、マイナーバージョンアップした「TeslaCrypt」であるとの見解を示した。

同社は、同ランサムウェアについて「TeslaCrypt 2.2.0」であるとの分析結果を示し、従来より存在する「TeslaCrypt 2.0」のマイナーバージョンアップで、拡張子「.vvv」の追加以外に大きな違いはないと説明。同社製品がインストールされているかチェックし、同社製品が導入された環境だと、感染しない特徴を持つという。

感染経路として、エクスプロイトキット「Angler」経由の拡散を確認。10月に「APSB15-27」で修正された「Adobe Flash Player」の脆弱性「CVE-2015-7645」を悪用していた。

同社製品では「TeslaCrypt 2.0」と同様、「TeslaCrypt 2.2.0」を「Trojan-Ransom.Win32.Bitman」として検知。同社の観測においては、日本国内における感染数はそれほど多くないとしている。

「TeslaCrypt」は初期のバージョンは、被害者が自身で復号ができることが知られている。しかし、「TeslaCrypt 2.0」では、強度な暗号化の機能を備えており、同社は被害に遭った場合に自力で複号化できる見込みはないとの厳しい見方を示している。

さらにWindowsに用意された「シャドウコピー」機能を使えなくするケースもあると指摘。同社は対策として、定期的なバックアップや、OSや各種ソフトウェアを最新版へ更新するなど、日ごろより対策を講じるよう推奨している。

（Security NEXT - 2015/12/07 ） ツイート

PR

関連記事

国内組織の3割強が過去3年間にランサム被害 - 暴露予告や関係者への通知で圧力
複数サーバでランサム被害、アラートで気づく - ダイナムJHD
複数サーバがランサム被害、詳細を調査 - 日本盛
警察へのランサム被害報告、1年で倍増 - 目立つ「VPN機器」経由の侵入
ランサム被害で個人情報流出の可能性 - クロスプラス
「CODE BLUE 2022」の全24セッションが決定
サーバにサイバー攻撃、ランサムウェアか - NITTAN
ランサム被害、リモート接続の脆弱性が侵入口に - ニチリン
QNAP製NASを狙うあらたなランサム攻撃 - アプリの更新を
明治の海外グループ会社がランサム被害 - 犯行声明も