「vvvランサムウェア」はFlash脆弱性で感染、「Angler EK」で拡散 - カスペが分析

拡張子を「vvv」に変更するランサムウェアの被害が報告され、注目が集まっているが、カスペルスキーは、マイナーバージョンアップした「TeslaCrypt」であるとの見解を示した。

同社は、同ランサムウェアについて「TeslaCrypt 2.2.0」であるとの分析結果を示し、従来より存在する「TeslaCrypt 2.0」のマイナーバージョンアップで、拡張子「.vvv」の追加以外に大きな違いはないと説明。同社製品がインストールされているかチェックし、同社製品が導入された環境だと、感染しない特徴を持つという。

感染経路として、エクスプロイトキット「Angler」経由の拡散を確認。10月に「APSB15-27」で修正された「Adobe Flash Player」の脆弱性「CVE-2015-7645」を悪用していた。

同社製品では「TeslaCrypt 2.0」と同様、「TeslaCrypt 2.2.0」を「Trojan-Ransom.Win32.Bitman」として検知。同社の観測においては、日本国内における感染数はそれほど多くないとしている。

「TeslaCrypt」は初期のバージョンは、被害者が自身で復号ができることが知られている。しかし、「TeslaCrypt 2.0」では、強度な暗号化の機能を備えており、同社は被害に遭った場合に自力で複号化できる見込みはないとの厳しい見方を示している。

さらにWindowsに用意された「シャドウコピー」機能を使えなくするケースもあると指摘。同社は対策として、定期的なバックアップや、OSや各種ソフトウェアを最新版へ更新するなど、日ごろより対策を講じるよう推奨している。

（Security NEXT - 2015/12/07 ） ツイート

PR

関連記事

サーバ9割以上が暗号化被害、セキュ対策ソフト削除も - 鉄建建設
「Emotet」対策でパスワード付きzip添付ファイルのブロックを推奨 - 米政府
約4割でインシデント被害、対応費用は約1.5億円 - 4.4％が「Emotet」経験
クラウドのシステムが暗号化され脅迫受ける、詳細は調査中 - ベルパーク
【不正チャージ問題】金融機関口座の取引履歴、「合算」表示に注意を
マルウェア「Emotet」が巧妙化、国内で感染拡大 - わずか1.5日で相談23件
ランサムウェアに感染、障害が発生 - 経済同友会
セキュソフトに新版、リモート接続の保護機能を搭載 - Avast
「Emotet」の脅威 - 組織やビジネスへの影響を考える
クラウドでのデータ侵害、構成ミスが8割強 - IBM調査