「vvvランサムウェア」はFlash脆弱性で感染、「Angler EK」で拡散 - カスペが分析

拡張子を「vvv」に変更するランサムウェアの被害が報告され、注目が集まっているが、カスペルスキーは、マイナーバージョンアップした「TeslaCrypt」であるとの見解を示した。

同社は、同ランサムウェアについて「TeslaCrypt 2.2.0」であるとの分析結果を示し、従来より存在する「TeslaCrypt 2.0」のマイナーバージョンアップで、拡張子「.vvv」の追加以外に大きな違いはないと説明。同社製品がインストールされているかチェックし、同社製品が導入された環境だと、感染しない特徴を持つという。

感染経路として、エクスプロイトキット「Angler」経由の拡散を確認。10月に「APSB15-27」で修正された「Adobe Flash Player」の脆弱性「CVE-2015-7645」を悪用していた。

同社製品では「TeslaCrypt 2.0」と同様、「TeslaCrypt 2.2.0」を「Trojan-Ransom.Win32.Bitman」として検知。同社の観測においては、日本国内における感染数はそれほど多くないとしている。

「TeslaCrypt」は初期のバージョンは、被害者が自身で復号ができることが知られている。しかし、「TeslaCrypt 2.0」では、強度な暗号化の機能を備えており、同社は被害に遭った場合に自力で複号化できる見込みはないとの厳しい見方を示している。

さらにWindowsに用意された「シャドウコピー」機能を使えなくするケースもあると指摘。同社は対策として、定期的なバックアップや、OSや各種ソフトウェアを最新版へ更新するなど、日ごろより対策を講じるよう推奨している。

（Security NEXT - 2015/12/07 ） ツイート

PR

関連記事

ランサム攻撃によりサーバやPCが被害 - 建設資材機械設備メーカー
工場向けMOMシステム「DELMIA Apriso」脆弱性 - 米当局が悪用に注意喚起
「情報セキュリティ白書2025」PDF版を先行公開 - 書籍は9月30日発売
ランサム被害が発生、製品出荷などに影響 - 業務用加湿器メーカー
ランサム被害で出荷停止、2日後より順次再開 - オオサキメディカル
ランサム攻撃でサーバやPC30台が被害 - 清掃用品メーカー
教員VPNアカウント悪用され侵入、不審検索履歴から発見 - 芝工大
サーバがランサム感染、情報流出は調査中 - ソフトウェア開発会社
ファイルサーバがランサム被害、データが暗号化 - 青果流通会社
ランサム攻撃、リモートアクセス機器経由で侵入 - サンリオ関連会社