ファイルをVVVに書き換えるランサムウェアの蔓延とWin10のアップグレードで感染する事例が急増の懸念【12/13 8:00更新】
データVVVファイルに変わってファイルが開けなくなった。- Windows NT・2000 | 教えて!goo
| 全てのデータファイルが知らない間?に勝手にVVVファイルに変わってしまい、開けなくなった。 因みに、まだ一部XPで作業していますが、外付けHDD内のファイルは大丈夫のようです。パソコン内のデータの 拡張子が.VVVに書きかえられ(後ろに追加され)、ファイルのデータが壊れているような・・・。 新しく作成して保存したデータは開けます。 何か良い解決策があれば教えてください。当方、PCはそれほど詳しくありません。 |
ファイルの拡張子がどんどん .vvv になっていくという怖い話 | 大工の息子は大工
| 弊社の取引先の方から何やら奇妙な内容の電話がありました。 それは「お客様のサーバーの共有フォルダのファイルの拡張子がどんどん .vvv になり開けなくなっている」というものでした。 真っ先に、これはウィルスの仕業だな・・・と思いながらネットで検索・・・ |
たまたま、Windows 2000コーナーに書き込まれたよくPCの分かっていないらしい人の書き込みだったので
あー、ウィルスだなぁ・・・と思って生暖かく見守っていたのですが
New TelsaCrypt version adds the .VVV Extension to Encrypted Files
| 新しいバージョンのTeslaCryptは暗号化されたファイル名に.VVV拡張子を追加します 新しいバージョンのTeslaCryptのランサムウェアがリリースされましたが、ほとんどの部分は、以前のバージョンと同じです。 最も顕著な違いは、この新しいバージョンは暗号化されたファイル名に.vvv拡張子を追加することです。 その他の変更は、新たな身代金ノートのファイル名と異なるTOR支払いサイトのゲートウェイが含まれています。 身代金ノートの新しい名前は、形式how_recover + abc.htmlとhow_recover + abc.txtです。 TeslaCryptの.VVV版は無料で復号化することができません |
ランサムウェア(身代金要求ソフト)みたいですねgooのやつは11月29日の投稿。
これは11月30日の記事なので同じウィルスでしょう。
ところが…。
| VVVのウイルスなんだなんだ??と調べた人が感染してデータおじゃんになってるみたいなので興味本位で調べないこと |
閲覧しただけで感染する不正ネット広告が急増、トレンドマイクロが注意喚起
| トレンドマイクロは2015年12月3日、インターネット広告を閲覧しただけでパソコンをマルウエアに感染させる「不正広告」の被害が国内で深刻化しているとして、注意喚起した(写真)。「見た目だけでは攻撃に気づけない上、複雑な広告配信ネットワークに紛れ込むことで、追跡も困難だ」(同社 シニアスペシャリストの森本純氏)。 |
どうも、検索サイトで、VVV について調べただけで感染してる人が居る模様。
広告経由らしい?
このサイトに詳しく書いてる
Verwijder TeslaCrypt en herstel .vvv gecodeerde bestanden |
| ランサムウェアTeslaCrypt は以下のファイルを暗号化する
sql, |
ただし、このサイト、偽セキュリティソフトの SpyHunter 4 で除去することを薦めてるのがやばいw
何信じていいのかわからないっすねwwww
未だに SpyHunter に引っかかる人がいる件
SpyHunter-Installer.exe が出てきたらそっと閉じましょう
Teslacrypt v8 Infection, possible private Key - Virus, Trojan, Spyware, and Malware Removal Logs
Virus hangt an alle Dateien .vvv
Cryptolocker new and improved: Cryptowall 4.0 - fixedByVonnie
感染対象は不明だけど、Windows 7や8.1や10のx64 で感染してる人が居る
セキュリティソフトいくつか試してるみたいだけど、検出できてないね・ω・;
で、問題なのが、Windows 7や8.1を使ってる人のPCのWindows 10への強制アップデート
AVG ニュースルーム - 重要なセキュリティ情報 | セキュリティ対策ソフト、ウイルス対策ソフトのAVG
| Windows 10 のインストール後、AVG がご利用できなくなる場合があります。 これは通常、Windows 10 へのアップグレード前にインストールされていたAVGのバージョンが、互換性のないものであったことが原因です。 この場合は、AVG 2015 を改めてインストール、アクティベートしてください。 |
Windows 10の環境でウイルスバスター クラウドが起動しない | サポート Q&A:トレンドマイクロ
| 一部のWindows 10 環境において、ウイルスバスター クラウドが起動できなくなる事象を確認しています。本事象は「トレンドマイクロ コネクト」または「セキュリティ脅威マップ」がインストールされている場合に発生する可能性があります。 本事象が発生した場合、下記の方法で「トレンドマイクロ コネクト」または「セキュリティ脅威マップ」がインストールされているかご確認ください。 |
一部の Windows 10 環境でOSのメジャーアップデートをおこなうと、ESET製品が正常に動作 | ESETサポート情報 | 個人向け製品 | キヤノンITソリューションズ
| ESET製品をご利用の Windows 10 環境において、2015年11月12日より順次配信が開始されております、Windows 10 のメジャーアップデート(ビルド番号 10586)を適用した際に、ESET製品に以下の不具合などが発生する可能性があります。
ウイルス・スパイウェア対策機能が無効になる |
Windows 10 にアップグレード後、ノートン製品が見つからなくなった
Avast!も
Avast FAQ | Avast 2015 Compatibility with Windows 10 FAQ
| Only Avast Antivirus 2015 R2 and R3 are compatible with Windows 10. |
と言っていましたが
Avast 2015 R4 正式版 10.2.2233 リリース
| AVAST 2015 R3 SP1 のバグ修正版となるAVAST 2015 R4 (2015.10.2.2233) がリリースされました。
Windows 10 へのアップデート後、FirefoxでHTTPS証明書に発生する問題を修正 |
障害発生しています
Windows 10 Firewall? - Bitdefender Forum
| Has anyone had trouble with the BD for Endpoints firewall being disabled even though the assigned policy calls for it to be turned on? This is on Windows 10. The firewall never enabled and Windows complained about no firewall for a while. I finally turned on the Windows firewall but am wondering why I can't get it to turn on. It even reports off in the computer view of Gravity Zone (and on the local computer when you check module status). But simply can't seem to get it to turn on. |
BitDefenDer も10月の時点で機能が有効にならない障害が
どうも、アップグレードしたら、一部大半のセキュリティソフトが動作しなくなるケースがあったみたいなんだけど、 Windows 10には Windows Defender がインストールされていると、アンチウィルスが入っていなくても警告が出なくなるというお節介機能があるらしい。(11月末に一応修正は入ったらしいけど…)
つまり、Windows 10にアップグレードしたPCがセキュリティソフトが入ってるつもりでも動作していないというユーザーが急増しているのだ
警告が出ないせいで、気づかない人が多くて、対応も遅れているという悪循環
もう、こうなると、欠陥OS以外の何ものでもないと思うんだけどww
追記
Delete Trojan:Win64/Patched.AZ.gen!dll Virus Thoroughly - RemoveAllThreats.com
Trojan:Win64/patched.az.gen!dll HELP - Microsoft Community
SpyHunter 4の技術者が書いてる記事なんであれなんですけど、 VVVウィルスは
Win64/Patched.AZ.gen!dll という名前から、64bit ターゲットのウィルスみたいで Windows XPから10まで観戦するっぽい。同名のウィルスが Windows 10でも感染報告が上がっている
つまり、Windows 2000は安全 #そうじゃない
※どうも、除去方法に名前を出さずに、除去ツールとして、SpyHunter 4 のインストールを薦めてるサイトが激増してるので、入れないように
海外ではニュースサイトに掲載され始めた模様
Remove and decrypt .vvv file extension virus | Nabz Software
Nabz Software Suite Integrates Removal of the New TeslaCrypt Ransomware Virus | Virtual-Strategy Magazine
例えば、『vvv』をキーワードで検索したサイトを表示すると、セキュリティホールがあるPCの場合感染する恐れがあります
追記と訂正 9:00
ニュースサイトのTeslaCrypt と CryptoWall の記事が同時に出てた上、TeslaCrypt の感染を CryptoWall って呼んでるサイトがあった ので、ウィルスベンダーみたいに呼び方を変えてる同じものだと思ってたんですが、 CryptoWall を模倣したのが TeslaCrypt で、別物ですね。すみません
Heimdal Security Blog
New TeslaCrypt version Released with Minimal Changes
2015年5月ごろ CryptoWall が感染方法の強化を行い、TeslaCrypt 2.0 が同じアプローチをとるようにリリース。誘導サイトは CryptoWall ものを流用して作成されている
2015年10月13日に TeslaCrypt 2.2.0がリリースされ、拡張子が ccc して身代金を要求するものとして作成、2015年11月下旬に拡張子を cccではなく vvv にするものがリリース
12月上旬から猛威をふるってるのがCryptoWall とTeslaCrypt の最新版の2種類
Linux.Encoder.1 - Wikipedia, the free encyclopedia
Linuxランサムウェアが登場--だが「設計上の大きな欠陥」も - ZDNet Japan
ちなみに、11月5日、Linux にも類似したマルウェアが登場してるので、Windows じゃなかったら安心というわけでもないっす
このLINUXのランサムウェアとTeslaCrypt 2.0には暗号化のアプローチに同じ問題があって、フリーソフトで復元できてしまうという話でした。
しかし、10月に修正されたバージョンでは復元はできないそうです。
CryptoWall の記事とごちゃ混ぜになってるので分離しました
| ランサムウェア「CryptoWall」に新手の亜種、2段階攻撃で拡散 - ITmedia エンタープライズ Bitdefender Releases Cryptowall 4.0 Ransomware Vaccine - Spiceworks Cryptolocker Canary - detect it early! - Spiceworks ウィルス名は CryptoWall 4.0 で確定みたい。発生時期は 11月上旬 IEを使ってたり、Java / Flash が古いと確実にアウト ですね。 Bitdefender Offers CryptoWall Vaccine | Bitdefender Labs CryptoWall は vvv の拡張子はつけません |
なお、TeslaCrypt系の亜種は CryptoWall や CryptoLocker を名乗ってるものもあり、一部のベンダーはTeslaCrypt の検出名がそれに準じているそうです
Trojan.GenericKD.2876052 - Installs itself for autorun at Windows startup
ここからたどったところ、ウィルスの正式名が下のやつ
NUEVA VARIANTE DE TESLACRYPT QUE ANADE VVV A LA EXTENSION DE L...
Avira TR/Crypt.Xpack.335834 20151202
Bkav HW32.Packed.5B79 20151202
ESET-NOD32 a variant of Win32/Kryptik.EGTX 20151202
Kaspersky Trojan.Win32.Yakes.npmg 20151202
Panda Generic Suspicious 20151201
Qihoo-360 QVM07.1.Malware.Gen 20151202
Sophos Mal/Ransom-DK 20151202
これっぽいですね・ω・
12月2日の時点で、57社中7件のみ検出可能
ESETのセキュリティ更新見たら亜種が12月1日に10数個登録されてる…。
ESET / Avira / Kaspersky / Sophos なら検出できるのかも
Updated PClock Ransomware Still Comes Up Short - Palo Alto Networks BlogPalo Alto Networks Blog
UAC あるか
ら、Windows Vista 以降なら安心とかいう人を見かけましたが、
暗号化されるのは、ユーザーファイルで普通の権限で読み書きされるやつです。
ファイルの書き換えにはUACは不要です。
必要なのは復元ポイントの削除位・ω・?
このサイトの説明だとUAC出てくるって言ってますね(古いバージョンですが)
ただ、TeslaCryptの亜種というか、オリジナルである CryptoWall 4.0 にはセキュリティホール探す機能もあるようなので、セキュリティホールをついて、UACをバイパスして権限を昇格してダイアログが出ない恐れもありますね
間違ったランサムウェア対策について
対策については
・こまめにバックアップを取る(復元ポイントはウィルスに削除されたら意味がないので信頼しない)
・Java/Flash は(クリックしないと動作しないようなQupZilla や Otter Browser がおすすめ)
・古い Java/Flash は使わない
・IEを使うなんてとんでもない!
と書きましたが、対策として
| 1:Javaを常に最新版にする 2:Adobe Reader /Flash Playerの更新 3:WinUpdateを最新にする |
を挙げていた人が居たので補足。
最近は、Adobe 製品や Java のゼロディをついてくるマルウェアも出現しています。
だから、最新にすれば対策になるかというと、残念ながら気休め程度にしかなり確実とはいえません。
※FlashPlayer はもはや、安全なPluginとは言えないという意味で、 さんざん別記事で更新の重要性を書いてるように、更新に意味がないという意味ではありません
・FlashなどのAddonが自動実行されないように設定する
・FlashなどのAddonが自動実行されない QupZilla や Otter Browser などのブラウザを使う
・広告をブロックする
を行わないと意味がありません。
追記 14:00
『膨大な動画ファイルを1~2分で暗号化するなんてデマだろう?』って話がありましたので補足
・ファイルの先頭1クラスタだけ暗号化するならたとえファイルが10万個あってもストレージアクセスの速いマシンなら1分以内に完了するよ・ω・
#現在、ウィルスの拡散はそれほど広まってない模様。
それよりも、SpyHunter 4などの偽ソフトを海外のアフィリサイトが大挙して公開してるという現状なので、それにつられてワクチンと称した、偽ソフトを入れないようにねっていう現状になってる。
ウィルスのサンプル
Antivirus scan for bb1bc9d48333b6f42426b78a038bc514542848e43cb72183de723f2e532c2cf5 at 2015-12-05 05:13:26 UTC - VirusTotal
Antivirus scan for b43eb03c3df9db7399d108a19101f8541c4e905c20cd634927796c02da6fbc16 at 2015-12-05 12:58:12 UTC - VirusTotal
幾つか亜種あり。12/1の時点ではほとんど検出できなかったのが AVG/Avira/ESET/Symantec/Windows Defender などでも検出可能になった模様
ウィルスバスター、AhnLab-V3、Sophos、nProtect などは漏れるおそれ
TeslaCrypt の新しいバージョンが Flash Player などの脆弱性をついて感染する実演動画。
とあるセキュリティソフト(Kruptos 2 Pro)では感染をブロックできたよっていう宣伝ですね。
TeslaCrypt new version adds the .VVV Extension!Angler-EK-sends-TeslaCrypt-malware-and-artifacts! - YouTube
デマと思われる情報のまとめ
・Windows 8以降は感染しない(Windows 10での実証実験があるので感染します)
・Flash / Java が最新なら感染しない (ゼロディがあるのでそうとも言えません)
・有用な除去ツールがある(SpyHunter は偽セキュリティソフトです)
・vvv ウィルスなんて存在しない(ウィルスは実在します)
・vvv ウィルスが恐ろしいほどの感染力を持って広がっている(すでに、いくつかの広告サイトがブロックされたというセキュリティ報告が上がっているので、そこまで爆散しているかは疑問です)
・暗号化されたファイルを保存しておけばいずれセキュリティベンダーがまた復元ツールを出してくれる(今回は問題点が解決されてるので、その望みは薄そうです)
・まとめサイトに行くと感染する (おそらく、まとめサイトが嫌いな人のデマ、ただし広告で感染する恐れがあるというのは本当なので、注意すること)
デマの2次ソース: 拡張子を全てvvvにされる「VVVウイルス」は身代金要求型ウイルスで感染源はWEB広告か?Windows10での感染報告も | 林檎舎
TeslaCrypt 感染経路の根拠
2つ前のバージョンですが、TESLACRYPT 2.1 による感染パケットの抽出について述べられているサイトがありました。
Malware-Traffic-Analysis.net - 2015-10-27 - Compromised WordPress site --> Angler EK --> TeslaCrypt 2.1
サイトの閲覧、IFRAME によってANGLER EKの呼び出し→セキュリティホールの抽出 → TESLACRYPT 2.1
なので、ブラウザによる閲覧が感染原因で、ソースは 広告かサイトの改善によるIFRAMEの埋め込みと考えてよさそうですね・ω・
※ただしアフィサイトの広告が感染源だというソースはありませんし、感染者数が少ないため日本サイトの広告ではないと思われます
追記 23:00
『この件について「Adobe 製品や Java のゼロディをついてくるマルウェアも出現しています」というのはFUDでは』
というコメントについてですが、このマルウェアがサイトに埋め込む、ANGLER というマルウェア抽出ツールを使って、ダイナミックに脆弱性となる コードを送り込んでいるので、Adobe や Java のゼロディが発見されると、いち早く対応して攻撃してくる可能性が高いのです。決して誇張しすぎという話でもないと考えています。
最初に挙げた CryptoWall に至っては複数のツールを使って感染
の確度を高める工夫がされており。ランサムウェアはどんどん改良されています。信頼できないサイトでは Add-onを絶対に使わない、位の対策をしないと危険な時代になってしまったのだと思っています。
まぁ、うちの Windows 2000みたいに従来の脆弱性ならば、どんなものでも感染しないようなソリューションを突っ込むっていうのも手ではあると思います ・ω・
追記 12/7 8:30
ランサムウェア CryptowallのWindows10感染について、実際に感染して挙動を確認しました - cabvmのブログ
リンク先、Cryptowall になっていますが、 vvv ランサムウェアなので、 TeslaCrypt の亜種の様です。
12/7時点で 全てのWindows Update を適用した Windows 10 の Defender で検出できない亜種があるそうです。
このウィルスと Flash Player の今後出てくるゼロディが組み合わさると 最新のセキュリティホールが適用されている Windows 10でも感染するということになります
追記 12/7 10:00
Windows 7に関する感染事例は十数件見てきましたが、Windows 8系や Windows 10の感染事例は極端に少ないです。
これは、現在蔓延している TeslaCrypt がFlashPlayerの脆弱性を使っているため、自動的にWindows Update を適用していれば Flash Player が最新になる Windows 8.1 やWindows 10 では現在ゼロディが存在しないため、サードパーティの Firefox などで脆弱性を放置していたケースに限定されるためだと思われます
ただ、Windows 8.1た 10が自動でパッチを充ててくれる反面、自分でパッチをあてた方が早いのになかなかリリースされずに脆弱性が2~3日放置されるケースがあるのが問題ですね
(そういう期間は、IEを使わないようにするしかありません)
CryptoWall にせよ TeslaCrypt にせよ、脆弱性検出ツールをサイトに埋め込んで使っている以上、新しい脆弱性が発見されれば、再び感染するようになるのは必須です。
決して安心せず、日々対策してください ・ω・
追記 12/8 15:30
タイトルが不評なので
後半を『Win10の強制アップグレードで感染する事例が急増!?』
から『Win10のアップグレードで感染する事例が急増の懸念』
に変更しました
少し前のバージョンの TeslaCrypt ですがWindows XP で感染したというソースです
Threat Spotlight: TeslaCrypt – Decrypt It Yourself
| Hi, I tried using you tool but on infected machine (windows xp) I recive error TeslaDecrypter is not valid win32 application. Then I copied key.dat file from infected machine on other pc with windows 7 64bit. When I tried run the tool I recive "Warning! The "key.dat" file doesn't include the master key."... Any suggestion for next steps? Thanks, Dushan |
『やあ、あなたのツールを感染マシン(Windows XP)で使ってみようとしたのだけど、TeslaDecrypter が有効な Win32 アプリじゃないと表示されたよ』
| I cannot run it on XP? Please assist. I have a huge amount of files that have been affected. Will appreciate your assistance. |
『XPでは起動できないの?サポートしてください。たくさんのファイルが影響を受けました』
| Thank you Craig. I can confirm this latest tool works in XP. Unfortunately for me, the key.dat file does not contain the Master Key. I guess the clue was there in that the file was last modified once all my other files were encrypted. |
『ありがとう、Craig. 最新のツールはXPで動くのが確認できました。しかし残念なことにkey.dat がマスターキーに含まれていません。』
ウィルスには感染したけど、修復ツールがXP サポート外にされててひどい目にあってますねw
後、Windows 10の強制アップデートなんてないって人居ますが、
周りに、Windows 7から、意図せずに 10に上がったって人が何人もいるし、
アップグレードキャンセルしても、Windows 10のイメージをダウンロードしてくる、
何度も通知が出る。など
『PCのエキスパート』からすれば強制じゃなくても、『大半の一般人』からしたら
アップグレードが強いられてる様にしか見えないと思うんですけどね。
12/13 8:00 追記
【セキュリティ ニュース】請求書の偽装メールで「vvvランサム」が国内に拡散 - 複数ベンダーが検知(1ページ目 / 全1ページ):Security NEXT
なんか、メールでウィルスが国内で拡散してるみたいですね。・ω・
Windows 10使ってる老齢の知り合いから感染したって、電話かかってきました
うっかりJavaScriptのメール開いちゃうと感染するので、妖しいメール平気で開いてる人は
感染しても仕方ないですね。(以前、彼にはウィルスの感染源がメールだって分かったので、
不審なメールは開かないように言っておいたんですが)
ベンダーは国内を狙ったものではないとはいっていますが、私は
日本国内でTeslaCrypt の感染実験をやってみた人が大量にいるため、日本犯人が取りあえず、てっとり早く拡散できるメールルートで日本にばらまいてみたんじゃないかなと見ています。ひょっとすると国内のサイトの書き換えも近いうちあるかもしれません。
皆さんご用心を
・HTMLをそのまま表示できるメールソフトは使わない
・HTMLのScriptをブロックできるソフトは、セキュリティ機能を有効にしておく。
・できるだけ知らないところか来たメールは開かない、もしくは、テキストベースで確認する。
・添付ファイルがある場合は特に気を付ける。
・メールのリンクは踏む前に、URLを確認して、国内のサイトでも、virustotal.com などのチェックをかけてから開く。
Translate
記事のタイトルからまるでWindows10が
感染源のような印象を受けますが
Windows10にするときに、対応していないアンチウイルスを削除するかどうかの問題をこじつけてみえませんか?
例えばノートンは現時点でVVVに対応していないのでWindows10アップグレード時に削除しても同じです。WindowsDefenderが先にVVVに対応する可能性もあります。
ありがとうございます
Windows 8からWindows DefenderがMSE相当になって巣の状態でも警告が出なくなったんですよね
Windows 10へのアップグレードでウイルス対策が不良を起こすこともさることながらアクションセンターの通知も結構お粗末
試しにESETの体験場入れてから保護を無効化してみたら通知が奉持されるもののポップアップはしばらくしたら消えるし、通知領域のアクションセンターのアイコンに「!」が付くなんてことはなくただ白くなって通知があることを知らせるだけだし、クリックすれば通知の履歴を見れるけどクリアを押したら全部消えてなくなってさも何もないような状態になるっていうね
Windows 10がこのウィルスの感染源というところまではこじつけるつもりは全くないですが、
Windows 10のUpgradeによる改悪が、感染源になる可能性があるって話をしたかったのです。
対応してないアンチウィルスの削除の話とは別で、対応してるのに、アップグレードで
動かなくなった事例がいくつか報告されています。
これについては、注意喚起するのは必要だと思います。
TPを含めて2年間のWindows10対応期間があったのにもかかわらず、対応できてないセキュリティソフトベンダーや
感染の原因であるFlashやJavaの脆弱性ではなく、真っ先にOSを叩くの姿勢はどうなんでしょうね
単に私怨としか思えない、バイアスのかかったエントリだと思います
貴重な情報ありがたいです。
Flashゲーム(艦○れ)やってる身としては他人事でなく戦々恐々としています。
IEエンジンを使っているゲーム専用ブラウザを使ってIEは使わないようにする事と、常用ブラウザ(chrome)はFlash禁止にする事で少しは予防効果はあるのでしょうか?
すいません。質問なのですが、chromeではクリックしないとflashが実行されないようにしているのですが、javaについても同様の設定はありますか?
どっちかというと、TH2 のリリースでさらに問題が顕在化した感じなので、
セキュリティベンダーが悪いというよりも、互換性を維持できずにバグを出しまくってる
Microsoftの方が悪いです。
Windows 10 TH2 のセキュリティアップデートのバグに関してもまだなおってない現状ですし、
今までの Windows のマイナーアップデートの中でも群を抜いて酷い状態です
IEのエンジンを使ってるブラウザを使うのはあまり意味がありません。
IEの場合はJavaScriptの脆弱性とActiveXを悪用されるケースが多いです。
不要なActiveXを全部無効にし、Scriptも許可サイト以外制限すれば多少は効果は
期待できます。(互換ブラウザの場合もその設定を使用するようにする)
でも、互換ブラウザはやはりIEと同じようにお勧めできません
Chromeは他にJavaやShockwaveのアドオンが入ってると影響を受けます、
Flash以外にも極力無効にしておくのが予防効果になります
Chrome にはFlash や Javaをクリックして実行する機能はなかったと思います
無効にしておいた方がよいのではないでしょうか
>>10
申し訳ありません。それはjavaのことですかそれともflashplayerのことですか?
6です。
やはりFlashを使う以上リスクは下げられないようですね。
当面の間FlashゲームはサブのWinタブで遊ぶようにします。
感染しても被害が少ないので・・・。
ご助言ありがとうございました。
この手の攻撃への対策は
NoScript+RequestPolicy+AdblockPlus+Tube Enhancerで安定w
現在Twitterで広まっているREY氏(https://twitter.com/rey1229)の注意喚起文のソースのひとつとして貴ブログがあげられていますが、この画像についてはどうお考えですか?
https://twitter.com/rey1229/status/673384876117069824
それは私も把握しています
…が、うちで 明け方書いた誤った情報を参照したと思われる個所があるので、
画像で固定して著作権(責任)放棄とかいわないでちゃんと新しい情報に
更新すべきだと思いましたね
書きっぱなしだと、アフィで悪名高い某サイトと変わらんですから・ω・
大規模アップデートで「完全に」互換性を維持できているOSって存在するんですかね?
既にMS側で対処しているか、修正パッチや再インストールで治ることを、こじつけて叩いているようにしか思えません。
うちのブログで問題にしてる不具合は2件とも直ってませんし、修正パッチすら出てません
そんな中途半端なOSの肩を持つかどうかはそれこそ好みの問題だと思います。
いいものだと判断していれば、推していたでしょうけどそうじゃないと私は考えています。
自分が買ったはずのセキュリティホールが、動いていなくて、Windows Dedender が
動いているせいで、警告が出ない。この状態で感染したら、腹立たしいと思いませんか?
そのせいで、ランサムウェアに感染する可能性もあり、至極当たり前のはなしだと思います、
ゼロデイ攻撃があるから最新版にするだけでは意味がないというのはごもっともですが、今回の騒動もそれが原因とお考えでしょうか?
ゼロデイ攻撃が行われ、騒ぎになるレベルで感染が広まったのであれば、セキュリティソフトを作成している企業や研究家、あるいはIPAのような組織やマスコミが何らかのリアクションを取ると思うのですが、今のところそういった情報はありません。
今後の対策や考え方として必要とは思いますが、今回の件に関してゼロデイ攻撃のリスクを殊更に強調し、アップデートの重要性を軽視するのはどうも納得がいきません。
他の方も仰っていますがかなりバイアスが掛かった印象を受けますね。
好みの問題とかじゃないと思いますが。
私からしたら「そうじゃない」という但し書きがあるとはいえ、「Windows2000」を持ち出してるあたりで全く説得力ないなと。
β版も出ていて検証時間もあったにも関わらず正式版まで対応しなかったセキュリティソフトの方に”も”落ち度があると私は思いますがね。
>Windows Dedender が動いているせいで、警告が出ない。この状態で感染したら、腹立たしいと思いませんか?
「警察がそこで取り締まっていたせいでたまたまスピード出してたら違反で捕まった。警察氏ね」と言ってるようなもんですね。
64bit の Windows2000の件はSpyHunter の技術者が書いてるネタなので、私もあんまり
信用していませんし、Windows 2000 Blogのネタとして使わせてもらったという程度なので
あまり目くじら立ててほしくないです
>Windows Dedender が動いているせいで、警告が出ない。この状態で感染したら、腹立たしいと思いませんか?
「警察がそこで取り締まっていたせいでたまたまスピード出してたら違反で捕まった。警察氏ね」と言ってるようなもんですね
私からしたら、セキュリティソフトがインストールされているであろうことは検出できるでしょうから
『セキュリティソフトが無効になっているので、Windows Defender を有効にしますか?』
みたいなワンクッションがあるべきだと思いました。
例えるなら、『君の家の鍵締め忘れてたのに気付いたから、隣の人に不審者が来ないか頼んでおいたのだけど空き巣に入られちゃった。てへぺろ』『なんで、かかってないの教えてくれないんだよ!』 って方がふさわしいです。
≫アップデートの重要性を軽視するのはどうも納得がいきません
アップデートの重要性自体は別記事でも・・・さんざん書いてるので。
軽視してるのではなくて、関係ないサイトではもうFlashPlayer などを有効にすべきではない・使うなって話です。
最新にすれば安全と考えるよりは、アンインストールや無効にした方がいいと思っています。
日本ではリアクションはありませんが、海外ではニュースにもなってるし、研究家が何人か
報告書も書いています。TeslaCrypt が使っている脆弱性検出は過去にゼロディの一式も
含まれていたことで知られているものなので、最新版にさえすればいいという考えは
危険だと思ったので、こういった書き方になりました。
とはいえ、読み返してみると少し乱暴な表現だと思いますので、若干修正させていただきます。
Chrome 45以降はNPAPI廃止でJavaやShockwave Playerを使えなくなったので、JavaやShockwave経由で攻撃されることはないはずです。またChromeは[設定]-[詳細設定を表示]-[プライバシー]-[コンテンツの設定]-[プラグイン]-[プラグインコンテンツをいつ実行するかを選択する]でCTPを有効にできます。
> Chromeは[設定]-[詳細設定を表示]-[プライバシー]-[コンテンツの設定]-[プラグイン]-[プラグインコンテンツをいつ実行するかを選択する]でCTPを有効にできます。
これで、右クリックから実行するタイミングを指定できるんですね?
Chromeは使っていないので助かります
広告が感染源の根拠となっている情報が知りたいです。
どこを見てもそこが曖昧なままどこのサイトで感染したなどの情報ばかりでてくるのでいまいち実態が掴めません。
一番最後に書いたように感染源は IFRAME によるWebアクセスということしかわかりません。
恐らく悪意のあるスクリプトに書き換えられた海外のページの閲覧か海外の広告という線が濃厚です。
日本サイトのブログの広告に仕込まれていたとしたら、もっと大騒ぎになってるはずなので、
大手サイトの広告が感染の根源になってるというのがデマなのはほぼ確実です。
> 望ましくないソフトウェアサイトとして報告されています!
>
> この Web ページ (w2k.flxsrv.org) は望ましくないソフトウェアサイトであると報告されており、セキュリティ設定に従いブロックされました。
誤検出でしょうけどセキュリティ関連の話題をしてる時に
妙なタイミングの良さ(悪さ?)でアクセス遮断されて
ちょっと笑ってしまいました。早く遮断解除されますように。
もう十何年以上も前の話になりますが、HanGameのActiveXを悪用して見ただけでインストーラをダウンロードして実行させられるサイトを踏んだことがあります。
Flash,Java,silverlightは0-dayにしてもすぐ誰かが発見したり報告があるんでしょうけど、チョンゲのWebログインとかのActiveXはマジ信用しないほうがいいかもしれませんね。
幾つかコメントにあるように、OS側が大体悪いと言う論調は良くないと思われます。
β版期間を十分設けていたのでその間に検証や対策を取れたベンダーにも落ち度があるのにそこに触れないのはアンフェアです。
今回の一件は本当に悪いのはランサムウェアであって検知出来なかったアンチウィルスや改悪されたOSではありません
叩くなとは言いませんが、ランサムウェアと同列に悪いように書くのは間違っています
うちも仕事で Windows アプリ作ってて、Windows 10対応β時代からやってましたが、はっきり言ってあてにならないものでした・
Buildごとに仕様が変わり、今までエラーだったものが次の月では、エラーではなくなったり。
ベンダーの立場からいうと。『Microsoftが正式リリースするまで、仕様があてにならない』
って状況でした。それをベンダーが悪いと言い切るのは無理があります。
先月リリースした TH2 にしても、バグだらけで、いまだに起動できなくなるような不具合も
残ったままでお勧めできるような状態ではありません。
上のコメントでも言いましたが、セキュリティソフトが入ってるのに無効になってるのならば、
その警告を出すべきで、ユーザーが気づかないような仕様にするのは明らかにおかしい
という話です。
Windows Defenderはセキュリティソフトではないとでも?少なくとも12/1の時点でまだ対応できていないウイルスバスターよりは優秀だということを今回の件も示しているわけですし。
ですから、対策を練る時間もあったはずです。
無効になるなら、OS側だけでなく当のセキュリティソフトも警告を出す等のアクションも取れた筈だと言いたいのです。
β版のときには性質上、仕様が大幅に変更になるのはあながちありえなくない話です。
無論、M$側にも問題はあるでしょう。しかし、記事の書き方や誘導方法だと一方的な論であるという印象は拭えないでしょう。
Win10UPGで無効になってしまったセキュリティソフトもある一方、きちんと対策が取れているソフトもあるということも忘れてはいけません。結局、無効となってしまったソフトにも何らかの落ち度があったかもしれ無いということです。
買ったセキュリティソフトが使えていないのに警告が出ないことが問題だといってるわけですし。
先日の記事で書いたように、Defenderの検出率はバスターよりましですが、そんなによくないです
たまたま検出できたから問題ないだろうってのは論点が違います。
そもそも、片方はちゃんとランサムウェアだと検出できずに、ハッキングツールとして表示が出ただけなので、実環境ではスルーされていた可能性が高くお粗末です。
機能が無効にされてるのにどうやってメッセージを出すんだろう…。
そもそも、ちゃんと対応できてたセキュリティソフトってなんでしょうか?
ほとんどのセキュリティソフトで障害が出ていたはずですが?
Windowsの場合、MicrosoftのEMETをインストールすれば、セキュリティの上昇は可能だと思います。
Windows2000厨のこじつけ感半端ない
色々な異なるソースを組み合わせて作り上げてるなあと
>機能が無効にされてるのにどうやってメッセージを出すんだろう…。
アンインストールされていない限り技術的には可能
※31は偉いと思うよ
論理的思考を欠いた奴にそこまで丁寧に説明できるなんて
俺なんかこのサイト丸ごとadblock行きだね
騒動が終わるまでは、PCをネットに繋ぐのは怖いな。
問題を指摘すると叩いている事になる?
それこそバイアスが掛かっているように見えますけど?
VVVについてではなく、OSが叩かれたと見当違いのコメントが多いですね。
警告が出ない→動作してなくても気付かないユーザーが多い→メーカーの対応が遅れる
という悪循環を引き起こしていたOSに問題がないと断言できるのが理解しかねるので
ちゃんと対応ができていたセキュリティソフトメーカーが多かったというソースを挙げてください。
無理なら、10月以降、Windows 10で動作しなくなる障害を起こさなかったメーカーを複数挙げてください。
ブログランキングからきました。
vvvウイルス。夫から昨日話を聞いて
調べているところでした。
今のところ
データをバックアップとるしか方法
はなさそうなので…
win2000マシンですがVAIORX62Kが実家で確か
現役機種として増設して放置してある気がします。リカバリすればwin2000で動くかも…
WIN10のアップグレードは、しつこく要求が来るのに
アップグレードしたら、無効化の通知が無いなんて
どんだけー
騒いでる人ってMSの人なの?
被害者の柑橘.vvv @kankitsu0の発言を追っていくと彼の環境は
OSはWindows7、WindowsUpdateは最新
Flashのバージョンは19.0.0.245
JREは未導入
アンチウィルスにAviraを使用
ブラウザはChrome
とこれでアウトなら他の人も大半はアウトになるでしょう。
年単位でアップデートをほったらかしてきたザルならともかくこの環境で見ただけで感染ってちょっと信じ難いです。
なんか決定的な見落としがあるような気がします。
信者の人でしょ。
WIN10の問題点指摘しただけで噛みつくとか・・・
噛み付いてる人達のコメントみましたけど
VVVについて役に立つ情報持ってるわけでもないし
一々相手にしなくていいと思います。
>・まとめサイトに行くと感染する (おそらく、まとめサイトが嫌いな人のデマ、(以下略)
これにつきまして、なぜ「おそらく、まとめサイトが嫌いな人のデマ」と言い切ることが出来るのでしょうか?
おそらくであっても、デマであると言える何か根拠がおありとのことでしょうか?
現に、トレンドマイクロの方が説明した状況として、
『ASCII.jp:不正広告3700サイトの衝撃!トレンドマイクロが現状を説明』
(12月4日のASCII.jpの記事です、URLをコメント欄に貼ることができないのでこのタイトルで調べてみて下さい。)
の中で
「不正広告が表示されているのはブログやまとめサイトなどが多い」
と触れられております。
故に、「まとめサイトは不正広告が表示されるリスクが高い」ということであり、
感染ルートとしては十分に考えられるルートではないかと考えられますがいかがでしょうか。
仮に今回の数件が海外のアドネットワークが中心のターゲットであったとしても、
「まとめサイトは不正広告が表示されるリスクが高い」というのは変わらないのではないでしょうか。
この様にまとめサイト固有のリスクの高さが存在しているにも関わらず、
「ただし広告で感染する恐れがあるというのは本当なので、注意すること」というアノテーションのみで済ませ、
「おそらく、まとめサイトが嫌いな人のデマ」と無根拠に断じてしまうのは危険ではないでしょうか?
>この様にまとめサイト固有のリスクの高さが存在しているにも関わらず、
>「ただし広告で感染する恐れがあるというのは本当なので、注意すること」というアノテーションのみで済ませ、
>「おそらく、まとめサイトが嫌いな人のデマ」と無根拠に断じてしまうのは危険ではないでしょうか?
あくまでもvvvの感染経路が具体的なまとめサイトの名前を出して、ここであるって書いてることがデマと論じているにすぎません。
合計すると、うちの数百倍のユーザーが見てるサイトで広告経由で感染するのが真実であったら、数百人、数千人規模での感染が実際に発生しているはずです。
それが、まったくなく、12/4以降でまとめサイトを見て感染したという具体的な報告は皆無です。
だからデマだと思われますとは書きましたが、『デマと断言してもいい』という気持ちです。(正直なところ、まとめサイトの多くは好きではありません)
広告の多いサイトに行くと、そういったマルウェアに感染しやすいということであればその通りです。
>> 信者の人でしょ?
いや、本当に Windows 10を愛している『信者』なら、いいとこも悪い所もちゃんと把握しているはずなんで、こんな殺気立ったコメントが返ってこないと思うんですよ。
メインマシンがWindows 10ユーザーでもないのが 言ってるのが気に入らないんですかねぇ…。
(実際は開発で、Buildアップデートのたびに入れなおして、チェックしてるんで、かなりWindows 10を使いこんでる部類だと思うんですが)
実際のところ、Windows 10には私は当初すごく期待してたので、メジャーアップデートのたびに改善どころか不具合を乱発している OSってことで、怒り心頭なんですが、本当に、
Windows 10使いこんでるのだとしたら、そういうのないのかなってのが不思議ですね
(見た目や操作性だけに満足していて、安定性やメンテナンス性なんてどうでもいいのかもしれませんが)
まとめサイトに行くと感染する (おそらく、まとめサイトが嫌いな人のデマ、ただし広告で感染する恐れがあるというのは本当なので、注意すること)
これが断じているように見える?
まともな人なら後半部分の”注意すること”に目が向きますけど?
VVVについて調べに来てるのに本当に役にも立たないいちゃもん付けたいだけのコメントが多すぎで・・・
ノートン入れとけば問題無いと思う
誤検出ばかりでウザイけど、不審な挙動があると問答無用で消すからね
横からすいません。
>vvvの感染経路が具体的なまとめサイトの名前を出して、ここであるって書いてることがデマと論じている
とのことですが本文のどこにも、具体的な~書いてあることがデマ、って書いてなくないですか?
本文では「まとめサイトに行くと感染する」としか書いてないんで。
あと調布の人さんが貼った記事にも書いてあるように、
感染源の広告ネットワークが特定しづらい性質がMalvertisingにはあります。
(どの広告が表示されるかは毎回変わるのでウイルス入り広告を引くかどうかは運次第です。)
なので、感染源が完全に特定されるまでは不正な広告が他のサイトに比べて多く配信されるまとめが感染源でないとは言い切れないと思います。
あと、感染者自身もどのサイトから感染したかわからないのと、習慣的にまとめを見てる感染者はわざわざ「まとめを見てた」とは言わないのではないでしょうか。
とりあえずセキュリティーベンダーがまとめを不正広告が多いと名指ししてるのでまとめについては特別に注意をするべきではあると思います。
最新OSだから安全だと勘違いしてる、とこういうトラブルに引っかかる。
あー、みんな知ってるわけじゃないのかな?
最初、VVVに関する情報をまとめたサイトに
サイト名を具体的に書いて、ここに行ったらVVVに感染するって
書いてたものが出回ってたんですよ
VVVに関しては、それがデマだよって話です。
そういえば、Windows 10 のメジャーアップデート(ビルド番号 10586)の際、VMWare Workstationや、CDエミュレーターソフト、イーサネットの別に入れたドライバも勝手に書き換えられて、正しく動作しなくなってました。
Windowsが怖くなってきた・・・かと言ってほかに行く宛も無いのですよね・・・
参考にさせて頂いています。
私も以前から、>>13 氏の方法とこまめなアップデートで対策していますが、大丈夫でしょうか。
ADPに関しては、簡易な広告も禁止しています。
xpで録画機を組んでいますが、こちらではブラウジングはありえず、tvtestとtvrock、spinelしか動かしていません。
危険はあるでしょうか。
@kankitsu0氏のを辿ると、「Javaは確認できないですね…以前は入っていたと思うのですがOS入れ替えた時にDLせずにそのままにしていたかも…?これが原因だった可能性…?」。例えば古いversionのJava入りのバックアップを戻した、ということかも。
タイミング的に、いつもすぐ出回るFlashの脆弱性というより、この前更新されたJavaだろうと思っていましたが。クリスマス前に一儲けしときたいんだろうと考えています。
あとはsilverlightの可能性です。
ttp://securityaffairs.co/wordpress/40797/cyber-crime/angler-exploit-kit-report.html
ttp://www.talosintel.com/angler-exposed/
いつものmalware配信ツールのAnglerEK(2015.7時点)で、2%とはいえsilverlightの脆弱性を突かれています。(円グラフご参照)
@kankitsu0氏の場合は、(言及がないですが)Javaでなければsilverlightかと。
*不明な人のために一言。”彼の場合は”、”その可能性がある”というだけであって、Exploit Kitは通常 各種脆弱性を詰合せセットで使いますから、そのセットのうち1つでも脆弱性があるPCならその1点を突かれる(flashが古ければflash、JavaならJava)点を間違いなきよう。
基本的に ブラウザこまめにアップデートしてるのであれば、RequestPolicy が入っていれば大丈夫だと思います(IEは除く)
XPも同様にサポート中のブラウザを使って同等の設定をしていればほぼ大丈夫だと思います。
http://www.hummingheads.co.jp/comp/gaiyo.html
DePまたはFFR-Yarai とセキュリティソフトを併用するのがおすすめです。
「一部のマルウェアがゼロデイ攻撃を行っている」のは事実です。
「VVVウイルスが将来的にゼロデイ攻撃を行う可能性がある」も事実です。
ですが現状では「VVVウイルスがゼロデイ攻撃を行った」という事実は確認されていません。
将来の可能性を理由に、現在の事象について未確認のことまで書き、それがFUDでないと言い張ることは正しいとお考えですか?
ランサムウェアが使っているエクスプロイトキットが、Zero-Dayを組み込むためやアンチウィルスからの低い検出率を維持するためのメンテナンスが行われており非常に危険な状態になっているというブログニュースが、つい先日セキュティ専門家からアナウンスされたばかりです。(VVVも同じエクスプロイトキットを使っています)
(最初の CryptWall 4.0の記事)
VVVウィルスがエクスプロイトキットを使っている以上、ゼロディ攻撃を行う能力があるのは、
疑いもない事実で、セキュリティ専門家も警鐘を鳴らしているのが現状で未確認の事象ではないと考えています。
将来の可能性を理由に、現在の事象について未確認のことまで書き、それがFUDでないと言い張ることは正しいとお考えですか?
と言い張ることは正しいとお考えですか?
いいかげん自分のブログでやったら?
あなたのコメントは何の役にも立ってないんですけど。
いいかげんVVVについての有益な情報でもコメントしてみたらどうですか?
黒翼猫さま、アドバイスありがとうございます、何度もすみません。
windows本体、及びブラウザのプラグイン系は、全て最新をキープしています。
XP機は録画以外の操作はしていませんが、教えていただいたページも熟読したいと思います。
まずは、メイン機のほうが心配です。
IEが危険とのことですが、magicaldrawという絵チャットが、どうしてもIE上でなければ動作が安定せず、そのチャット使うときのみ、そこをホームページにしてIEを実行しています。
つまり、IEにおいて他のページの閲覧は、通貨も含めて、一切しておりません。
なお、IEにおいてもADPを実装させ、広告が一切表示されておりません。
広告が表示されなくとも、IEは危険でしょうか。
残念がら、素人目にも効果がありそうなRequestPolicyはIEにはないようです。
RequestPolicyLIKE、と言う物はあるようですが・・・。
magicaldraw は Firefox推奨なのでChromeは使えません。
動作不良の原因がWebkitの派生版にあるかもしれないので
Webkit系の別のブラウザ使ってみてはいかがでしょうか?
・Qupzilla/OtterBrowser(WebEngine版)はべつのエンジンなので動作が変わると思います
IEはサポート切れ後のWindows2000を使う方法で紹介しましたが、デフォルトを制限付きアクセス。
信頼できるサイトにどうしても実行したいサイトのドメインを入れて使う、という方法がお勧めです。
これなら、悪質なScriptがサイトに埋め込まれていてもIEでもかなりの確率で対応できます
タイトルに問題があるんじゃないでしょうか。
追記を見ますと、Windows8/10の感染例は少ないそうですが。
10ではセキュリティソフトが勝手に無効になる、等危険があることから斯様なタイトルにしたのだと思いますが、今回の件に関してはあくまで「可能性」であって、最終的には感染例が少なかったという情報にいきついています。
もちろん、この記事をアップした時点ではWindows10の感染拡大の「可能性」が大いにあったことは疑いようもありません。しかし、斯様なタイトルではWindows10での感染事例が明らかに多いように受け取られる「可能性」があります。まるでまとめサイトのタイトルみたいですね。
ですが、そもそも個人のブログですので、言葉尻を捉えて叩くのは間違いですね。
なお、内容については非常に為になりました。
ありがとうございます。
中韓ネタより、書き込みが多いのは何故なのだろうか?
IEをやり玉に挙げらてますが私の周りではfirefoxの方が危険という印象です。
というのも便利なアドオンが豊富でセキュリティ意識の低い人は
問題があってもどんどん入れちゃいますからね。
オマケにfirefoxのバージョンが上がるとアドオンが使えなくなることも多いので
わざと古いバージョンを使い続けてる輩の多いこと多いこと。
そんな人たちを見るとお前らIE使っとけよと言いたくなります。
vvvウィルスとは関係ない話で失礼しました。
黒翼猫様、再三のアドバイスをありがとうございます。
Magicaldrawなのですが、なぜかIE以外では極端に動作が重くなり、使いものにならないと言う現象が割りと多くのユーザーで見られていて、
現状
「IEならちゃんと動く」が合言葉になっているルームも有ります。
私も常用はfirefoxで、いろいろ試したのですが、現状どうしても、magicaldrawのみ、IEで使用しています。
教えていただいた知識について、なるべく急いで時間のある時に勉強しようと思います。
ありがとうございます。
>プラグイン
確かに、ブラウザ上では、ユーザーがPC上にDLして使用している以外のプログラム、コード(???)がユーザーの許可無く実行されてしまうものが多数あり、そういったものは何でも危ないのですよね。
にしても、ブラウザ上で動かすソフトが、勝手に外部から新たなプログラムを組み込めてしまうのは正直、以前から違和感があります。
こういった事は全部無しというわけにはいかないんですかね。
多少進化は遅くなるかもしれませんが、ブラウザを動作させるのに必要な物以外は、ユーザーが都度信頼できるところから準備する形でも良いと思うんですが。
データ等の読み込みも特定フォルダ以外は常に禁止するなどが良いと思うのですが。
ウィルスにかかってしまってファイルが軒並みダメになってしまったのですが、このvvvウイルスはパスワードやクレジットカード情報が抜かれるなどのセキュリティ面にも働くのでしょうか?
長年使っていて大事な情報が多くて初期化もできず困っています。
わかることがありましたら教えてください、よろしくお願いします。
全てのファイルがvvvになるとは限りません、
暗号化されたファイルの情報が流出しているということはないので、暗号化されていないファイルをサルベージして初期化する分には問題ないと思います
win7 32bitで先週感染しました。泣きたいです。データもパソコンも復旧出来ないのは凶悪すぎる。途方に暮れています。
で先週感染しました。泣きたいです。データもパソコンも復旧途方に暮れています。 出来ないのは凶悪すぎる。