メニュー

TeslaCrypt(vvvウイルス)に感染してみました。

2015年12月7日 - malware
TeslaCrypt(vvvウイルス)に感染してみました。

先日から話題になっている「TeslaCrypt」(通称:vvvウイルス)ですが

広告から感染したのか、動画サイトの動画から感染したのか、メール経由か

はたまた改ざんされたサイトからの攻撃によるものなのか。

もしくは、それら複数なのか。

といった感染経路がなかなかよく分からない状況です。そんな中、自分も何かをしたいと思ったので感染するとどうなるのかということを検証してみました。もちろん、普段利用しているコンピュータではなく、個人情報やそのほかの気密性の高い情報を保持していないテスト用の環境で行いました。利用したウイルスは国内で感染された方と全く同じものではないかもしれませんが同じような挙動をすると思われるものです。

【実行】
当該ウイルスを実行すると感染し、システム内の特定の拡張子を持つ、ファイルを暗号化し
そのファイルを元に戻したければ… といったインフォメーションがテキスト、HTML、画像で表示されます。
first
(できるだけ見やすいようにウインドウ位置などは整えてあります)
ファイルの状態を見ると実行前と実行後では以下のような変化があります。

[実行前]
b

[実行後]
a

実行前にはあった[TC.exe]が消え、ファイルが増える(インフォメーションが書かれたファイルです)と共に[.txt]の拡張子だったものに「.vvv」という拡張子が付いて暗号化されてしまい、読めなくなってしまいました。(暗号化される拡張子はtxtのみではありません。)

[暗号化される前のテキストファイル]
testB

[暗号化された後のテキストファイル]
testA

他のファイルもテキストファイルではあるのですが暗号化はされていませんでした。
おそらく拡張子のみをチェックして暗号化するかどうかということを決めているのだとここから推測できます。
であれば拡張子を変更しておけば感染しても大丈夫じゃないか?と思われるかもしれません。
もちろん、現時点ではそうなのですが
今後、ファイルタイプをチェックして暗号化してくるものも登場する可能性があるので根本的な対策とは言い難いと思います。

【復号テスト】
前述したインフォメーションの中には復号したければここにアクセスするようにという指示が書かれていましたのでそちらにアクセスしてみました。

以下はそのサイトにアクセスしてHTMLを保存して再表示させたものです
2015-12-07_030452

カウントダウンがはじまっており、そのカウントダウンが終わるまでであれば1.4BTC = 500USDで暗号化されたファイルを元に戻せるようになるとのことです。
カウントダウンが終わるとその倍の料金が必要になるということも書かれています。
このページの中に気になるところを一つ見つけました。
freedec
[Decrypt 1 File for FREE]と書かれたところです。1つのファイルであれば無料で復号してくれるようですので試してみることにしました。[Decrypt 1 File for FREE]をクリックすると以下のようなファイルアップロードのウインドウが表示されます。
2015-12-07_124609

こちらに先程、暗号されて[.vvv]の拡張子の付いた[test.txt.vvv]ファイルを指定し、暫く待つとダウンロードリンクが表示されました。
dl

上記ファイルをダウンロードし表示したところが以下のものになります。
004

問題なく元通りに復元されたことが分かるかと思います。
これにより、復元可能なキーを相手側はもっており、復元そのものは可能であるということが分かります。
(もちろん、お金を振り込んだ後どうなるかの保証はありません。現時点では事実として可能であるということが分かったというだけです)
基本的にランサムウェアを用いる攻撃者は金銭を得ることが目的です。
したがって、復号してもらえないとユーザが考えてしまっては攻撃者は金銭を手に入れることができなくなります。
もちろん、元に戻る100%の保証はありませんが、基本的に攻撃者は元に戻すように対応すると個人的には考えています。
この[Decrypt 1 File for FREE]は攻撃者が被害者からある種の信頼を得るためのデモンストレーションだとボクは考えています。

【ランサムウェアの考えられる対策】
もちろん、ウイルス対策ソフトで感染を防ぐことができればいいのですが、どうしても検知できない可能性はついて回ります。ウイルス対策ソフトの話になるとついて回るのがどこのウイルス対策ソフトだと検知できた。できなかった。というお話しです。しかし、今回検知したからといって次回以降検知できる保証はどこにもありません。ですので、検知しない可能性を常に考えておく必要はあると思っています。ウイルス対策ソフトをどこのものを使用するかといったことよりもまず、自身のシステムに内在する脆弱性を解消しておくことのほうが先決であると思います。今回のウイルスがどういった経路で感染したかは分かりませんが、Webのアクセスにより感染したというのであればブラウザやそのプラグインであるFlashなどが古いことにより攻撃を受け、感染してしまうというケースは十分に考えられます。怪しいサイトには近寄らないということだけでは防ぐことのできない攻撃もあります。不正な広告や水飲み場のような攻撃です。そういったものを避けることが難しくなってきている以上は自身のシステムに内在する脆弱性を解消し、そういったサイトにアクセスしても大丈夫な状態にしておくことを強くお勧めします。

しかし、それでも添付ファイルを実行してしまったり、未解消の脆弱性やゼロデイを受けてしまい感染することが避けられないケースがあります。そういったときのために可能な限り短い間隔で自身のファイルのバックアップを取得しておくことも併せて行っておく必要があると思います。この場合には感染する端末がアクセス可能な場所、例えば、ファイルサーバなどに置いていては暗号化されてしまう可能性が大ですので、お勧めはできません。企業内であればクライアントコンピュータからアクセスできないところにバックアップを取るようにし、個人であればクラウドに保存するか物理的にDVDなどのメディアに保存することをお勧めします。
そうしていれば金銭を支払わずともある程度の復旧が可能となります。

上記のことを実施しておらず、感染を許してしまった場合は攻撃者に金銭を支払うという選択肢しか残されていないということとなります。
もちろん、攻撃者に金銭を支払うことは決して推奨されるようなことではありません。
しかし、支払う金額と自身のシステム内にあるファイルの価値を天秤にかけ後者が大きく勝るようであれば金銭を支払うという選択肢を選ばざるをえない場合もあると個人的には考えています。

【2015/12/08 追記】
このウイルスは実行すると数か所に通信を行います。
その1つに「myexternalip.com」というドメインがありました。
このサイトはIPアドレスをチェックできるようなサイトのようですが
何かしらの理由で感染したコンピュータがインターネットに接続可能かどうかのチェックを行っているものであると考えられます。
ネットワークを遮断した状態でウイルスを実行した場合、暗号化が走らないのかどうかチェックしてみたのですが暗号化処理は行われておりました。
【2015/12/09 追記】
TeslaCryptに感染してしまったと思われる方のツイートで復元できたことが報告されておりました。


こちらの方の報告によると暗号化されたファイルを復号し復元したのではなく「Shadow Explorer」を使ってボリュームシャドウコピーのバックアップから復元できたようです。

ランサムウェアに関するドキュメント、Webサイトの中にボリュームシャドウコピーからの復元について言及していたものがありましたので以下に紹介します。

CryptoWall & DECRYPT_INSTRUCTION 身代金要求ソフト インフォメーションガイドと FAQ[PDF]
上記、Webサイト、ドキュメントによるとボリュームシャドウコピーの削除を試みるランラムウェアも存在するとのこと。

ボリュームシャドウコピーはOSがインストールされている領域はデフォルトで有効になっています。
その他のデータ、ディスクに関しては手動で設定する必要があります。
また、マウントしているリモートドライブなども別途、別の方法でバックアップする必要があります。

上記の復旧を行うことができた条件についての情報をいただきました。

 

【反省】
今回の一件でとても反省をしました。

「ウイルスはどのような経路で感染したのだろうか?」
「その経路で用いられた攻撃手法はどのようなものだろうか?」
この辺りがはっきりとしなかったため
「ウイルスがどのような動きをするのか?」
ということを考えはじめ、検体を入手し検証を行いました。

そして、対策についても考えられる範囲のありきたりなことをことを書いてしまったかもしれないと今、とても反省しています。
実際に被害に遭われた方からすれば、被害に遭いにくくするため、被害に遭った時のための事前の策をはじめ、感染経路や挙動は二の次、三の次なんですよね。
被害に遭われた方が考えることは「目の前にある大切なデータをなんとか元に戻したい」といったことなのだと気付かされました。
それを真っ先に考えられなかったボクは分かってはいたものの、まだまだ未熟であり、セキュリティの仕事をしているにもかかわらず自身が思っている以上に困っている人や弱い人に寄り添う気持ちが欠けていると心の底から痛感しました。

この件で気付かせてもらったことを活かして今後も精進します。