12月5日頃より、TeslaCryptに関連する投稿が国内で増えました。ここではこのマルウェアの気になった情報をまとめます。
暗号化される際の拡張子(.vvv)からvvvウィルスとも呼称されているようです。
12月5日に国内で騒がれたvvvウィルスについてセキュリティベンダの見解
各社の見解をまとめると次の通り。一部は報道情報より。
ベンダ名 | 感染経路 | vvvウィルスの存在 | 被害状況 | ソース |
---|---|---|---|---|
TrendMicro | マルウェアスパム経由と脆弱性攻撃サイト経由の2種の攻撃の存在を確認 不正広告経由は確認できておらず |
CrypTeslaの一種である | スパムメールは約1万9千件を確認 国内の開封数は12/8時点で100件程度 |
Interwatch記事(12/07 20:53) TrendMicro社Blog |
Symantec | 具体的な確証は得られておらず | 継続調査中 | 継続調査中 | ノートン公式Facebook(12/07 20:10) |
Kaspersky | Angler EKによる拡散 EKはFlashPlayerの脆弱性 CVE-2015-7645を悪用 |
TeslaCrypt 2.2.0である Trojan-Ransom.Win32.Bitmanで検出 |
国内の感染数はそれほど多くない | Security NEXT記事(12/07) Kaspersky社Blog |
IBM(TokyoSOC) | − | TeslaCryptの可能性の他社指摘に同調 | TokyoSOCではTeslaCryptは検知していない | IBM TokyoSOC Blog |
TeslaCryptに関する解析情報
サンプルハッシュ
報告に上がっているものと同じ検体かは不明。
感染動画
解析・詳細情報
復号可否検証時の注意点
調査のためのファイルなどでお試しするのは良いと思いますが、渡した情報がどう取り扱われるか分からない中では大事な秘密情報が入ったようなファイルでお試しはしない方が良いと思います。あと、お試しでOKだからといって支払いもお勧めしません。 https://t.co/qf5IZAVj87
— Neutral8x9eR (@0x009AD6_810) 2015, 12月 7
TeslaCrpytの感染経路
メール、EKを経由したTeslaCryptの感染事例が12月中に報告出ている。国内で騒がれていたものがこれであるかどうかは不明。
メール経由の感染事例
- Dynamoo's Blog: Malware spam: "Invoice from PASSION BEAUTY SUPPLY LTD" leads to Teslacrypt
- Dynamoo's Blog: Malware spam: "November Invoice #60132748" leads to Teslacrypt
- Dynamoo's Blog: Fake "Fretter Inc" spam leads to Teslacrypt ransomware
- Dynamoo's Blog: Malware spam: "Invoice #66626337/BA2DEB0F" leads to Teslacrypt
- invoice迷惑メール? JSファイル起動でTeslaCrypt/vvvウイルス感染! ( Windows ) - 無題な濃いログ - Yahoo!ブログ
- ランサムウェア「CrypTesla」を拡散させる一連のマルウェアスパム攻撃を詳細分析 | トレンドマイクロ セキュリティブログ
- ばらまき型メールによるランサムウェア感染が国内で増加中 | ウイルス・セキュリティニュース
開かないでください!昨夜から以下のようなメールが出回っています。添付ファイルを開いて実行すると、ウィルスに感染して、パソコンのデータが暗号化されてしまいます。身に覚えのないメールの添付ファイルは絶対に開かないでください! pic.twitter.com/llbhrw2FYy
— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2015, 12月 10
更新履歴
- 2015年12月8日 AM 新規作成
- 2015年12月8日 PM 感染事例を追加