トレンドマイクロは、Twitter上で話題となった「vvvウイルス」が、日本でも相当数流入しているとして、注意を喚起した。
vvvウイルスとは、12月6日頃にTwitter上で「被害に遭った」との情報が拡散されたウイルスの俗称。感染すると、コンピュータ内のファイルの拡張子を「.vvv」に変更、暗号化し、元に戻すことと引き換えに金銭を要求する。
同社調査によると、これは暗号化型ランサムウェア「CrypTesla」の新型亜種とみられる。CrypTeslaによる攻撃は、Twitterで話題となったような脆弱性攻撃サイトの閲覧(脆弱性を自動的に攻撃する不正広告も含む)のほか、マルウェアスパムに添付されているJavaScriptファイルの実行でも確認。CrypTesla関連による不正URLのブロック数は12月9日時点で500以上と急増しており、同社は「日本にも相当数流入していることを確認できた」とする。
|
マルウェアスパム添付のJavaScriptファイルからアクセスされる不正URLのブロック数推移(図:トレンドマイクロのセキュリティブログ) |
日本への流入が推測されている、CrypTeslaを使ったスパムメールは、タイトル・本文ともに英語。添付のZIPファイル内にあるJavaScriptファイルを実行すると、Web上から実行ファイルを取得する。ダウンロードされる実行ファイルは、CrypTeslaファミリの不正プログラムの場合と、ウイルス対策用の正規ソフト「Avira」インストーラの場合があり、正規サイトがWordPressの脆弱性を突かれて改ざんされ、不正ファイル配布に利用されている様子もあるという。
攻撃者から見た場合、メール受信者をランサムウェアに感染させるためには、添付されているZIPファイル内のJavaScriptファイルをダブルクリックさせた上、実行前に表示される警告ダイアログでも「はい」をクリックさせる必要がある。同社は、この流れのどこかでファイルに不信感を持ち、実行を取りやめれば感染を防げるとし、「ダウンロードしたファイルを不用意に実行しないこと」を推奨している。
