Web表示広告を使ったドライブ・バイ・ダウンロード攻撃


TeslaCrypt という新種のランサムウェア(ransomware)が活動しているらしい。

参考(2-spyware.com):TeslaCrypt virus. How to remove? (Uninstall guide)

ドライブ・バイ・ダウンロードという攻撃手法で、ブラウザ使ってインターネットを閲覧している際に表示される何か特定の広告が感染源と言われている。新種なのでウィルスチェックに引っかからない、現在は主に Windows 向けだが、Linux 系 OS にもいずれ被害が出るかもしれないので少し動向を注意している。

※ 補足
上記 URL では「アンインストール・ガイド」と書いてあるが、バックアップ(復元ポイント)を使った復元となる。

ファイルが暗号化される被害

動作としては特定ファイルを勝手に AES 暗号化して拡張子を「.VVV」に変更、ファイルの復号化にお金を要求してくる。

おもしろいことに復号化にはサイズ制限有りの無料版サービスがあって、サンプルとして実際の復号化を試せる。そして時限式になっているため、サービス期間内の復号化は大変お安くなっているが、その期間を過ぎると 1000 ドル単位の要求となる。なかなか親切なサービスというか、商業的な仕組みになっている。スマホのガチャと大差無いなと思ったし。

勝手に暗号化される対象となっているファイルは

.unity3d, .blob, .wma, .avi, .rar, .DayZProfile, .doc, .odb, .asset, ,forge, .cas, .map, .mcgame, .rgss3a, .big, .wotreplay, .xxx, .m3u, .png, .jpeg, .txt, .crt, .x3f, .ai, .eps, .pdf, .lvl, .sis, .gdb,,,

こんな感じでなぜかメディアファイルというか、ドキュメント以外の画像とか動画も狙ってくる。OS を狙い動かなくするようなものではなく、ファイルを狙って人質に取ってから金銭を要求するパターンだ。

どうも危険な広告が表示されるサイトというのがアダルトサイト経由らしく、具体的にどのサイトを閲覧した時に感染したのかと言ったマルウェアの発生源が情報としてまだあまり表に出てきてない。


Leave a comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です