ファイルの拡張子をすべて「.vvv」に変えてしまうウイルスが12月6日に報告され、ネットを騒がせました。セキュリティ企業トレンドマイクロはこのウイルスについての調査結果を報告しています

vvv
拡張子が.vvvに(トレンドマイクロのブログより)

 拡張子を.vvvに変えることから「vvvウイルス」と呼ばれていますが、同社によれば暗号化型ランサムウェア「CrypTesla」の新しい亜種である可能性が高いとのこと。必ずしも特に日本を狙ったものではなく、世界的にも特に大規模な拡散には至っていないことが明らかになったとしています。

 暗号化型ランサムウェアは、侵入したPCのファイルを暗号化し、元に戻すことを引き換えに身代金を要求するというもの。CrypTeslaも同様の動作をし、暗号化したファイルの拡張子を「.vvv」に変えます。トレンドマイクロでは感染経路として、マルウェアを含んだスパム経由と脆弱性を攻撃するサイト経由の2種の攻撃の存在を確認しているとのこと。

 現時点ではCrypTeslaは主に英語圏のユーザーを標的としているようで、脅迫文は英語のみ。脅迫文の冒頭には英語が分からない場合はGoogle翻訳を使うよう勧める文章が書かれています。

vvv
CrypTeslaの脅迫文(トレンドマイクロのブログより)

 トレンドマイクロのセキュリティ技術「Smart Protection Network(SPN)」の統計によると、CrypTeslaを拡散させるスパムは12月1日以降全世界で1万9000通以上が確認されており、スパム内のファイルを開いたと思われる不正サイトへのアクセスは全世界でおよそ6000件。そのうち日本国内からのアクセスは100件程度にとどまっており、日本への流入は限定的と言えるとしています。

 今回の攻撃で確認された不正プログラムは同社の「ファイルレピュテーション」技術によって順次検出対応を行っているとのこと。

 同社はvvvウイルス騒動について「わかりやすい特徴を持つ脅威ほど、実際の影響に関わらずネット上で大げさに伝わってしまうことを示したものと言えます」としつつも、日本国内でランサムウェアの攻撃が継続して発生していることは事実と注意を促しています。不正プログラム対策を怠らないようにすること、攻撃者の手口を学んでだまされないようにすること、感染してしまった場合に影響を最小限にするため重要なファイルのバックアップを取ることを勧めています。

6日に「vvvウイルス」のツイートが急増した(Yahoo!リアルタイム検索より)