2016年4月10日日曜日

マルウェアTeslaCrypt感染に対応


マルウェア(ランサムウェア)TeslaCryptの亜種(TeslaCrypt4.0?)に感染してしまったPCに対応。

現象

感染PCのアクセスできる場所(内蔵ハードディスク、ファイルサーバーの書き込み権限のあるフォルダ等)のファイル(xls pdf jpg等)を次々に暗号化、暗号化されたファイルは開くことができなくなる。拡張子が.vvvや.mp3に変更される事例があるようだが今回は拡張子は変更されなかった。暗号化されたファイルが置いてあるフォルダには下記のファイルが生成される。

-!RecOveR!-tfywe++.png
-!RecOveR!-tfywe++.txt
-!RecOveR!-tfywe++.htm

ファイルの内容はどれも「ファイルを暗号化したのでビットコインで復号キーを売ります」といった脅迫状のような内容。レジストリの変更等。

参考
「vvvウイルス」正体はTeslaCryptか。 PCファイルを勝手に暗号化、対策は?

行った対応

  • まずネットワークケーブルを抜きファイルサーバーのファイルの暗号化を止める
  • Microsoft Safety Scannerをダウンロード、インストールしてウィルスチェック。上記の-!RecOveR!-tfywe++.htmが削除された。Safety Scannerが検知したウィルスはRansom:HTML/Tescrypt.E、Ransom:Win32/Tescrypt.T
  • ネットで調べると暗号化されたファイルの復号化ツール等も存在し、マルウェアのバージョンによってはそれを使って復号化の可能性もあるようだがバックアップファイルが存在するのでそれを使用して復元。
  • 感染PCはレジストリの値の変更、ブラウザ設定の変更等が行われているためおかしな挙動が多々あったので初期化or廃棄とする。PC内にはほとんどユーザー作成のファイルが無かった為被害は最小限でした。

今後

リスクとコストを踏まえ「ウィルス対策の強化」「バックアップの強化」「現状維持」の選択肢を検討。