TeslaCryptファイル暗号化ランサムウェアウイルス 拡張子ecc exx 対策は?
 
{{{ 2015年12月 更新 }}}
 
2013年に一世を風靡して終幕済みCryptoLocker ウイルスの名前を勝手に名乗って模倣し成りすましをしてる偽CryptoLockerの紹介です。
 
http://www.microsoft.com/security/encyclopedia/en-us/i/3994ce7b5033af69.jpg
画像出典 Tescrypt - Microsoft Malware Protection Center
 
Windowsパソコン×ゲームユーザー)をターゲットに、ファイルを暗号化して破壊し人質にとって身代金を要求するランサムウェアタイプのウイルス TeslaCrypt(読み方 テスラクリプト)。。。 
Teslacrypt Joins Ransomware Field - McAfee
https://blogs.mcafee.com/mcafee-labs/teslacrypt-joins-ransomware-field

Achievement Locked: New Crypto-Ransomware Pwns Video Gamers | Bromium Labs
http://labs.bromium.com/2015/03/12/achievement-locked-new-crypto-ransomware-pwns-video-gamers/

InfoSec Handlers Diary Blog - Exploit kits (still) pushing Teslacrypt ransomware
https://isc.sans.edu/diary/Exploit+kits+%28still%29+pushing+Teslacrypt+ransomware/19581

Fiesta Exploit Kit Spreading Crypto-Ransomware - Who Is Affected | Trend Micro
http://blog.trendmicro.com/trendlabs-security-intelligence/fiesta-exploit-kit-spreading-crypto-ransomware-who-is-affected/

TeslaCrypt and Alpha Crypt Ransomware Information Guide and FAQ - Bleeping Computer
http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information

ゲームファイルを狙う新たなランサムウェアTeslaCrypt | Save the Worldの思いを伝えたい – カスペルスキー公式ブログ
http://blog.kaspersky.co.jp/teslacrypt-ransomware-targets-gamers/7083/
セキュリティ会社のウイルス検出名はこんな感じで定義されてます。 
 
Ransom:Win32/Tescrypt.F Ransom:Win32/Tescrypt.E Ransom:Win32/Tescrypt.D Ransom:HTML/Tescrypt.D Ransom:HTML/Tescrypt.C Ransom:HTML/Tescrypt.B Ransom:Win32/Tescrypt.B Ransom:Win32/Tescrypt.A Ransom:HTML/Tescrypt.A Ransom:Win32/Tescrypt!rfn (Microsoft)
http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32/Tescrypt

TROJ_TESCRYPT TROJ_CRYPTESLA RANSOM_CRYPTESLA (Trend Micro ウイルスバスター)
http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPTESLA.A

Trojan.Cryptolocker.N (Symantec ノートン)
http://www.symantec.com/security_response/writeup.jsp?docid=2015-030201-5710-99
 
ただ、攻撃者側からいうとセキュリティ会社は金儲けビジネスを妨害してくるワケで、セキュリティソフトのウイルス定義データでは検出されない亜種が随時投入され”イタチごっこ”してます。

TeslaCrypt が暗号化するファイルの形式・種類

「Your personal files are encrypted」!? 何もゲーマーだけ狙われるランサムウェアではありません。
 
画像ファイル(.jpg、.png)、Office Word・Excel文書(.doc、.docx、.xls、.xlsx、.ppt)、PDF文書(.pdf)、動画ファイル(.wmv、.avi)、音楽ファイル(.wma)、テキストファイル(.txt)、圧縮ファイル(.7z、.rar)、海外ゲーム関連データらへんが暗号化の対象となります。
 
イメージ 1
身代金の支払い方法など説明するテキストファイル
 
暗号化ファイルは拡張子 *.ecc に変更
・ CryptoLocker.lnk ⇒ CryptoLocker を名乗るも実際には別モノ
・ HELP_RESTORE_FILES.bmp
・ HELP_RESTORE_FILES.txt
・ RECOVERY_KEY.TXT
 
暗号化で破壊されたファイルを復元する手段は現時点で存在しません。

暗号化されたファイルの復元方法 (追記あり)

Windows Vista(企業向けエディションのみ)、Windows 7以降に実装されてる [以前のバージョン機能] で元に戻せる”可能性”があるぐらいで、これがダメならバックアップからの復旧といった手段のみとなります。
 
 
<4月28日 追記...>
 
TeslaCryptウイルスの暗号化処理に欠陥があるらしく、一部のファイルを復元して元に戻せるツールが外部ホワイトハッカーから提供されてます。 
 
米シスコのセキュリティ研究者によれば TeslaCrypt は暗号化に使用してるというアルゴリズムを誇張していて、加えて暗号化の処理に欠陥があるらしく無料ファイル復元ツールを公開しました。
Threat Spotlight: TeslaCrypt – Decrypt It Yourself (Cisco Blog)
http://www.talosintel.com/teslacrypt_tool/
http://blogs.cisco.com/security/talos/teslacrypt
<5月6日 追記...>
 
TeslaCrypt の攻撃者が後継バージョンとなる Alpha Crypt(読み方 アルファ クリプト) を新たに投入し、上のシスコ製ツールは利用不能になったみたい。
 
暗号化(破壊)されたファイルの拡張子は *.ezz や *.exx に変更されてます。
 
<5月23日 追記...>
 
BloodDollyというユーザーさんが新たに無料ファイル復号化ツール TeslaDecoder を発表してます。
TeslaDecoder released to decrypt .EXX, .EZZ, .ECC files encrypted by TeslaCrypt - News
http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/
<12月8日 追記...>
 
SNS界隈で「vvvウイルス」としてTeslaCrypt ランサムウェア感染被害の話題が拡散しました。

TeslaCryptウイルスの感染手口と対策

ネットサーフィン中に改ざん被害を受けてる一般サイトやブログをたまたま閲覧して、ドライブバイ・ダウンロード攻撃を喰らう手口が確認されてます。
 
~ 使用されてるエクスプロイトキット ~
Angler Exploit Kit、Nuclear Exploit Kit、
Sweet Orange Exploit Kit、Fiesta Exploit Kit など
 
Windowsパソコンを使ってるユーザーさんは、TeslaCrypt ウイルスを強制インストールされないよう自ら対策を実施する必要があります。
 
Mac OS X、スマホ(Android/iPhone)、ガラケーは無関係!
 
根本的な解決にならない セキュリティソフト にすべてを託すことなく、ウイルス対策を実施して感染経路をふさいでおく作業(無料)が重要になります!
関連するブログ記事