ノートパソコン dynabook が 
5万円台から♪vvvウイルス感染画像! 500ドル要求TeslaCryptランサムウェアがファイル暗号化!
{{{ 2015年12月11日 }}}
Windowsパソコンをターゲットに、TeslaCrypt(読み方 テスラ クリプト) と呼ばれてるランサムウェア(身代金型ウイルス)の感染被害が話題になったみたい。 
■ Ransom:Win32/Tescrypt.A - Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Tescrypt.A
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Tescrypt.A
[12月8日 追記...]
ランサムウェアの感染時のインパクトが憶測も相まって大げさにSNS経由で拡散して騒ぎになったのが真相みたいで…。 
■ 「vvvウイルス」の正体とは? ランサムウェア「CrypTesla」の流入は限定的 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/12632
■ 「12月8日時点で TeslaCrypt は検知されていません」 ランサムウェア CryptoWall への感染を狙った攻撃を11月下旬から連日確認 - IBM Tokyo SOC
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/ransomware_20151208?lang=ja_jp
http://blog.trendmicro.co.jp/archives/12632
■ 「12月8日時点で TeslaCrypt は検知されていません」 ランサムウェア CryptoWall への感染を狙った攻撃を11月下旬から連日確認 - IBM Tokyo SOC
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/ransomware_20151208?lang=ja_jp
TeslaCryptウイルス感染時の症状
感染時に接続されてた外部ストレージ(USBメモリ、外付けHDD)も含むハードディス内のファイルを暗号化して内部データを破壊するのが目に見える症状です。 
<PCを起動不能にしてはダメなので、画像とか文書の拡張子を持つファイルだけ
<PCを起動不能にしてはダメなので、画像とか文書の拡張子を持つファイルだけ開けなくなったファイルは、元のファイル名に *.vvv という拡張子が付け足された形になります。 (*.vvv は特に意味はなく、開発者側の気まぐれで *.aaa *.abc *.ccc とかコロコロ変遷してきてる)
TeslaCryptウイルスに感染する前のオリジナルファイル
(例、hogehoge.png)
(例、hogehoge.png)
↓ ↓ ↓
暗号化の処理が完了しデータが破壊され開けなくなったvvvファイル
ファイルサイズが増加してるところに注意
(例、hogehoge.png.vvv)
[2016年1月 追記始め]
TeslaCrypt がバージョンアップしたそうで、ファイルの暗号化処理が変更され拡張子は「.xxx」「.ttt」「.micro」に変更されるとか。 
<microウイルス! tttウイルス! xxxウイルス!
<microウイルス! tttウイルス! xxxウイルス!
■ TeslaCrypt 3.0 Released with Modified Algorithm and .XXX, .TTT, and .MICRO File Extensions
http://www.bleepingcomputer.com/news/security/teslacrypt-3-0-released-with-new-encryption-algorithm-and-xxx-file-extensions/
http://www.bleepingcomputer.com/news/security/teslacrypt-3-0-released-with-new-encryption-algorithm-and-xxx-file-extensions/
<追記終わり!>
各フォルダにはHTMLファイルとテキストファイルが新規作成され、ファイルを暗号化したので身代金を支払う方法を指南する内容になってます。 (これもファイル名がコロコロ変遷してる)
- how_recover+[ランダムなアルファベット3文字].html
- how_recover+[ランダムなアルファベット3文字].txt
how_recoverうんたら.html Howto_Restore_FILES.html
how_recoverうんたら.txt Howto_Restore_FILES.txt Howto_Restore_FILES.bmp
いちおう英語表記だけど、攻撃ターゲットは世界中のWindowsユーザーであり、言葉が分からないならGoogle翻訳使えという提案も冒頭に書いてありますな…。
身代金500ドル要求! 早く払わないと1000ドルに
ランサムウェア TeslaCrypt ウイルスの身代金支払いページは匿名通信Torネットワーク上に用意されてます。 
仮想通貨ビットコインで500米ドル相当を支払うよう要求し、残り時間がカウントダウンして、早く払わないと2倍の1000米ドルに引き上げると脅してます。 
ちなみに、ランサムウェア CryptoWall のデザイン と瓜二つだけど、昔から TeslaCrypt は種類が違う別のランサウェアの要求画面をパクって真似するクセがあります。
ランサムウェアの感染経路
TeslaCrypt を始めランサムウェアの感染経路は主に2パターンあります。 
~ マイクロソフトのウイルス検出名 ~
Win32/Tescrypt → TeslaCrypt のこと / Win32/Crowti → CryptoWall のこと
Win32/Tescrypt → TeslaCrypt のこと / Win32/Crowti → CryptoWall のこと
左側 … メールの添付ファイルをユーザーが開いて自爆感染する
右側 … ネットサーフィン中に強制インストールされる
今回の TeslaCrypt 騒動の感染経路は右側のパターンのようで、その起点となるのは感染ユーザーごとにバラバラになるけど、だいたい↓らへんになります。
- ハッキング被害を受けてるサイトやブログをたまたま閲覧した時
- 侵害された広告配信サーバーが運悪く裏で読み込まれた瞬間
『怪しいサイトにアクセスしない♪』というのが如何に現実の脅威とズレてるのか、英国の著名な新聞 The Independent(インディペンデント紙)の公式サイト内にあったブログがハッキングされ TeslaCrypt バラ撒いちゃったそう。 
■ 英有名ニュースサイトのブログからランサムウェア「CrypTesla」が拡散 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/12649
http://blog.trendmicro.co.jp/archives/12649
Windowsパソコンをターゲットにする TeslaCrypt の対策について、vvv化する被害に巻き込まれないようウイルス感染経路をふさぐ作業↓実施しておきましょ。 
[2016年5月19日 追記...]
ランサムウェア TeslaCrypt を仕掛ける攻撃者がなぜかプロジェクト終了を発表!
暗号化して破壊されたファイルを復元・復旧できる復号キーを自ら公表するという衝撃的な結末にー。 <ファイルを元に戻す無料復号ツールも2つほど
<ファイルを元に戻す無料復号ツールも2つほど
コメント