読者です 読者をやめる 読者になる 読者になる

てすたんの日記

testa021の日記 TeslaCrypt、ランサムウェア、mp3ウイルス、VVVウイルス、パソコンとかソフトのレビューが多い感じ?

スポンサーリンク

jsファイルスクリプトの実行を無効化!代わりにメモ帳で開くようにする【ランサムウェア対策】

追記 どうやら.jsではなく.doc 形式のタイプも出てきたようです

Neutral8x9eRさんが教えてくださいました。ありがとうございます!

元のタイトルはちょっと煽り気味に書いてしまったのですが、こんなにすぐ出てくるなんて・・・(´;ω;`)

 教えていただけてなかったら油断させてしまうところでした。ありがとうございます。

また、読んでいただいている方には申し訳ありませんでした。

 

前のエントリーに書いたオフィスのマクロウイルス自体はダウンローダーだと思うんですが、引っ張ってくるマルウェアをteslacryptにした感じなんでしょうか?

testan.hatenablog.com

 

ちょっとまだ詳細は調べてないのでわからないのですが、jsスクリプトさえ対処すれば安心というわけではないのでご注意下さい!

 

前置き

またまたVVVウイルス(teslacrypt2.2.0)のネタですが、日本で感染が増えているのはどうやらメール経由で、添付ファイルがjsファイル(zip圧縮されてる)というもののようですね。

今回はこのjsファイルの対策です。

ブラウザからの感染対策には以前書いた記事を参考にしていただけると嬉しいです。

testan.hatenablog.com

 

さて、大体がこんなスパムメールで英文、件名がinvoiceとかpaymentって書いてあることが多いようです。※もちろんどんどん違うパターンが生まれてくる可能性があります。日本人の高校生がランサムウェアを購入、感染させて逮捕なんてニュースもありましたし。

f:id:testa021:20151217015025j:plain

添付ファイルはzipで、その中にこんなjs(スクリプトファイル)が入っていてこのjsファイルを実行すると

f:id:testa021:20151217014812j:plain

本体のVVVウイルスのexeファイルをダウンロード、実行してあとはパソコン内の書類やら写真やらが暗号化されてしまうといった流れですね。

 

 

jsファイルって何?

jsファイルというのは何かというと、いわゆるスクリプトという奴で中身がテキストになってて簡単に書けるプログラムのみたいなものです。

操作を自動化したりするのに便利なので僕もたまに使います。

windowsで動くスクリプトの仲間はこんな感じで実はけっこういっぱいあります。(もっとあるかも?)

.bat
.com
.js
.jse
.wsf
.wsh
.hta
.vbs
.vbe
.ps1

f:id:testa021:20151217002840j:plain

こいつらをダブルクリックすると、wscript.exeかcscript.exeがテキストに書いてあるスクリプトを読み取って実行するということらしいです。

(bat、com、hta、ps1は違います。htaは昔ワンクリ詐欺ウイルス踏んだ後に、女の人の裸画面が自動で出てくる動作に悪用されてましたね。ps1はデフォルトだと実行されないはずなので無視していいかも)

 

今回はこのスクリプトさん達をダブルクリックしても、メモ帳が開くようにしてしまおうという案です。

 

普段の対策には以下のエントリーにまとめましたのでよかったら参考にして下さい。

testan.hatenablog.com

また、ほぼ毎日ウイルス関連について更新しているのでこのブログをお気に入りに登録していただけるとすごく嬉しいです。

 

 

 

実践

やり方は3通り思いつきました。

職場のパソコンでは皆さんの知らないところでスクリプトを使っている可能性があるため、勝手にやらないほうがいいでしょう。もしどうしてもやりたい場合は、パソコンを管理している技術者の方に相談してみてください。

 

1.VVVウイルス対策用にjsファイルだけメモ帳で開くようにしたい

これが手間も影響も少ないので一番オススメですね。

適当にテキストを作り、リネームして「test.js」など、メモ帳で開くように変更したい拡張子にします。

 

f:id:testa021:20151217005351j:plain

test.jsを右クリックしてプロパティを開き、変更をクリック。

f:id:testa021:20151217005444j:plain

現在はMicrosoft Windows Based Script Hostが関連付けられてますが、これをメモ帳にしてしまいます。

 

f:id:testa021:20151217005428j:plain

 

すると、次からは.jsのファイルを開いてもこのようにメモ帳が開いてそのスクリプトの内容を表示するだけになります。

f:id:testa021:20151217005624j:plain

こんな感じです。

 

2.スクリプトはもう全部メモ帳で開くようにしたい!という方

コントロールパネルからファイルの関連付けを開き

f:id:testa021:20151217010429j:plain

 

左側の名前順のまま拡張子を探してもいいですが、現在の既定のプログラムにしてソートしてMicrosoft Windows Based Script Hostを探してもいいです。

f:id:testa021:20151217010457j:plain

変えたい拡張子を選んで

f:id:testa021:20151217010627j:plain

windowsフォルダにメモ帳はあるので、windowsまで移動してnotepadを選択。(以下のように入力したほうが早いですね。

f:id:testa021:20151217010640j:plain

すると一覧にメモ帳が出てくるので選んで下さい。

これを変えたい拡張子の分だけ繰り返します。

戻したいときは、Microsoft Windows Based Script Hostを選び直せばいいだけです。

一杯あって面倒ですね!

 

 

 

3.絶対スクリプトとか使わないからwscript.exeとcscript.exeを削除か移動してしまう!という方

この方法はTrustedInstallerとか理解してる方以外にはあまりオススメ出来ない感じですね!

そのままだとTrustedInstallerのおかげで権限すら変更出来ず削除出来ないので、まず権限変更できるようにするひつようがあります。

スタート-検索からcmdを検索。右クリックして管理者で起動して下さい。

コマンドプロンプト

takeown /f C:\Windows\System32\wscript.exe

と入力。

そうするとファイルのアクセス権を変更できるので、administrator(自分のユーザー名)を選んでフルコントロールにチェックを入れます。

f:id:testa021:20151217012607j:plain

 

そうしたらC:\Windows\system32にあるので、削除でもリネームしてでも移動でもできるようになったので、お好きなようにしてみてください。

cscript.exeも同じですね。

※因みにリネームや削除した状態でスクリプトファイルを開くと、関連付けされたプログラムがなくなってしまっているのでプログラムの選択画面が出てきます。

64bitのOSだと面倒なことにC:\Windows\SysWOW64にもこいつらがいますね。

 

所有権をTrustedInstallerに戻したい場合は以下を参考にしてみてください。

アクセス権をTrustedInstallerに戻すには | Nonsubject

 

 

おまけ Approckerを使う

Editionが限定されてしまうので、対象の方のみですが企業や部署としてスクリプトの禁止を設定する場合には使えるのではないでしょうか?

例:Windows7Professionalでは設定できるけど有効に動作しないという仕様らしいです。

以下などを参考にして下さい。

Windows 7のAppLockerで特定のプログラムを実行禁止にする − @IT

 

 

まとめ

今回のやり方だと2の方法でなら.comや.batも変更できると思いますが、僕は使うのでやりませんでした。

また、パワーシェルのps1は元々実行されないのがデフォルトだと思います。

 

もちろん、メール経由でもhtmlに悪意のあるコードを埋め込んで脆弱性をついてくるパターンも考えられるので、これをしたからといって絶対感染しなくなるわけではないので注意して下さい。

 

感想・意見やはてブなどしていただけると大変嬉しいです!

 

追記

そういえばscr(スクリーンセーバー)なんてのもウイルス感染の原因になっていたような・・・。これはまた今度でいいか。