てすたんの日記

testa021の日記 TeslaCrypt、ランサムウェア、mp3ウイルス、VVVウイルス、パソコンとかソフトのレビューが多い感じ?

スポンサーリンク

teslacrypt3.0に感染してみた。今度もDefensePlatformで防げるっぽい!

ランサムウェアのteslacrypt3.0は前とどう変わったの?

VVVウイルスの時とくらべて暗号強度が上がったようです。

RSA-2048がRSA-4096になったようですね。

(前からRSA-4096という話も?)

VVVウイルスには復号化ツールがありますが、もちろん復号化できなくなってしまってます。

復号化ツールが有名になってしまったから対応したという感じでしょうかね。

(実際それを懸念してあまり大っぴらには宣伝したくなかったというのもあります)

私が復号化ツール試し始めた時はまだ有名じゃなかったので。

あとどこかで、カスペルスキーとかにツールの提供されちゃうと復号化出来ないバージョンに改善されちゃうからやめてくれって言われてるみたいなこともどこかに書いてあったような・・・。

 

検体あったのでとりあえず感染してみました。

こんな感じで身代金振り込むための説明ページや画像、テキストが出てきます。

f:id:testa021:20160115004606j:plain

 

 

暗号化されたファイルをバイナリエディタで開くとこんな感じで変化してるようです。

左側はvvvウイルス時代。右側は新型xxxウイルス(teslacrypt3.0)になってから。

f:id:testa021:20160115003826p:plain

逆に、vvvウイルスに感染したらとりあえずバイナリエディタに放り込んで、このように確認すれば復号化出来るVERかわかるかもしれないですね。

 

 

こんな感じでxxxになりました。

f:id:testa021:20160115012827p:plain

X Japanのライブ会場にいった気分になれますねというつまらんことを言いたくなるぐらい疲れました。

 

 

teslacrypt3.0で暗号化されたxxxの拡張子をvvvにして復号化ツールに読み込ませてももちろんダメですね。

 

f:id:testa021:20160115005345p:plain

 

復号化は無理なのか?

作者の方が

こんにちは、 このバージョンは、もはや単純な因数分解の攻撃に対して脆弱ではありません。私はまだ新しい脆弱性が存在する場合に、それを分析しています。

みたいなことを言ってらっしゃるので、簡単にはいかなそうですが気長に待つしかないかなぁと・・・。

 

DefensePlatformはteslacrypt3.0の被害を防げるの?

DefensePlatformが有効になってれば、なぜかteslacrypt3.0が勝手に終了して感染しませんでした。

 

f:id:testa021:20160115004023j:plain

 

こんな感じで、ウイルスのプロセスが勝手に終了します。

暗号化も、身代金ページとか身代金テキストとか変なファイル作られたりもなし。

 

f:id:testa021:20160115004031j:plain

 

DefensePlatformじゃなくて他の何かが影響してるのかなーと思って何十回も試したのですが。

 

DefensePlatformが有効なときだけ画像のようにウイルス終了。

DefensePlatformを停止してウイルス実行すると途端にxxxに感染する。

 

となるので間違いないと思います。

DefensePlatformはAPI監視してるらしいので、マルウェアの解析回避機能が働いて勝手に終了してるのかなー?とか妄想してますが実際問題全然わからないです誰かおしえて下さい。

 

VVVウイルス・・・teslacrypt2.2.0の時はDefensePlatformで警告が出てきて、隔離するか止めないと動き続けてました。

teslacrypt3.0は警告も出ずにいきなりウイルスが終了するのが不思議な感じ。

 

まぁ防げるみたいなのででいいんじゃないんでしょうか!

またteslacryptに勝ってしまったか。

DefensePlatformについてはいくつかエントリ書いてるのでよかったら参考にしてみてください。

ホワイトリスト形式なのですが、無料で1000件も登録できるので割りと長い期間試せそうです。

使い方についてはAmazonで解説本も売ってるので、参考にしてみるといいんじゃないでしょうか。

 

 

 

僕はAvria、DefensePlatform、脆弱性対策ソフトのMalwarebytes Anti-Exploitを使ってます。。。

ブラックリスト型セキュリティソフト、ホワイトリスト型セキュリティソフト、脆弱性対策の3つは必須な感じですね。

 

詳しくは以下のエントリに書きました

testan.hatenablog.com

 

DefensePlatformについては以下の2つをご覧ください。

testan.hatenablog.com

 

testan.hatenablog.com

 

 

 

ただしDefensePlatformはセキュリティソフトと一部相性問題が発生する可能性があるようです。(1/14現在)

問題が発生したらリアルタイム検知系をオフで試して欲しいとのこと。

ゼロデイ攻撃脆弱性利用されるようなウイルスには既存セキュリティソフトより、断然DefensePlatformのが頼りになると思います。

 

 

 めちゃくちゃ眠いです疲れましたコメント等していただけると嬉しいです(´;ω;`)

何かあればツイッターに直接言ってくださるの歓迎です!

twitter.com