てすたんの日記

testa021の日記 TeslaCrypt、ランサムウェア、mp3ウイルス、VVVウイルス、パソコンとかソフトのレビューが多い感じ?

スポンサーリンク

【ランサムウェア】メール添付がワード形式(.doc)でVVVウイルス(teslacrypt)に感染させるタイプが出現してるようです

目次

 

お詫び

前回のエントリで「jsスクリプトを無効化すれば現状殆ど防げるのでは?!俺って天才!」とか思ってましたがすみません、word形式のも出てきたようです。完全にフラグでした。

testan.hatenablog.com

 

ワード形式って具体的に?

f:id:testa021:20151217220235j:plain ←こんな奴ですね。適当に似た名前の拾ってきた奴。

Fireflyさんの記事から引用させていただくとこんな規則のようです。

invoice_[数字]_scan.doc
invoice_[数字]_copy.doc

昨日こんなエントリを書きましたが、オフィスのマクロウイルスが実はteslacryptをダウンロード、実行させているらしいです。

 

testan.hatenablog.com

Fireflyさんも更新されてました。

blogs.yahoo.co.jp

 

 

間違えて開いてしまっても、絶対に「コンテンツの有効化」を押さないように!

コンテンツの有効化を押すと、そこでVVVウイルス(teslacrypt)のダウンロード、実行が始まります。

なので絶対にコンテンツの有効化は押さないでくださいね。

こんな感じで上のほうに出てくると思います。

f:id:testa021:20151217221012j:plain

 

取り急ぎこんな感じです。

 

それでマクロウイルス自体の対策は?

あとで自分自身でも調べて記事にしたいですが、Fireflyさんの記事が素晴らしいので参考にして下さい。(そもそもこの僕の記事が存在価値があるのかという疑いも)

blogs.yahoo.co.jp

以下引用させていただきます。問題あれば教えて下さい。

~ ダレもが思いつきそうな対策 ~
『怪しいメールを開かない!』
『安易にメールの添付ファイルを起動しない!』
『ワードやエクセルのマクロをホイホイ有効化して許可しない!』
まず、ワードやエクセルにそれぞれ用意されてるセキュリティセンター設定でマクロ機能の扱いを見直せないか検討してください。
 
 

f:id:testa021:20151217221847j:plain

上から2番目がデフォルトらしいです。
1番目と3番目 ⇒ マクロの許可をユーザーに確認する場面なく無効化される
 

 

更にFWで止めて防ぐという対策も

 

そして、マクロウイルスの役割が ダウンローダ なのがポイントで、通信を制御するファイアウォール(アウトバウンド/送信側)は保険的な対策として有効です。
 
具体的には、関連する実行ファイルの通信をブロック・制限して、外部ネットワークからファイルがダウンロードされる挙動を阻止できれば、実害を緩和する効果が期待できます。 

  

 
プロセス名などはFireflyさんの記事をご覧下さい。
 

終わり

これもうFireflyさんの記事だけでいいじゃん!って感じですが許してください。
あとで実際に検証してみて、追記したいと思います。