拡張子を MP3 にする TeslaCrypt は IE8 狙い撃ち、見ただけで感染か

 知人から突然の悲報

パソコンの中のファイルが全て、音符マークのアイコンになってしまって、開こうとすると変な英文が出てくるんだ

 doc、xls と言った Office 系のファイルのほか、png や jpg と言った画像系も、ほぼ全てのファイルの最後に .mp3 が付いてしまったとのこと。

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with AES
More information about the encryption keys using AES can be found here: http://en.wikipedia.org/wiki/AES

How did this happen ?
!!! Specially for your PC was generated personal AES KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:

 つまり

君のパソコンのファイルは全て AES という厳重な暗号化処理を施してやった。
秘密鍵は我々のサーバーに保管されている。
君には2つの選択肢がある。


一つ目はビットコインで送金する方法だ。
さすれば直ちにデータは復元されるだろう。


もう一つの方法はデータの復元を諦めることだ。
余計な手間をかけずに済むし費用もかからない。

って感じの内容ぽい。
 MP3 の拡張子を取り除いてみたくらいで何とかなるわけもなく、完全にお手上げ。


 これが有名な身代金要求型ウィルス TeslaCrypt(Locker?) かよ!


 聞くとパソコンにつながってるハードディスクやメモリーカードはもとより、バックアップのために同一ネットワークに繋げてあった NAS の中のファイルまで、見える範囲ほぼ全て 暗号化されてしまったと。


 完膚なきまでに完全絶望!


 他人事なので笑って聞いていたのですが、自分のことに置き換えてみるとあまりの悲惨さに涙腺が緩んできます。
 NAS まで探し出して、思い出の詰まった大切な写真も全て暗号化してしまうなんて。


 これほどまでに鬼畜で無慈悲なウィルスが過去にあったでしょうか。
 その暗号化されたのが子供の写真だったりしたら、たぶん犯人の言い値で送金してしまいますね。
 もし会社の共有サーバーがやられたら・・・送金しないでいると倒産してしまう会社も出てくるんじゃないですか。


 んで、昨日の遅い時間ではありますが、その知人よりは多少なりとも心得がある私めが音符になったパソコンを預かってきまして、「ネットワークにつながない」を厳守しつつ中身を精査してみることにしました。


 こいつが正体ぽいです。


http://dl.ftrans.etr.jp/?cf81240a7d6d4de5b67815c7b1d2e739e0b85423.png http://dl.ftrans.etr.jp/?9a27e18c783649e0884d8d43ce2df3e6df09092d.png
 たぶんファイル名はランダムなので意味ないですけど、「generatorrsrc」が通名なのでしょうか。
 Windows フォルダに非可視属性で格納されていました。
 もちろん HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run にも登録ありました。
 タイムスタンプは、彼が電話をかけてきた1時間前です。


 普通は作成日時と更新日時とが同じか、作成日時のほうが昔であるべきと思うんですけど、なぜか逆転しています。


 その知人は「Microsoft Security Essentials」を利用していたらしいのですが、最新パターンファイルでスキャンしてみても反応なし。
 ウィルスバスター(パターンファイル 16/03/01版)を使ってチェックさせてみても検知しません。


 当人は 怪しいサイトへは行ってない 変なメールの添付ファイルも叩いてない と言い張ってます。
 パソコンの中は好き放題に見て回っていいという了承ももらっているので、本当にエッチなサイトに行ってないか確認してみることにします。


http://dl.ftrans.etr.jp/?ad198b22133f4e60b2b9ab720f9547f5d4fac730.png
※クリックすると等倍で見れます 


 先ほどの怪しいファイルのタイムスタンプ付近を探っていると、変なサイトから html を取ってきているのが分かります。
 秒の単位が表示されていませんが実際には 16:59:12 でした。
 その何秒か前にヤフーで「メガバス」を検索しています。(彼はバサーです)
 またスクリーンショットにはないですが、16:58 に楽天でも同じ言葉で検索しているぽい感じでした。
 直後の2行 ?CodeDownloadErrlog 〜 や socialweb?〜 なども非常に怪しいですねぇ


 この 16:59:12 に取得した、html の捕獲に成功しましたので、内容を見てみることにしましょうか。

<!DOCTYPE  html>
<html>

<head>
    
    <title>
        it. here
    </title>
</head>

<body>
<p>
  lost no time to deliberate and judge." "But I do not know; for WE of course made every necessary arrangement with the fortitude of an affair, a connection--but need
</p>
<s>
 <i>
  " "You would not interest.--I know of no profession at all." I
 </i>
 <b>
  "That conviction must be the natural embellishments of mother's language, to make it one of these jokes, and in with
 </b>
 <button>
   You will tell you any idea of the feelings of sister on any other apartment of the young I
  <ol>
    Will you be at
  </ol>
 </button>
 <cite>
   misters with
 </cite>
 <strike>
  <q>
   <ol>
    " Poor muttered something, but what should
   </ol>
   any inconvenience to me, for I think was used very hardly; for your general character, and his temper was cheerful sanguine;
  </q>
  " "You surprise me; should
 </strike>
 " ", for shame!" said "money can only pronounce him to it, I you;
</s>
<textarea>
 <sup>
  sister suspected a word was spoken during their return was arranged as far as to tell his
 </sup>
 <q>
  called a beautiful hanging wood, and on this attack, though almost hopeless of contributing, at present, ?" with
 </q>
 " did feel
</textarea>

 なんか英語として変な気もしますが、まんま御本尊のようです。


 丁寧?に文章を書いてあることから、1ドット角のインラインフレームの中に埋め込まれていたわけではなく読ませるべくして書かれたものだと思うので、拾った瞬間の 16:59:12 にこの文章が表示されたと思うんですけど当人は記憶にないらしく。
 そりゃ感染して1時間あまり経って、すっかり音符になり果てたパソコンを前にして初めて異変に気がついたわけで、1時間前の細かい操作(広告をクリックしたかどうか、クリックしたならどの広告か)なんて覚えてないですな。


 以後しばらく続くんですけど核心部ぽい場所は、べた貼りするとヤバそうな気がするのでスクショ張っておきます。
(画像なので見ても感染しません、笑)


http://dl.ftrans.etr.jp/?a12a7cac3b9c42b8aeff86c7ffbac1d3309f4e4a.png
(知人機だとメモ帳しか入ってないので、検体をフロッピーにコピーしてメイン機で見てます。かなり緊張しました、笑)


 未だに XP を使っていた時点でアレなのですが、いかにも怪しい感じで、サポートの終了した IE8 の脆弱性を突いた「見ただけで感染するウィルス」なんじゃないかと思われます。
 ちなみに、この HTML ファイルもウィルス対策ソフトには反応しませんでした。


 すでにヤラれてしまった知人のパソコンで、この HTML を IE8 で開いてみた限り、DDE なんとかかんとかというエラーぽいダイアログが出るとともにペイント(MSPAINT.EXE)を操っている感じの挙動でした。
(スクショを取るために、立ち上げてあったペイントが勝手に動いた)


 この悪意ある html を送りつけた主は afsponsde.hufkerdesign.com というホストですが、hufkerdesign.com はアメリカに実在しているものの、「afsponsde.hufkerdesign.com」は正引きできません。
 ハッカーにやられて踏み台にされた被害者なのか、はたまた主犯(協力者)なのか・・・


 念のため変なツールバーの類とかを拾ってないかも確認しましたが、アドオン一覧もきれいなもんです。
 Flash のバージョンは 20.0.0.306 と、たぶん最新ですし、ウィルスを思わせる常駐プログラムもありませんでした。


 ちなみに検索対象だったメガバスのサイトへのアクセス(favicon の取得日時)は 16:59:47 で 35秒後。
 favicon はアクセスと同時にブラウザが勝手に取りに行くと思うので、そう仮定すれば 16:59:47 がメガバスのサイトをクリックした時刻で、不正な HTML を受け取った 16:59:12 よりも後ということになるので、メガバスのサイトからウィルスを拾った可能性は低いのでは?と判断しています。
 この辺の細かい挙動は詳しい方からの補足を待ちたいところです。


 ウィルス本体の「作成日時 17:02:02」の付近も調べてみます。
 すでに不正な HTML を受け取ってしまったあとですが、そんなこと知らない知人は一生懸命にメガバスのサイトを眺めていた時間になるかと思います。


http://dl.ftrans.etr.jp/?46e7b81654d8407baad589141224ea192f915745.png
※クリックすると等倍で見れます


 ちょうど色の変わってる行を注目ください。
 「https://static.xx.fbcdn.net/rsrc.php〜」
 ウィルス本体の通名は「generatorrsrc」みたいなんですけど、rsrc.php って・・・
 generator + rsrc ? いやまさか。


 IPひろば で検索してみると、static.xx.fbcdn.net はアイルランドIPアドレス のようで、どうも Facebook が絡んでいる模様ですが一体なんなんでしょう。
 ここで晒されてる rsrc.php〜 を実際に叩いてみても 2KB もありませんでしたが、知人のは 328KB もあったようです。
 私のスキルでは、328KB の中身を捕獲することはできませんでした。
 https 〜から取ってきたものなのでそもそも無理かもしれません。


 さすがに Facebook がウィルス配っているわけないでしょうけど、generator + rsrc は偶然なのでしょうか・・・?
 きっとシロだとは思いますが、そもそも Facebook には興味ないし、場合によっては数百KB もの JS を勝手に送りつけてくる場合があることを知ってしまったので、ラズパイで運用している宅内DNS(Unbound)サーバー で管理してるブラックリストに fbcdn.net も突っ込んでおくことにしますわ。


 感染経路としては、楽天かヤフー経由の「不正広告」に仕込まれていたものに引っかかったような気はしますが、「見ただけで感染」という深刻かつ致命的な脆弱性が IE8 にあることは、まず間違いないと思います。
(ブラウザたるもの、「不正HTML」ごときで感染してはいけない)


 「怪しいサイトは利用しないから・・・」って言っても防ぐことが出来ないタイプですから、やむを得ない事情で、どうしても XP を使い続けないといけない人は、直ちに IE8 の使用を中止して、FirefoxChrome に移行してください!!! 


 あと、大事なデータのバックアップにハードディスクを使ってる人も多いと思いますが、USB にせよ LAN にせよ「普段は外しておいて、バックアップを取る間だけ接続」を心がけないと、バックアップも用をなさないことになってしまいます。


(追記)2016/03/03
 ウィルスバスター・2016/03/03 版のパターンファイルでウィルス本体の exe ファイルが TROJ_FRS.0NA003C216 として検知されるようになりました。
(exe を生成する元になった不正な HTML のほうは相変わらず安全判定のまま)


 恐らく犯人側は完全に「量産体制」に入っていると思われ、パターンファイルの末尾「03C216」を見て分かるとおり、対策が間に合ってないのは明らかです。


 JVNDB を検索 してみると分かりますが莫大な件数の脆弱性が見つかっていますが、XP はサポート終了を理由に 2014年4月以降は修正パッチを配布しておりませんため、この手の攻撃に対して全くもって無防備です。
 IE8を使わない 以外に対策はありません。