Vvv랜섬웨어

신종 컴퓨터바이러스가 유포되고 있는데, 아직 치료가능한 백신이 없습니다. 다운받거나 클릭하지 않고, 그냥 광고를 보기만해도 감염되고, 컴퓨터 내부의 파일이 암호화되며, 돈을 보내면 암호를 주겠다는 메시지가 나옵니다.

이불밖은 위험하니 당분간 안가던 사이트는 자제하는 것이 좋습니다.

2CPU 쪽에서 퍼온 글입니다.

한글원문

http://2cpu.co.kr/bbs/board.php?bo_table=freeboard_2011&wr_id=398065


일본발 소식으로 토요일부터 급속하게 퍼지기 시작했다고 합니다.

현재 감지가 되는 백신은 카스퍼스키가 유일하며(2015/12/6/ 오전4시시점) 현시점에서 대처방법으로는 특별히 없는 것으로 파악됩니다. 웹브라우져의 코드실행 방지차원에서 보안성 높이시고 최대한 UAC 설정 필수 권장합니다. 밑의 확장자를 보시면 아시겠지만 상당히 악질적으로, 피해가 큰 저작물 등을 노리고 있습니다. SQL DB파일, 파이썬 소스, css 웹소스 등 프로그램 소스코드 등도 포함되어 있으니 주의하시기 바랍니다.

특징

1. 감염루트 : 웹페이지를 보는 것만으로도 감염(이번 건의 경우 광고가 원인)

2. 감염시 카스퍼스키 이외 검출가능 백신 없음(토요일 오전4시 시점)

3. 웹페이지를 보고있을 때, 임의의 코드가 실행가능한 여러 웹어플리케이션 등으로 감염시도(플래시, 자바 등)

4. 감염 후 피해가 상당히 크고 전파속도가 상당히 빠름.

- 감염 후 1-2분 사이에 드라이브 전체 파일 중 밑의 확인된 확장자를 vvv로 바꾸며 암호화

- 접속된 외장하드, 공유폴더도 감염

- 엄청난 감염속도

5. 윈도우 복원포인트 강제삭제

6. BitDefender가 백신배포중이긴 한데, 속도중시형으로 만들어진 터라 검증 불충분인 상황

7. 지금까지의 바이러스와 멜웨어 등과는 동작원리가 틀리며, 일반적인 바이러스지식으로서는 대응불가

킁.....저 저거 걸렸어요....

감염일은 3일인가 4일인가이고…추측 되는 곳은 여기서 토렌토 안정화버전 다운 받은 곳인데…그거 다운 끝나자 말자 하드 극더군엽….전 처음에는 몰랐는데…좀 있으니까 윈도우즈가 디스크 쉐도우 기능인가 사용하겠느냐고 계속해서 아니라고 했는데 좀 있으니 바탕화일에서 txt 파일이 vvv로 확장자가 바뀌더라구엽…TT

이상해서 재부팅하고 V3 업데이트하고 돌리니 이상한게 몇게 잡히더라구엽….잽싸게 검색해서 바이러스 확인하고 멀웨어 프로그램하고 몇개까니까 더이상 동작안하는데 제 경우 하드 3개중 1개반은 vvv로 바꼈더라구엽…TT

확인한 바로는 zip같은 압축파일 , 워드 파일 , txt 파일,그림,사진파일은 다 바꿉니다. 검색한 바에 의하면 방법이 없답니다. 뭐 돈내라는 파일이 디렉토리마다 있는데 돈줘도 온다는 보장은 없다고 합니다.

전 회사 프로젝트 파일 백업도 50%는 감염..TT 제손에 잡힌다면 찟어 죽일겁니다. 할짓이 없어서 이런짓을 해!!!!! 부글부글……..

아….특정 게임 세이브 파일도 바꿉니다.–+ 음…..여기도 자료실의 파일중 링크 걸린건 가급적 안하시는게 좋습니다. 그날 다운받은건 그거 하나 밖에 없었거든요..–

크립토 락커중 테슬라크립트라는 종입니다.(TeslaCrypt 3.1이라고 합니다.) decrypt 되는 프로그램 나왔으면 좋겠어요….(하위버전은 범인이 잡혀서 디크리션되는 툴이 나왔더라구엽…TT)

감염되는 순서.

1. 웹페이지 관람.

2. 웹페이지에 포함된 광고를 통해 감염

3. 자바, 플래시 등을 통해 임의의 코드가 실행

4. 감염 후 1-2분내 확장자 vvv변환 / 암호화

5. 외장하드, 외장스토리지, 네트워크내 공유폴더도 감염

암호화대상 확장자

sql, .mp4, .7uit, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .ritssluiting, .zij, .som, .iBank, .t13, .t12, .QDF, .gdb, .belasting, .pkpass, .BC6, .BC7, .BKP, .Qin, .BKF, .sidn, .Kidd, .mddata, .ITL, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .Gho, .geval, .svg, .kaart, .wmo, .itm, .sb, .fos, .mov, .VDF, .ztmp, .zus, .sid, .NCF, .menu, .lay-out, .DMP, .bobbel, .esm, .vcf, .VTF, .dazip, .FPK, .MLX, .kf, .IWD, .LSC, .tor, .psk, .rand, .w3x, .fsh, .ntl, .arch00, .lvl, .SNX, .cfr, .ff, .vpp_pc, .LRF, .m2, .mcmeta, .vfs0, .mpqge, .KDB, .db0, .dba, .rofl, .hkx, .bar, .kve, .de, .mensen, .litemod, .aanwinst, .smeden, .LTX, .bsa, .apk, .RE4, .weken, .lbf, .slm, .bik, .EPK, .rgss3a, .vervolgens, .groot, portemonnee, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .hemel, .de, .X3F, .SRW, .PEF, .ptx, .r3d, .RW2, .RWL, .rauw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .KDC, .dcr, .CR2, .CRW, .bay, .SR2, .SRF, .ARW, .3fr, .DNG, .JPE, .jpg, .cdr, .indd, .aan, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .WPD, .DXG, .xf, .dwg, .pst, .accdb, .CIS, .PPTM, .pptx, .ppt, .XLK, .XLSB, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc,.odb, .Ep, .odm, .Reageer, .paragraaf, .odt

아래는 원문입니다.

【著作権フリー】 当該内容に関する著作権を永久に放棄します。本内容は転載・改変・転送・送信は自由です。 VVVウイルスに関する注意喚起

※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 当該内容に関して、検索エンジンなどでの検索は控えてください ※※※※※※※※※※※※※※※※※※※※※※※※※※※※※

新型のコンピューターウイルスに関する注意喚起です。

前の土曜日から、急速なスピードで、通称「vvvウイルス」というランサムウェア(コンピューターウイルス)が拡散しています。

手口は「ドライブバイダウンロード」でWebサイトの広告を閲覧しただけで感染するというものです。 現在、ウイルスを検出できるウイルス対策ソフトが「カスペルスキー」(2015/12/6 AM4時現在)となっています。

今回のウイルスで驚異な点として、現時点で全く対処方法がなく、感染した場合の被害が尋常ではないところです。

詳細は下記に箇条書きベースでまとめています。

【vvvウイルスの特徴】 1.感染ルートはWebサイトを閲覧するだけ   ※Webサイトにある広告が原因 2.感染時、ウイルス対策ソフトで検出できるものは無し   (2015/12/6 AM4時現在。事後検出はカスペルスキーのみ可能) 3.Webサイト閲覧時、任意のコードが実行可能なあらゆるもの(Flash・Javaなど)で試され、ほぼ強制的に感染する。 4.感染後の被害が大きい、かつ早すぎる。   ①感染後1~2分でドライブ全体のファイル名を「拡張子 *.vvv」にリネーム、及び暗号化。   ②当該PCに接続されている外部記憶媒体・及びネットワークドライブにも感染。   ③どう考えても通常では考えられないスピードで感染が拡大する。 5.Windowsの復元ポイントも削除される。 6.セキュリティの専門家が、当該ウイルスに関して情報収集のため、検索エンジンで検索して、   ミイラ取りがミイラになっている始末。 7.BitDefenderがワクチンを配布しているが、速報ベースのモノで、検証が不十分な模様 8.今までのウイルスやマルチウェアと動作原理が違い、一般のウイルス対策の知識では対応できない。

【感染の流れ】 1.Webサイトを閲覧 2.Webサイトに含まれる広告から感染 3.該当する広告は任意のコードが実行可能なあらゆるもの(Flash・Javaなど)から実行を試みる 4.感染後1~2分でドライブ全体のファイル名を「拡張子 *.vvv」にリネーム、及び暗号化 5.外付けHDDや、ネットワークドライブなどWindows上でアクセスできる、あらゆるファイルに感染。

【暗号化対象となるファイル】 sql, .mp4, .7uit, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .ritssluiting, .zij, .som, .iBank, .t13, .t12, .QDF, .gdb, .belasting, .pkpass, .BC6, .BC7, .BKP, .Qin, .BKF, .sidn, .Kidd, .mddata, .ITL, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .Gho, .geval, .svg, .kaart, .wmo, .itm, .sb, .fos, .mov, .VDF, .ztmp, .zus, .sid, .NCF, .menu, .lay-out, .DMP, .bobbel, .esm, .vcf, .VTF, .dazip, .FPK, .MLX, .kf, .IWD, .LSC, .tor, .psk, .rand, .w3x, .fsh, .ntl, .arch00, .lvl, .SNX, .cfr, .ff, .vpp_pc, .LRF, .m2, .mcmeta, .vfs0, .mpqge, .KDB, .db0, .dba, .rofl, .hkx, .bar, .kve, .de, .mensen, .litemod, .aanwinst, .smeden, .LTX, .bsa, .apk, .RE4, .weken, .lbf, .slm, .bik, .EPK, .rgss3a, .vervolgens, .groot, portemonnee, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .hemel, .de, .X3F, .SRW, .PEF, .ptx, .r3d, .RW2, .RWL, .rauw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .KDC, .dcr, .CR2, .CRW, .bay, .SR2, .SRF, .ARW, .3fr, .DNG, .JPE, .jpg, .cdr, .indd, .aan, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .WPD, .DXG, .xf, .dwg, .pst, .accdb, .CIS, .PPTM, .pptx, .ppt, .XLK, .XLSB, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc,.odb, .Ep, .odm, .Reageer, .paragraaf, .odt


以下は取り扱いにご注意ください


vvvウイルス感染報告が多いサイトまとめです。 周知の際には、興味本位でアクセスされる方もいるかもしれませんので載せないでください。 ・やらおん! ・ハムスター速報 ・はちま起稿 ・オレ的ゲーム速報@刃 ・ニュー速VIPブログ ・暇人速報 ・アルファルファモザイク ・あじゃじゃしたー ・痛いニュース ・VIPPERな俺 ・キニ速 ・哲学ニュース

같이 보기

역링크