416
宮っち🌱 @202miyako
その他はハンドシェイクっぽくて大したデータはなさそうだな

流石にRSA-2048を馬鹿正直に探す気にはならなかったので気が向いたらということで

宮っち🌱 @202miyako
このリクエストから鍵が見つかるかはそのうち試す
宮っち🌱 @202miyako
@202miyako とりあえず仮説として,VirtualStoreを参照不可にするとvvvウィルスによる直接的なファイル改竄は阻止できるということでいいのかな 機能制限により他のアプリケーションに影響が出る可能性は否定できないけど,オシャカよりはマシだべ
宮っち🌱 @202miyako
@202miyako ゴミもそんなに散らかされないっぽい pic.twitter.com/W9HC6WOCm5
拡大
宮っち🌱 @202miyako
@202miyako 初期化直後のネトブでVirtualStore参照禁止処置しての再試験 期待通りやね pic.twitter.com/f4WAp2rx0Q
拡大
拡大

ここで大事なことを思い出す
複数ドライブ存在時の検証してない...

Cドライブ内のファイル:

  • VirtualStoreにコピーを作成
  • コピーしたファイルを暗号化
  • 暗号化したファイルを元のファイルに上書き
  • ファイル名に[.vvv]を追加

に対して,

Dドライブ内のファイル:

  • ファイルを直接暗号化
  • ファイル名に[.vvv]を追加

となっていることが発覚

VirtualStore関係なくね?
宮っち🌱 @202miyako
@202miyako あー,Cドライブ以外は直接ファイル弄ってるのか これは駄目だ pic.twitter.com/elYwioN8XP
拡大

ここでProcessExplorerの存在を思い出し,動作を監視
本体実行後にAppdata\Roaming以下にコピーを配置し,その後vss叩いてることから,そこを止めればドライブ関係なく無力化できると判断

宮っち🌱 @202miyako
@202miyako 本体実行後,AppData\Roamingにコピーが作成される図 pic.twitter.com/5OsW0Vn3XO
拡大
宮っち🌱 @202miyako
@202miyako わかった %userprofile%\AppData\Roaming直下を書き込み禁止にしとけば本体が動かない
宮っち🌱 @202miyako
@202miyako 本体が自分のコピーをAppData\Roamingに書きに行けなくて行き場をなくして立ち往生してる pic.twitter.com/vCp49rotrc
拡大
拡大
宮っち🌱 @202miyako
@202miyako とりあえずこの2点だけで動きは止まるかな pic.twitter.com/6Y882hnquo
拡大
宮っち🌱 @202miyako
@202miyako ちなみに書き込み制御しないとここに[(ランダムな英字5文字)-bc.exe]という名前でコピーが置かれるっぽい
宮っち🌱 @202miyako
@202miyako 本体が改竄始めると,開いてるアプリケーションは強制的に停止させられるみたい コマンド窓とかタスクマネージャ,プロセスエクスプローラの起動ができなかった

これでとりあえずの結論が揃う

宮っち🌱 @202miyako
@202miyako 今回僕が対応した内容を書いときます あくまで僕の環境での確認にすぎず,すべての環境で防衛できると保障するものではないのであしからず pic.twitter.com/Rs03nOva9N
拡大

(追記)
小さくて読めないという人が多かったので,元サイズのリンク置いときます
http://pbs.twimg.com/media/CVm7t27UYAAzOmy.png:orig

また,Windows8以降及びWindows Server 2012では操作方法が変わっているようです

榎森ねこ@VRC @wahooneko
vvvウィルス対策(Windows8.1版)の解説作ってみた。 Win7版は前のツイート参照 ※画像が大きすぎると強制縮小されるのでURLからお願いします。 i.imgur.com/jyukH6J.png
拡大
宮っち🌱 @202miyako
@202miyako この設定を行うと,Roaming直下へのファイル作成が不可となります(フォルダはOK) ガイドラインではベンダー名などのサブフォルダを作成することが推奨されており,一般的なソフトには影響はないと考えます microsoft.com/en-us/download…

他にも,[AppData\Roaming\?????-bc.exe]の実行をポリシーで抑止するとか,方法はあると思います
あくまで今回僕が調べた範囲での情報として展開します

(追記)
そういえば「ファイルの実行」ってフラグもありましたね...(すっかり忘れてた)

  • ガイドラインに従ったソフトであれば問題ないとして直下への書き込みを禁止したい→「ファイルの作成/データの書き込み」を拒否
  • ゴミ置かれてもいいから副作用を回避したい→「フォルダーのスキャン/ファイルの実行」を拒否

ここはお好みでよいかと

(追記の追記) 2015.12.19
ファイルの作成を拒否した場合,Visual Studioの新規プロジェクト作成に影響が出ることを確認しました
(既存プロジェクトの展開・ビルド等は問題ないようです)
Visual Studioを利用している環境では,後者「フォルダーのスキャン/ファイルの実行」を拒否する設定の方がよいかもしれません

内部感染や感染拡大は第三者にも甚大な被害を及ぼすことがあります ウィルスの取り扱いには充分に注意し,有識者立ち会いのもとで作業を行いましょう OSやアドイン・プラグインの更新など,基本的な対策は怠らないようにしてください

宮っち🌱 @202miyako
@202miyako なんだかアレなコメントがちらほら見られるのでちょっとだけ追記しようかしら
宮っち🌱 @202miyako
@202miyako まず,一番多いのが「Roaming以外に本体置くようになったら対応できないだろ」というもの そりゃそうだ ウィルスと対策なんて所詮イタチごっこ 今回は亜種の動きを想定して対応するためではなく,現状に対応できればよいという意図で検証したものである
宮っち🌱 @202miyako
@202miyako 次 「この対策する以前にOSとプラグインの更新しろ」 そんなものは当たり前 感染しないための対策ではなく,感染した場合の被害低減を目指したものであることに注意 当該のウィルスが必ずFlashPlayer経由で感染するとは限らない 感染経路と動作は別に考えよう
宮っち🌱 @202miyako
@202miyako 「こんな弊害の発生しそうなオレオレ設定広めんな」(はてブのコメントより) 個人が勝手に検証した内容をまとめただけのも 「広める」つもりはないし,「自分がとった対応」と明記してあるはず 設定弄るなら最初から自己責任でお願いします 成果の保証も責任も知らん
宮っち🌱 @202miyako
@202miyako 「Qiitaでやれ」 知らんがな(´・ω・`) プログラムはファイル改変ログ取得ツール作ったとこでしか書いてません
宮っち🌱 @202miyako
@202miyako 大事なこと この設定を行ったからといって油断をせず,先述の基本的な対策を怠らないように ウィルスの亜種なんてのは毎日数百件という規模で増え続けており,今回の対応もコピー先パスが変わるだけで効力を無くします 適切な事前対策を行い,感染そのものを防いでください

コメント

kumonopanya @kumonopanya 2015年12月8日
ネット普及以前だとレポートが雑誌に乗ったりするまで数週間はかかってたが、昨日の今日でこんなレポートを読める時代はほんとすごい。
宮っち🎄 @202miyako 2015年12月8日
Roamingフォルダへの権限設定による他アプリケーションへの影響について追記しました
RUN @Runagate 2015年12月8日
vvvのウィルス対策きたよーだ。ありがてぇ。
二行緑@横須賀鎮守府万年大将 @g255_twoline 2015年12月8日
多分このへんの作りは甘いだろうと思ってたけど案の定かぁ
こばやし 'にらたま' けんいち @Niratama 2015年12月8日
興味深い。AppDataなどのデータフォルダ以下のファイル実行禁止する仕組みはないのかな
近藤 和宏 @kondoujp 2015年12月8日
%AppData% 以下なら普通データ置き場だし、実行権限禁止にするだけでも大抵問題なさそう。%LocalAppData% は下に Temp があるので (インストーラーとかが一時的に展開し、それを起動できなくて) 爆死するけどw
Aki@めもおきば 2/29~3/1技術書典8 @nekoruri 2015年12月8日
UACで拒否しても、VSSの復元ポイントが守れるだけでファイル自体は暗号化されてしまう、でいいのかな。
シーライオン+@浮上 @sealion0313 2015年12月8日
これはいい対策。いちおう大事なフォルダやデータはカードに避難させてあるけど、対策が拡散されるとウイルス作ってる側も対策破りを講じるだろうから、しばらくはネット接続しないパソでしか作業しないほうがいいかな。
Aki@めもおきば 2/29~3/1技術書典8 @nekoruri 2015年12月8日
Niratama NTFSに「フォルダのスキャンとファイルの実行」というACLがあるので、素直にそれでディレクトリ配下のファイルを実行禁止にできるっぽい? (未検証)
[男爵]やっきぃ🍣💿/1月22日CD発売 @yaky_404 2015年12月8日
素晴らしい 読み物としても面白かったです
こっぱみじん😈 @paoohn 2015年12月8日
公開鍵取得してるだけで秘密鍵はローカルには持たないんじゃないですかね?もっとも、秘密鍵全部復号用のサーバに保持しているのか疑問なので、途中で生成するMD5あたりを元ネタに鍵ペア作ってる可能性はありそうな気がしますが
裏技君 @urawazakun 2015年12月8日
お金払ってでも読みたかったまとめというか、今からでも続報をどっかに寄稿してみては、とも思います
おおかみ @wolf64m 2015年12月8日
巷で噂のvvvの挙動が検証出来たらしい
なおと(codeslinger) @naocodeslinger 2015年12月8日
なるほど。Roaming直下ファイル禁止でいけるのか。
keyray @Keyray7 2015年12月8日
Bitdefenderの出してるAnti-Ransomwareが%appdata%下と%startup%下でのファイル実行を止めると言ってるんで、このへんのことは既知なんじゃないかな
娑婆助 @shabasuke 2015年12月8日
HIPS使っている人が少ないからかこういった報告はあまりないね。なんにせよ意識高い人は広告ブロックしてるしjavaやスクリプトも切ってるだろうから引っかからないのだろう。
trycatch777 @trycatch777 2015年12月8日
素晴らしい検証です!
四条あき @Aki_Shijou 2015年12月8日
なるほど、わからん
自転 @g_tenlow 2015年12月8日
この騒ぎが落ち着くまでRoaming直下のファイル作成を禁止すればいいのね。 まず、わからない人はコレを参照して http://windows.microsoft.com/ja-jp/windows/show-hidden-files#show-hidden-files=windows-7 こっちを見よう。 http://www.teppi.com/solution/file_mgmt/008_filing_win_acl03.htm
自転 @g_tenlow 2015年12月8日
あくまでも被害を最小限にできるって感じだなぁ。 グループポリシーの抑止はこのサイトの通り、間違えたらログオン出来ない可能性があるので全て自己責任でやってね。 http://solomon-review.net/windows10-upgrade-inhibit/
sabimaru (猫星人犬) @sabimaru 2015年12月8日
WinSCPがRoaming直下にini(設定ファイル)やrnd(乱数ファイル)を置いてた。お行儀悪いのね。
yhousako @4oc 2015年12月8日
お疲れ様です。とてもありがたい。
Takeshi Kusumoto @takeshi_kusumot 2015年12月8日
UACとは一体…うごごごごご 今回の件では何の役にも立たない上に今まで通常時でもインストールの邪魔だけはしてくる不思議
いろもく @iromoku 2015年12月8日
検証過程まで公開してくれてるのか…ありがたいありがたい…
こっぱみじん😈 @paoohn 2015年12月9日
この検証結果でUACに文句言ってる人は何を見てるんだろう?身に覚えがないのに権限昇格確認が出てきた時点で疑えるんだから充分に役に立ってるし、脆弱性を利用した権限昇格まで行われていないのであれば、Windows 7以降の標準バックアップ機能で作られたバックアップも(ACLこじ開けてなければ)守れるんだけど
ちはや🌸🐱 @Chihalog 2015年12月9日
ヤツがRoamingにフォルダ作成するようになるとちょっとキツいかもしれないですねー。ファイル作成禁止だけでは回避できなくなるので。
しもべ @14Silicon 2015年12月9日
本当のウイルスよりも捉えにくいかもしれないコンピュータウイルスを市民が捕らえて(捉えて)研究してその結果を提供しているの素敵過ぎる
きゃきらん @kyakirun 2015年12月11日
検証ありがとうございます、
🐌 @kota2muri 2015年12月12日
%AppData%を開いてみて、そこにフォルダ以外の物を作る変なソフトがこの対策で使えなくなるか動作がおかしくなる問題がでる可能性があるってことですね。フォルダしかないならこの対策を試してみても特に問題はないかと思います。
小旗ふたる@C97 4日目 南モ-18a @Kass_kobataku 2015年12月13日
なるほど。 ※どこのフォルダやねんって人はwindowsキー(windowsのマークが描かれてたりするキー)とRを同時に押して出てきたウィンドウに appdata と(勿論半角で)入力してenterをおすとよろし。
水鳴 倫紅(みなき りんく) @linc_for_music 2015年12月14日
このフォルダ自体知りませんでした……。自己責任で対策しました。説明ありがとうございます……!
Bauer @WorldLeaf 2019年2月19日
おー、パソコンのお医者さん
ログインして広告を非表示にする
ログインして広告を非表示にする