-
- いいね!1016
流石にRSA-2048を馬鹿正直に探す気にはならなかったので気が向いたらということで
宮っち🌱
@202miyako
@202miyako とりあえず仮説として,VirtualStoreを参照不可にするとvvvウィルスによる直接的なファイル改竄は阻止できるということでいいのかな 機能制限により他のアプリケーションに影響が出る可能性は否定できないけど,オシャカよりはマシだべ
2015-12-07 14:40:48
宮っち🌱
@202miyako
@202miyako 初期化直後のネトブでVirtualStore参照禁止処置しての再試験 期待通りやね pic.twitter.com/f4WAp2rx0Q
2015-12-07 15:10:45
拡大
拡大
ここで大事なことを思い出す
複数ドライブ存在時の検証してない...
Cドライブ内のファイル:
- VirtualStoreにコピーを作成
- コピーしたファイルを暗号化
- 暗号化したファイルを元のファイルに上書き
- ファイル名に[.vvv]を追加
に対して,
Dドライブ内のファイル:
- ファイルを直接暗号化
- ファイル名に[.vvv]を追加
となっていることが発覚
VirtualStore関係なくね?
宮っち🌱
@202miyako
@202miyako あー,Cドライブ以外は直接ファイル弄ってるのか これは駄目だ pic.twitter.com/elYwioN8XP
2015-12-07 15:27:59
拡大
ここでProcessExplorerの存在を思い出し,動作を監視
本体実行後にAppdata\Roaming以下にコピーを配置し,その後vss叩いてることから,そこを止めればドライブ関係なく無力化できると判断
宮っち🌱
@202miyako
@202miyako 本体実行後,AppData\Roamingにコピーが作成される図 pic.twitter.com/5OsW0Vn3XO
2015-12-08 03:09:47
拡大
宮っち🌱
@202miyako
@202miyako わかった %userprofile%\AppData\Roaming直下を書き込み禁止にしとけば本体が動かない
2015-12-07 16:11:09
宮っち🌱
@202miyako
@202miyako 本体が自分のコピーをAppData\Roamingに書きに行けなくて行き場をなくして立ち往生してる pic.twitter.com/vCp49rotrc
2015-12-07 16:17:18
拡大
拡大
宮っち🌱
@202miyako
@202miyako ちなみに書き込み制御しないとここに[(ランダムな英字5文字)-bc.exe]という名前でコピーが置かれるっぽい
2015-12-07 16:23:33
宮っち🌱
@202miyako
@202miyako 本体が改竄始めると,開いてるアプリケーションは強制的に停止させられるみたい コマンド窓とかタスクマネージャ,プロセスエクスプローラの起動ができなかった
2015-12-07 16:25:20
これでとりあえずの結論が揃う
宮っち🌱
@202miyako
@202miyako 今回僕が対応した内容を書いときます あくまで僕の環境での確認にすぎず,すべての環境で防衛できると保障するものではないのであしからず pic.twitter.com/Rs03nOva9N
2015-12-07 17:08:15
拡大
(追記)
小さくて読めないという人が多かったので,元サイズのリンク置いときます
http://pbs.twimg.com/media/CVm7t27UYAAzOmy.png:orig
また,Windows8以降及びWindows Server 2012では操作方法が変わっているようです
榎森ねこ
@wahooneko
vvvウィルス対策(Windows8.1版)の解説作ってみた。 Win7版は前のツイート参照 ※画像が大きすぎると強制縮小されるのでURLからお願いします。 i.imgur.com/jyukH6J.png
2015-12-09 05:17:00
宮っち🌱
@202miyako
@202miyako この設定を行うと,Roaming直下へのファイル作成が不可となります(フォルダはOK) ガイドラインではベンダー名などのサブフォルダを作成することが推奨されており,一般的なソフトには影響はないと考えます microsoft.com/en-us/download…
2015-12-08 02:32:40