12月9日に、ネットで突如話題となった「vvvウイルス」について、トレンドマイクロは「必ずしも日本を狙ったものではない」とのブログ記事を公開した。一方で別のセキュリティベンダーのESETは11日に「国内で増加中」として注意喚起を行った。

検出名はESETが「FileCoder.FJ(別名:CryptoWall 4)」、トレンドマイクロが「CrypTesla(別名:TeslaCrypt)」と異なっているが、どちらもファイルを暗号化して拡張子を「.vvv」に書き換える特徴を持つ。

なお、正確に言えば、ESETが検出したものは、このランサムウェアをダウンロードするための「マルウェア」となる。

同社によると、メールでランサムウェアをばらまく「バラマキ型」攻撃のキャンペーンが確認されており、請求書に偽装したメールの添付ファイルにランサムウェアをダウンロードして実行させる仕組みがあったという。

これが実行されると、端末内に保存しているファイルが「.vvv」の拡張子に変換されて暗号化。身代金要求文書のファイルが用意される。

暗号化されて拡張子が.vvvとなったファイル

身代金要求の文書

このvvvファイルを生成するランサムウェアと組み合わせて使われているマルウェアが、ESETの検出網に多数引っかかっているようだ。

メールに添付されたマルウェア「JS/TrojanDownloader.Nemucod」は、日本で検出されたウイルスのうち36.6%を占めていた(12月2日~9日)。亜種も含めて、世界の中でも日本の検出が圧倒的に高い数値となっている様子が、国別検出状況の画像から見て取れる。

日本だけが突出してマルウェアを検出している

12月8日、9日に急激な検出の伸びを示しているマルウェア「JS/TrojanDownloader.Nemucod」

一方で、日本では検出数が小規模であるとしたトレンドマイクロも、マルウェアスパムや脆弱性を突かれたサイト経由の感染を確認している。両社は、どちらも「今後もランサムウェアの攻撃は継続する」との見通しを示しており、身に覚えのないメールの添付ファイルを開かぬように、注意を呼びかけている。