最終更新日 2016年12月12日

迷惑メール添付.htaファイルでランサムウェア感染 無料ウイルス対策2つ

イメージ 5

Windows XP/Vista/7/8/10 パソコンがターゲット!

ランサムウェア Locky ウイルス を感染を企んだ英語表記の ウイルス付き迷惑メール が不特定多数に配信され続けてます。

この脅威で、ユーザーに開くよう誘惑する 添付ファイル は2パターンありました。

  1. スクリプトファイル
    ファイルの拡張子 .js .jse .wsf .vbs

  2. Officeファイル (マクロウイルス)
    ファイルの拡張子 .doc .docm .xls .xlsm

ここに新たなファイル形式が加わりました。

イメージ 4
マルウェア感染! 迷惑なスパムメール実例

Emailing: Image[数字] / Emailing: Image[数字].jpg
FW: [Scan] 2016-08-13 [数字]:[数字]:[数字]
-----Original Message-----
From: "[人名]"
Sent: 2016-08-13 [数字]:[数字]:[数字]
To: [メールアドレス]
Subject: [Scan] 2016-08-13 [数字]:[数字]:[数字]
Sent with Genius Scan for iOS
Voice Message from Outside Caller ([数字]m [数字]s)
送信者 Peach Telecom

Voice Message Arrived on Friday, Aug 26 @ [数字]: [数字] AM
Name: Outside Caller
Number: Unavailable
Duration: [数字]m [数字]s
Scan 2016-08-13 [数字]:[数字]:[数字]
Order Confirmation [数字] = 注文確認
This message is intended only for the individual or entity to which it is addressed and may contain information that is private and confidential
Accounts Documentation - Invoices = アカウント資料 請求書
送信者 <CreditControl@[メールアドレスの一部]>
Please find attached the invoice(s) raised on your account today. If you have more than one invoice they will all be in the single attachment above.
If you have any queries please do not hesitate to contact the Credit Controller who deals with your account
File: Document(数字) / File: Receipt(数字) / Attached: Receipt(数字) / Attached: Document(数字) / Attached: Scan(数字) / Emailing: Receipt(数字)
Receipt of payment = 支払い領収書
Good afternoon,
Thank you for you call this afternoon.
Please find attached your receipt of payment.
If you need anything else please feel free to contact me on the details below.
Kind regards.
Credit Controller
IB GIBL Credit Control
Document No [数字]
Thanks for using electronic billing
Please find your document attached
Regards
Voicemail from [人名] [数字] [数字]:[数字]:[数字]
Message From "[人名] [数字]" [数字]
Created: 2016.10.04 [数字]:[数字]:[数字]
Duration: [数字]:[数字]:[数字]
Account: This e-mail address is being protected from spambots. You need JavaScript enabled to view it
Receipt [数字]-[数字] = 領収書
Scanned from a Xerox Multifunction Printer
Please open the attached document. It was scanned and sent to you using a Xerox Multifunction Printer.
Attachment File Type: HTA, Multi-Page
Multifunction Printer Location:
Device Name: [英数字]
For more information on Xerox products and solutions, please visit http://www.xerox.com

メールの内容は、もっともらしい通知を装っていて、英語とは言え見に覚えがなくとも目に留まってしまうワケです。

  • ビジネス文書

  • 支払い請求書や領収書 (invoice / インボイス)

  • コピー複合機のスキャンデータ受信

  • 音声メッセージ

不正な .hta ファイルをメールに添付

添付ファイルは zip 形式の圧縮アーカイブです。

さっそく手動で解凍・展開して中身を確認すると、不正な HTML アプリケーション用ファイル(拡張子 .hta) が登場しました。

イメージ 3
HTMLアプリケーション .hta

イメージ 1
踏んだらアウト!
画像、文書、音声ではない

【ウイルスメールの添付ファイル】
Image[数字].zip / Outside Caller 09-01-2016 [英数字].zip / Ord[数字].dzip / ~[数字].zip / (#[数字]) Receipt.zip / Document No [数字].zip
 ↓
[数字].hta
[英数字].hta

HTML アプリケーションとは?

Windows に標準で実装されてる機能の1つで、ネット上のウェブサイト構築時に使われる HTML言語 を使って、普通の Windows アプリケーション的に振る舞うプログラムを作成できます。

ファイルの拡張子は .hta となってます。

ハッキリ言って、普段から メールで .hta ファイルをやり取りするというシチュエーションは100%ありえませんファイルの拡張子に注意するウイルス対策

ダブルクリックでランサムウェア感染被害

この .hta ファイルを Windows パソコン上で何となしにポチポチッと ダブルクリック して開くとどうなる?

.htaファイルに記載されてる攻撃処理が発動して、大変なことになります。

手元で故意に踏み抜いてみると、HTMLアプリケーションの動作を担当するプログラム mshta.exe を介して外部ネットワークに接続し、ナゾの実行ファイルをダウンロードしてシレッと起動してるではないですか~!

イメージ 2
Locky ウイルスの実行ファイルが起動
ランサムウェア感染の瞬間

この記事を投稿した時点で、この実行ファイルの正体は?

  • ランサムウェア Locky
    PC 内の文書、画像、圧縮アーカイブなどデータ破壊して開けない

  • ランサムウェア感染の目印
    破壊されたファイルの名前は 「[32ケタ英数字].zepto」「[32ケタ英数字].shit」 に勝手に拡張子ごと変更される


セキュリティソフト対応はイタチごっこ

オンラインスキャンサイト VirusTotal で確認すると?

主要セキュリティソフトのウイルス定義データ上では脅威としてサッパリ判定されてない 新鮮なランサムウェア Locky 亜種検体 が投入されてます。

【Locky ランサムウェア検体】
MD5 6ef427eeb8e0490cf40613a00d114ffd
www.virustotal.com/ja/file/676201452b46765312d70211e55429d7d23069fbd7351533880bba98bc0f128a/analysis/1472042503/

ESET Win32/Filecoder.Locky.C
Microsoft Ransom:Win32/Locky.A
TrendMicro Ransom_LOCKY.DLDVFG


スマホは? ランサムウェア感染大丈夫?

Windows 以外の環境は、動作対象外の実行ファイルで影響せず大丈夫です。

 Mac OS X
 Androidスマホ
 iOS(iPhone / iPad)
 ガラケー

.hta の攻撃手口に感染防ぐ無料ウイルス対策

こんなおっかない ウイルスメール の脅威を前に、『怪しいメールを開くな!』 といった気合で乗り切れと言わんばかりの精神論ではダメダメ!

もっと賢く、このウイルスメール攻撃手口に沿ってランサムウェア感染被害を100%確実に回避する 無料ウイルス対策 が存在するのです! <別にお金はかからない対策♪

  1. 拡張子 .hta ファイルの関連付けをメモ帳などに変更する
    https://blogs.yahoo.co.jp/fireflyframer/33519796.html

  2. ファイアウォールで mshta.exe ファイルの外部通信をブロックする
    http://fireflyframer.blog.jp/19064221.html