.odin拡張子ファイルに変更被害 ランサムウェアLockyウイルス感染メールに注意!
 
2016年2月に感染キャンペーンが始まった ランサムウェア Locky(ロッキー) は、6月から暗号化済み ファイルの拡張子を 「~.zepto」(ゼプト) に変更するけど、今日9月27日から新たに 「~.odin」(オーディン) に切り替わりました。
 
イメージ 2
脅迫文 _[数字]_HOWDO_text.html と ODINファイル
 
Wikipedia によれば odin は ”北欧神話の主神にして戦争と死の神” だとか。

暗号化対象のファイルの拡張子

先週9月23日時点のウイルス検体(.zepto) を調べたら、約150種のファイル拡張子が暗号化の対象になってました。
 
【9月23日の検体】
.aes .apk .ARC .asc .asf .asm .asp .asset .avi .bak .bat .bik .bmp .brd .bsa .cgm .class .cmd .cpp .crt .csr .CSV .d3dbsp .das .dbf .dch .dif .dip .djv .djvu .DOC .docb .docm .docx .DOT .dotm .dotx .fla .flv .forge .frm .gif .gpg .hwp .ibd .iwi .jar .java .jpeg .jpg .key .lay .lay6 .lbf .ldf .litemod .litesql .ltx .max .mdb .mdf .mid .mkv .mml .mov .mpeg .mpg .ms11 .MYD .MYI .NEF .odb .odg .odp .ods .odt .onetoc2 .otg .otp .ots .ott .PAQ .pas .pdf .pem .php .png .pot .potm .potx .ppam .pps .ppsm .ppsx .PPT .pptm .pptx .psd .pst .qcow2 .rar .raw .RTF .sav .sch .sldm .sldx .slk .sql .SQLITE3 .SQLITEDB .stc .std .sti .stw .svg .swf .sxc .sxd .sxi .sxm .sxw .tar .tar.bz2 .tbk .tgz .tif .tiff .txt .uop .uot .upk .vbs .vdi .vmdk .vmx .vob .wallet .wav .wks .wma .wmv .xlc .xlm .XLS .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .zip
 
新たな .odin になるウイルス検体は何か極端に倍増していて約370種です。
 
イメージ 8
 
【9月27日の検体】
.7zip .aac .accdb .accde .accdr .accdt .ach .acr .act .adb .adp .ads .aes .agdl .aiff .ait .aoi .apj .apk .ARC .arw .asc .asf .asm .asp .aspx .asset .asx .avi .awg .back .backup .backupdb .bak .bank .bat .bay .bdb .bgt .bik .bin .bkp .blend .bmp .bpw .brd .bsa .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .cer .cfg .cgm .cib .class .cls .cmd .cmt .config .contact .cpi .cpp .craw .crt .crw .csh .csl .csr .css .csv .d3dbsp .dac .das .dat .db_journal .dbf .dbx .dch .dcr .dcs .ddd .ddoc .ddrw .dds .der .des .design .dgc .dif .dip .dit .djv .djvu .dng .doc .docb .docm .docx .dot .dotm .dotx .drf .drw .dtd .dwg .dxb .dxf .dxg .edb .eml .eps .erbsql .erf .exf .fdb .ffd .fff .fhd .fla .flac .flf .flv .flvv .forge .fpx .frm .fxg .gif .gpg .gray .grey .groups .gry .hbk .hdd .hpp .html .hwp .ibank .ibd .ibz .idx .iif .iiq .incpas .indd .iwi .jar .java .jnt .jpe .jpeg .jpg .kdbx .kdc .key .kpdx .kwm .laccdb .lay .lay6 .lbf .ldf .lit .litemod .litesql .log .ltx .lua .m2ts .mapimail .max .mbx .mdb .mdc .mdf .mef .mfw .mid .mkv .mlb .mml .mmw .mny .moneywell .mos .mov .mpeg .mpg .mrw .ms11 .msg .myd .MYI .ndd .ndf .nef .nop .nrw .nsd .nsf .nsg .nsh .nvram .nwb .nxl .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .ogg .oil .onetoc2 .orf .ost .otg .oth .otp .ots .ott .pab .pages .PAQ .pas .pat .pcd .pct .pdb .pdd .pdf .pef .pem .pfx .php .pif .plc .plus_muhd .png .pot .potm .potx .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .prf .psafe3 .psd .pspimage .pst .ptx .pwm .qba .qbb .qbm .qbr .qbw .qbx .qby .qcow .qcow2 .qed .raf .rar .rat .raw .rdb .rtf .rvt .rwl .rwz .s3db .safe .sas7bdat .sav .save .say .sch .sda .sdf .sldm .sldx .slk .sql .sqlite .sqlite3 .sqlitedb .srf .srt .srw .stc .std .sti .stm .stw .stx .svg .swf .sxc .sxd .sxg .sxi .sxm .sxw .tar .tar.bz2 .tbk .tex .tga .tgz .thm .tif .tiff .tlg .txt .uop .uot .upk .vbox .vbs .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .vob .wab .wad .wallet .wav .wks .wma .wmv .wpd .wps .xis .xla .xlam .xlc .xlk .xlm .xlr .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .ycbcra .yuv .zip

ウイルス付き迷惑メールの添付ファイル

イメージ 4
リコー製複合機からのデータ受信を装う添付ファイル付き迷惑メール
 
イメージ 5
契約の合意書を装う添付ファイル付き迷惑メール
 
ウイルス感染経路の1つである英語表記の迷惑メール には、不正な Windows Script ファイル(拡張子 .wsf) や JScript Script ファイル(拡張子 .js) を含んだZIP形式の圧縮アーカイブが添付されてます。
 
イメージ 1
ダブルクリック厳禁!!! スクリプトウイルス(拡張子 .wsf)
 
イメージ 3
ダブルクリック厳禁!!! スクリプトウイルス(拡張子 .js)
 
 
これをWindowsユーザーさんに 文書画像 と思い込ませておいて ダブルクリック で踏んでもらう魂胆なので、不正なファイルと見抜き踏まないよう対処するのが理想…。
 
だけど、現実には ファイルの種類 について知識を持たない影響で、必ずしもそれが実現できないのを見越して、odinウイルスの侵入を未然に防ぎ被害を回避できるランサムウェア対策はコチラ。
 
 

 
[10月3日 追記...]
 
odinウイルスを送り込む英語表記な迷惑メールの添付ファイルとして、マクロウイルス/マクロ感染型ウイルス も投入されたのを確認してます。  
 
イメージ 7
信用調査会社からの Invoice(請求書)を装う迷惑メール
 
イメージ 6
本文なく 領収書(Receipt)を装う迷惑メール
 
この場合も、ワード文書(拡張子 .doc) や エクセルファイル(拡張子 .xls) を 不正なファイル と見抜いて踏まないよう対応するのが理想だけど、現実ムリで ”うっかり” をやらかすのを前提にする有効なランサムウェア対策はコチラ!