.thor/.shit拡張子に変更? Lockyウイルスの迷惑メール&添付ファイルに注意!
 
イメージ 5
(Image いらすとや)
 
ファイルを暗号化して復旧に身代金の支払いを要求するランサムウェア の1つ Locky(ロッキー) に攻撃された場合、見に見える最初の異変がファイル名の変更だけど、10月24日から新たに 『 [32ケタ英数字].shit 』 に切り替わりました。
 
イメージ 3
開けない SHITファイル と脅迫文 _[数字]_ WHAT_is.html
 
英語の shit(シット) は、何か怒ってる人が日本語で言うところの「クソッ!」と吐き捨てる時とかに使われる表現です。

迷惑メールの添付ファイルは?

Lockyランサムウェアの主要な感染経路になってる 英語表記の迷惑メール には、添付ファイルとしてZIP形式の圧縮アーカイブ が付いてます。
 
圧縮アーカイブを手動で解凍・展開すると、中身として次の ファイル形式 が登場するのを手元で確認してます。
 
イメージ 1
添付ファイルの圧縮アーカイブからそれぞれ寄せ詰め
この不正なファイルをWindowsパソコン上でポチポチっと ダブルクリック して開いてしまうと、ランサムウェア本体が外部ネットワークからダウンロードされてきてシレッと起動し感染となります。
 
イメージ 2
ランサムウェア本体をダウンロードする通信の様子
 
【VirusTotalファイルスキャン例】
www.virustotal.com/ja/file/495ab0504d4f6370810811c74792de1e4cd19d1fc32358db14587a5bd721d9b9/analysis/1477400023/
www.virustotal.com/ja/file/c23facdb56953fa3abd997a078e48f833a310c11ba1c5f14016961b9b78f575d/analysis/1477296084/
www.virustotal.com/ja/file/b54802e6f6430c75d0683140ef0529c6603418b4ef602d80e85aaa88fe730c79/analysis/1477330503/
 

ウイルスメールのランサムウェア対策

ランサムウェアの被害を回避するには、これら不正なファイルを踏まなければいいワケだけど、現実はなかなか厳しくて 見抜けずうっかり踏み抜くユーザーさんが必ず一定数出現する ので、それを見越した有効なウイルス対策はコチラ♪
 
■ ファイルの拡張子の関連付けを変更する、Windowsスクリトプ実行環境の設定を変更する ⇒ スクリプトが処理されず.thor/.shitウイルスの感染失敗!
 
 
■ ファイアウォールのアウトバウンドでキモとなる実行ファイル wscript.exe と mshta.exe の通信をブロックする ⇒ ダウンロード処理が起こらず.thor/.shitウイルスの感染失敗!
 
 

 
[10月26日 追記...]
 
Lockyランサムウェアは暗号化済みファイルの目印として、新たに 『 [32ケタ英数字].thor 』 の変更へと切り替わりました。
 
イメージ 4
ランサムウェアによってTHORファイルの白紙アイコンに変更
thor 《北欧神話》トール, ソー:雷・雨・農業の神.
dictionary.goo.ne.jp/srch/all/thor/m0e
何か問題でもあったのかいな? <25日夜にわずか数日で…
 
【VirusTotalファイルスキャン例】
www.virustotal.com/ja/file/5948ceff8012d80f9b2dcef7316aa94d3a171d309c78e6b021b6af6928f16a0d/analysis/1477403426/
関連するブログ記事