ノートパソコン dynabook が 
5万円台から♪ランサムウェア感染迷惑メール 新しい請求書/あなたのパッケージ配信が危険!
Image いらすとや
4月6日朝から ”日本郵便” を勝手に名乗って荷物の配達通知を装った日本語表記のウイルス付き 迷惑メール(スパムメール) が不特定多数に配信されてます。 
件名 (なし)
おはようございます!私たちはあなたのパッケージを配信することはできません、添付ファイルのあなたの住所を確認してください。 ありがとうございました!
件名 JP _[数字]-[数字]
追跡番号[数字]を使用して新しいJapanPost請求書
件名 (なし)
私たちはあなたの小包を届けることができない、添付ファイルにあなたの住所を確認してください
件名 あなたは、新しい請求書[数字]を持っています
件名 (なし)
こんにちは!添付ファイルになたの配信アドレスを確認してださい!
{EMS-日本郵便
違和感のある変な日本語の文章は ”言語の壁” のおかげだけど、機械翻訳にしても 『添付ファイルになたの』『確認してださい』 といった一部の文字が欠損する状況はなぜに起こるんでしょうか? 
メールの添付ファイルは拡張子.js
zipファイルの中身は~.jsファイル
これは Windowsユーザー にダブルクリックして踏ませる攻撃手口となり、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境は攻撃対象外なので大丈夫です。 
【メールの添付ファイル】
追跡番号_[数字].zip
追跡番号_[英文字].zip
↓ ユーザーが手動で解凍・展開する
tzct_4455887213100_JAPANPOST.js … 文字化け
追跡番号_4455887213100_JAPANPOST.js
tzct_4455887213100_JAPANPOST (2).js … 文字化け
追跡番号_4455887213100_JAPANPOST (2).js
このjsファイルは外部ネットワークから Windows向け実行ファイル(拡張子 .exe) をダウンロードしてきて起動する役目を担っていて、荷物の配送通知文書では決してありません! 
【実行ファイルの詳細】
MD5 5d543cb856073fc4ca3d7839a049d5b5
www.virustotal.com/en/file/9855657eb9924057ee85a3265f929fbaa917e913baeb8f6eb41071e7a09c2d27/analysis/1459897759/
ESET Win32/Filecoder.ED
Kaspersky Trojan.Win32.Fsysna.dara
Microsoft Ransom:Win32/Troldesh
Symantec Trojan.Ransomcrypt.T Ransom.Troldesh
TrendMicro Ransom_CRYPSHED.D
Kaspersky Trojan.Win32.Fsysna.dara
Microsoft Ransom:Win32/Troldesh
Symantec Trojan.Ransomcrypt.T Ransom.Troldesh
TrendMicro Ransom_CRYPSHED.D
Troldesh/Shadeランサムウェア感染
この実行ファイルの正体は 「Troldesh」「Shade」 として知られる ランサムウェア(身代金型ウイルス) で、ファイルを暗号化して破壊し元に戻してほしいならメールで問い合わせるよう要求します。 
<表示言語は英語&ロシア語
<表示言語は英語&ロシア語組み合わせとしてはかなり珍しい攻撃パターンです。 
- 『英語の迷惑メール × ランサムウェア』 ⇒ よく確認されてる
『日本語の迷惑メール × ネットバンキング不正送金ウイルス』 - 『日本語の迷惑メール × ランサムウェア』 ⇒ かなり珍しい
■ ランサムウェア感染症状
暗号化したファイルは米ドラマ『ベター・コール・ソウル』 に由来する 「~.better_call_saul」 へ拡張子を変更します。
暗号化で破壊されたJPEG画像ファイル
ファイル名はグチャグチャ .better_call_saul 拡張子に変更
Torネットワーク上のTroldesh/Shadeページ
復号について攻撃者とコンタクトするメルアドの記載のみ
復号について攻撃者とコンタクトするメルアドの記載のみ
脅迫文が記載されたテキスト README[数字1~10].txt
【脅迫文テキスト】
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
****************|0
to e-mail address *****@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
(~以下略~)
日本人を狙ってるのに、ランサムウェアそのものは必ずしも日本での感染を想定してないので何だかチグハグとも言えます。 
<対応環境はWindowsパソコンなので言語関係なく感染するけど
<対応環境はWindowsパソコンなので言語関係なく感染するけど
コメント