迷惑メールでランサムウェアLocky感染実例 添付ファイルjs拡張子が危険！

Image いらすとや

Windowsパソコンをターゲットに、2016年2月から継続して投入されてる ランサムウェア Locky（破壊されたファイル拡張子 .osiris .zepto） の感染 へ導く英語表記の 迷惑メール（スパムメール）。

Lockyランサムウェアの感染経路はメール由来が圧倒
（出典 トレンドマイクロ 2016年第1四半期）

先月2016年5月下旬を最後にこの迷惑メールがなぜかパタリと止んでいたけど、これはメール配信で使われてるボットネット Necurs… 遠隔操作されてるWindowsパソコンたちの活動がほぼ休止状態になってたからだとか。

ただ、昨日6月22日にメール配信キャンペーンが復活した模様で、手元にも以前から来る 「金銭の支払い請求書」 パターンの英文メールを受信しました。

英語表記のウイルスメール実例 添付ファイルがキモ！

【Loclyウイルスメールの件名例 6月22日～】
Documents copies
Financial report
new invoice
report
Updated
Updated document
Final version of the report
Payment
Corresponding Invoice
Re:

メールに添付されてるのはzip形式の圧縮アーカイブ なので手動で解凍・展開してみると、不正な JavaScript ファイル ／ JScript Script ファイル（拡張子 .js）が登場します。

スクリプトファイル 「unpaid-[数字].js」

メールソフトがサポートする メッセージのプレビュー機能でウイルスが自動的に起動する ことはなく、このjsスクリプトファイルをユーザーの意思で ダブルクリック すると攻撃を喰らいます。

ちなみに、JSファイルの中身をテキストエディタで覗くと、コードが難読化されていて処理がイマイチ把握できず、この影響で セキュリティ製品でファイルスキャンしても（ウイルス定義データで対応される前は）脅威と判定できずスリ抜けます！

英数字や記号のズラズラ羅列で何するのか分かない

さっそく手元で故意にダブルクリックして踏んでみたところ、外部ネットワークからナゾの実行ファイル（拡張子 .exe）がダウンロードされてきてスッと起動したのでした。

wscript.exe の下に実行ファイル!? ウイルス感染の瞬間

感染した Lockyウイルス は文書／画像／圧縮ファイルをドンドン暗号化していき、拡張子が 「～.locky」「～.zepto」「～.osiris」 に変更されて開けなくなったところで初めてユーザーが異変に気づきます。 ＜破壊され終わってからではもう遅い

Lockyランサムウェア感染時のデスクトップ壁紙

Lockyランサムウェア の実行ファイルは、セキュリティ製品でクロと判定されない新鮮な亜種検体が逐一投入されており、これは感染キャンペーンが終わらないかぎり ”イタチごっこ” が展開されます。

セキュリティ製品は身代金ビジネスを妨害する形なので、攻撃者によって何だかんだ出し抜かれる恐れが常にあります。

そこで、お金をかけずに不正なファイルを無害化したり、外部ネットワークと通信する処理を制限する効果的な 無料ウイルス対策↓ を実施して、この攻撃を100％確実に失敗させることをオススメします。