迷惑メールでランサムウェアLocky感染実例 添付ファイルjs拡張子が危険!
Windowsパソコンをターゲットに、2016年2月から継続して投入されてる ランサムウェア Locky(破壊されたファイル拡張子 .osiris .zepto) の感染 へ導く英語表記の 迷惑メール(スパムメール)。 



先月2016年5月下旬を最後にこの迷惑メールがなぜかパタリと止んでいたけど、これはメール配信で使われてるボットネット Necurs… 遠隔操作されてるWindowsパソコンたちの活動がほぼ休止状態になってたからだとか。 

・ It's Quiet...Too Quiet: Necurs Botnet Outage Crimps Dridex and Locky Distribution - Proofpoint
https://www.proofpoint.com/us/threat-insight/post/necurs-botnet-outage-crimps-dridex-and-locky-distribution
https://www.proofpoint.com/us/threat-insight/post/necurs-botnet-outage-crimps-dridex-and-locky-distribution
・ サイバー犯罪集団が使う Locky、Dridex、Angler の活動が急に停滞 - Symantec
英文メールの配信キャンペーン再開
ただ、昨日6月22日にメール配信キャンペーンが復活した模様で、手元にも以前から来る 「金銭の支払い請求書」 パターンの英文メールを受信しました。 




英語表記のウイルスメール実例 添付ファイルがキモ!
【Loclyウイルスメールの件名例 6月22日~】
Documents copies
Financial report
new invoice
report
Updated
Updated document
Final version of the report
Payment
Corresponding Invoice
Re:
先週公表された旅行会社 JTB の情報漏えい事件は、標的型サイバー攻撃ということで航空会社 ANA に成りすます日本語メールだったそうだけど、この迷惑メールは広く世界中の不特定多数にバラ撒かれてます。
メールに添付されてるのはzip形式の圧縮アーカイブ なので手動で解凍・展開してみると、不正な JavaScript ファイル / JScript Script ファイル(拡張子 .js)が登場します。 




スクリプトファイル 「unpaid-[数字].js」
ダブルクリックして開くとLocky感染
メールソフトがサポートする メッセージのプレビュー機能でウイルスが自動的に起動する ことはなく、このjsスクリプトファイルをユーザーの意思で ダブルクリック すると攻撃を喰らいます。 

= Windows狙いのスクリプトウイルス =
Mac OS、Androidスマホ、iOS(iPhone/iPad)、ガラケーは関係なし!
Mac OS、Androidスマホ、iOS(iPhone/iPad)、ガラケーは関係なし!
ちなみに、JSファイルの中身をテキストエディタで覗くと、コードが難読化されていて処理がイマイチ把握できず、この影響で セキュリティ製品でファイルスキャンしても(ウイルス定義データで対応される前は)脅威と判定できずスリ抜けます! 


英数字や記号のズラズラ羅列で何するのか分かない
さっそく手元で故意にダブルクリックして踏んでみたところ、外部ネットワークからナゾの実行ファイル(拡張子 .exe)がダウンロードされてきてスッと起動したのでした。 


wscript.exe の下に実行ファイル!? ウイルス感染の瞬間
感染した Lockyウイルス は文書/画像/圧縮ファイルをドンドン暗号化していき、拡張子が 「~.locky」「~.zepto」「~.osiris」 に変更されて開けなくなったところで初めてユーザーが異変に気づきます。
<破壊され終わってからではもう遅い


Lockyランサムウェア感染時のデスクトップ壁紙
Lockyランサムウェア の実行ファイルは、セキュリティ製品でクロと判定されない新鮮な亜種検体が逐一投入されており、これは感染キャンペーンが終わらないかぎり ”イタチごっこ” が展開されます。 

> www.virustotal.com/ja/file/887c8a774faaec8d3edea9e920034e0a68f6768cf14eee3218e5eb0603e97329/analysis/1466676782/
ランサムウェアの感染を防止する無料対策
セキュリティ製品は身代金ビジネスを妨害する形なので、攻撃者によって何だかんだ出し抜かれる恐れが常にあります。 

そこで、お金をかけずに不正なファイルを無害化したり、外部ネットワークと通信する処理を制限する効果的な 無料ウイルス対策↓ を実施して、この攻撃を100%確実に失敗させることをオススメします。 



コメント